保持聯繫並隨時了解威脅：A.5.5 - A.5.8 條款的提示

A.5.5 與當局聯繫

您需要與有關當局和當地特殊利益團體保持聯繫，以進行此項控制以及A.5.6項控制。這兩項控制的目的都是為了及時了解最新的威脅以及法律和監管要求。

在澳大利亞，您可以訂閱澳大利亞網路安全中心的警報。 https://www.cyber.gov.au/。在新西蘭，你可以與…建立直接聯繫CERTNZ當地網路安全政府機構。

根據您所在的行業，您可能還需要與其他一些機構或組織保持聯繫，以便了解最新的法律法規要求。例如，人力資源部門可能需要密切關注薪資法規和稅收政策的變化，以及行業特定的要求，例如，如果您從事關鍵基礎設施建設，則需要了解澳大利亞的《關鍵基礎設施法》（SOCI Act）等額外要求；如果您從事醫療器械行業，則需要了解澳大利亞藥品管理局（TGA）的相關規定。

A.5.6 與特殊利益團體的聯繫

與 A.5.5 類似，此項控制旨在確保您了解與自身業務相關的特定行業和技術的最新趨勢。它還能讓您了解業內其他人士遇到的問題或經驗，以及他們是如何解決這些問題的。

你可以加入當地的技術協會或與你的技術堆疊相關的使用者群組，以便隨時了解最新的技術新聞和發展動態。參加這些團體組織的聚會也是拓展人脈、與他人合作、學習最佳實踐的好方法。

除此之外，它還能讓你有機會幫助他人，並讓你獲得幫助他人的溫暖與滿足感！

A.5.7 威脅情報

本條款旨在確保您了解現有和新出現的資訊安全威脅。這包括確保您自身了解這些威脅，並幫助「傳播」這些威脅訊息，以確保其他人也了解這些威脅。

應收集和分析有關現有或新出現的威脅的信息，以便採取知情行動，防止威脅造成危害並減少這些威脅的影響。

威脅情報活動應包括：制定目標；從經過核實的內部和外部來源收集相關且有價值的信息；對這些信息進行核實和分析，以了解其與業務的關聯性；並共享這些信息，以便根據需要加以利用和採取行動，從而降低威脅帶來的風險。
利用那些經常公開威脅的當局和特殊利益集團，例如澳洲網路安全集團， 和CERTNZ以及條款 A.5.6 中列明的其他特殊利益集團，例如： OWASP這是一個不錯的起點。

A.5.8 專案管理中的資訊安全

本條款的目的是確保資訊安全成為資訊系統在整個生命週期（包括透過公共網路提供服務）中不可或缺的一部分。

為了實現這一目標，您需要檢查所有系統，並確認資訊安全已融入每個步驟。

如果您已經繪製了整個專案生命週期圖，那麼您就了解您的系統有哪些。否則，請先依照標準第 4 條的規定，繪製業務流程圖。然後，檢查每個步驟的所有資訊安全活動是否充分，並升級或改善現有措施。

檢查行銷、開發、銷售、實施、支援和財務系統是否存在資訊安全漏洞。更新所有已記錄的流程，並增加更多步驟，以確保您採取了預防措施。

結論

這些管控措施的主要目標是確保您的企業和團隊了解並掌握影響您的最新威脅和變化。透過確保您與監管機構、政府以及您所在行業的社區保持溝通並積極參與，您可以與各方合作，更好地確保每個人都能做好充分準備，保護自身安全。

關鍵行動點在於與業內人士保持聯繫和交流，以確保您及時了解當前的網路威脅，並確保將它們納入您的所有流程中。

• 查看本系列的前一篇：組織控制：制定政策和界定職責（A.5.1 - A.5.4） 。
• 查看本系列下一篇：保護您的資訊和資產：實施控制措施 A.5.9 至 A.5.14 。