分類
CISSP

確保資訊安全的有效性,並達到符合性(合規性)要求,應優先遵循組織政策

https://ithelp.ithome.com.tw/upload/images/20211214/201321607KbYpA4FuQ.jpg
-政策框架
組織應當遵守法律法規。管理團隊應盡職盡責制定或審查政策以滿足法律和監管要求。
組織政策與法律或法規不一致並不一定意味著違規。組織政策可能會制定比法律或法規更高的標準。如果是這樣,員工只需要遵守政策。
相反,組織政策可能違反法律或法規。在這種情況下,管理團隊應修改政策,以便員工遵守。如果員工發現政策與法律法規相抵觸,應向管理層溝通或報告,並遵守新修訂的政策。
員工無視組織政策而直接遵守法律法規是不恰當的。如果違反法律或法規的政策被報告給管理層而被忽視,員工可能會遵循舉報程序。
毫無疑問,每個人都應遵守法律法規。組織應遵守政策,以確保員工遵守政策不會違反法律或法規。

資料來源: Wentz Wu QOTD-20210916

作者: stevencho

從事資訊工作二十多年,對資安極具熱情,在 Network Security, Endpoint Security, 及 Mobile Security 等資安領域有超過十年以 上的經驗。曾任職精誠資訊資安產品代理部門技術經理,負責 資安產品之技術支援與大型企業導入專案。此外,他也取得了 ISO 27001 主導稽核員證書及 Check Point 的 CCSA 與 CCSE 等防 火牆產品的專業證照。