资讯安全之风险管理及评估-All课件.pptVIP

資訊安全之風險管理及評估-以BS7799為例 組長：廖健智 組員：蔡宗軒、黃國聯、黃逸平、 蔡怡真、鄭雅招 Agenda 一、前言 二、資訊安全 三、資訊安全規範 - BS7799 四、誰適合BS7799 五、資訊安全之風險評估 六、資訊安全應用 七、結語 八、參考文獻 一、前言 全球商業環境隨時面對有意圖性的資訊系統攻擊，評估每年 大約損失150 億美元，且損失金額逐年升高。2003 年8 月全球各地上百萬台電腦在短短12 天內被接續出現的Blaster、Welchia 與Sobig.F 三種新生病毒感染而遭受系統癱瘓或作業中斷的衝擊，評估這些威脅所造成的損失約為20 億美元。2004 年5 月殺手病毒（Sasser）肆虐造成全台灣三分之一的郵局即430 個支局共約1,600 個工作站電腦當機影響金融業務的交易甚鉅。根據美國CERT/CC 統計資料（Computer security incidents reported ）顯示，2003 年資訊安全事件共137,529 件較2002 年增加67.5%（2002 年82,094 件），成長速度急遽攀升足以揭示現今企業組織的資訊安全面臨日益升高的威脅。此類層出不窮的事件傳達一項明確的訊息－「不安全是昂貴的」，資訊安全的風險阻礙經濟發展的潛能及嚴重影響企業日常的運作。如何建構有效的資訊安全的風險管理已是刻不容緩的議題。 二、資訊安全 何謂資訊 「資料」是指未經處理之原始訊息，其內容可能包含數值、文字、事件描述等多樣化格式之眾多呈現方式。 「資訊」則是將眾多資料藉由整理或分析的過程，使其成為有意義之內容，具有價值及重要性之資訊也將成為決策制定之參考依據。為有效確保重要資訊的保存，防止非法存取、竄改或惡意毀損與破壞，資訊安全之維護成為個人、企業組織或國家相當重視的議題。 二、資訊安全 資訊的重要性 隨著「知識經濟」時代的來臨，「資訊」的收集與保護對企業組織與個人都越來越重要。 二、資訊安全 何謂資訊安全 現今資訊安全重點強調的是由上而下的整體架構，重視的是「管理」而非「技術」，單以密碼學的角度看資訊安全並不正確。 二、資訊安全 何謂資訊安全 資訊安全，是管理而非技術 妥善的資訊安全管理是確保組織得以持續成長的 重要關鍵 資訊安全管理議題中最重要的部分 「人員管理」在過去一向被人所忽略 不能僅以防火牆與入侵偵測系統的 「技術面」來看「資訊安全」 二、資訊安全 資訊安全之定義 二、資訊安全 資訊安全之定義 資訊安全是防範資訊資產遭受各種安全威脅，目的在於確保企業持續營運、企業損失減至最小並且投資報酬率及商機增至最大，並以保護下列三者為其特性： 機密性(Confidentiality) 確保只有被授權的人可以存取資訊 完整性(Integrity) 確保資訊及處理方法的正確及完整 可用性(Availability) 確保資訊在被授權的人有需要時可以存取 二、資訊安全 資訊安全防護措施的三大目標 - CIA 二、資訊安全 資訊安全之威脅 二、資訊安全 資訊安全之相關標準 三、資訊安全規範 - BS7799 BS7799是什麼 BS7799 - 國際資訊安全稽核規範，全名是 BS7799 Code of Practice for Information Security，由英國標準協會在 1995 年提出、修訂，為目前國際上最知名的安全規範，而且已被 ISO (International Organization for Standardization) 接納成為國際標準稱為ISO-17799。  三、資訊安全規範 - BS7799 BS7799是什麼 起源 「資訊安全管理規範」(BS7799)是由英國標準協會(BSI；British Standards Institution)所制定之資訊安全標準 目的在於確保企業組織資訊相關資產之安全，並在確保資訊機密性、完整性及可用性的基礎下建立資訊安全管理系統(ISMS；Information Security Management System) 1995年由英國標準協會(BSI)將「資訊安全管理實務準則」(Code of practice for Information Security Management)訂為國家標準，即為BS7799-I 三、資訊安全規範 - BS7799 BS7799是什麼 1998年英國標準協會(BSI)公佈「資訊安全管理系統規範」(ISMS；Information Security Management System)，即為BS7799-II 2000年底由國際標準組織(ISO；International )將BS7799-I列