資訊安全管理制度及個資保護經驗分享.pptVIP

實體與環境安全(4/4) 稽核重點 門禁管控： 人員進出機房登記表與監視紀錄 機房環控： 提供完善環境（易燃物、電力、消防、溫溼 度…），維護機房設備之正常運作 設備進出： 設備進出登記、維修紀錄、資訊資產清單 * 業務永續運作管理 目的：為確保業務永續運作，並降低關鍵性業務流程受重大故障或災害之影響。 依模擬情境實施業務永續運作演練 網路主設備遭網路Dos行為攻擊及回復作業。 校務資料庫異常偵測及回復作業。 郵件系統帳號遭盜用大量寄送廣告信件之處理。 2013/10/23 * 資安稽核類別 資安稽核：一種有系統且獨立的資訊安全檢查，以決定各項活動及相關結果是否與所計畫的安排相符，以及安排是否有效執行及達成目標。 稽核類別： 內部稽核：由資訊安全稽核小組針對組織之資訊安全控制及相關作業，進行定期查核，以確保其成效。 外部稽核：由本中心以外單位所進行的資訊安全稽核，如教育機構資安驗證中心、BSI、SGS等單位之稽核。 專案稽核：專案稽核得視特定目的需求（例如：資訊安全事件調查），以不定期之專案方式進行。 2013/10/23 * 內部稽核 遵循規範：IS-B-013資訊安全稽核作業程序書。 資訊安全管理制度內部稽核計畫 資訊安全管理制度內部稽核表 資訊安全管理制度內部稽核表報告 資訊安全作業檢核表 * 管理審查會議 管理審查會議審核內容： 2013/10/23 * 資訊安全稽核與審查之結果。 資安政策目標之改進。 來自利害相關者之回饋。 因為下列項目之變更，所進行之因應措施： 各項營運要求。 各項安全要求。 影響既有各項營運要求之營運過程。 法律或法規各項要求。 契約的各項義務。 可用於組織以改進資訊安全績效與有效性之技術、產品或程序。 預防與矯正措施之執行狀況。 資安政策目標達成性衡量結果。 前次相關會議結論之跟催結果。 可能影響資訊安全管理作業之任何變更。 加強或改進資訊安全的其他各項建議。 資源需求。 外部稽核 稽核單位：教育機構資安驗證中心 稽核時機： 發證稽核（重新驗證） 追查稽核 費用：1萬元/1天 與國外驗證單位（BSI、SGS…）之差異 驗證標準：ISO27001、教育體系資通安全規範 費用 * * 資訊安全防護之加強(1/6) 委外廠商要求 委外合約書加列安全條款，保密協議、懲處、維護工程師之資安認知… 人員異動管理 業務交接、財產移交、權限移交… 權限審查 一般帳號審查 特許權限審查，如系統管理者權限最少一年審查一次 2013/10/23 * 資訊安全防護之加強(2/6) 帳號密碼管控 重要系統第一次登入應修改密碼 帳號密碼強度規範，如密碼至少8碼、定期更改密碼… 網路服務之安全管控 https加密傳輸 電子郵件附件下載掃毒 2013/10/23 * 6.14 通行碼是否定期更新？ 資訊安全防護之加強(3/6) 紀錄留存 系統日誌檔(log)之保存 監視紀錄之留存 桌面淨空安全管理 安裝防毒軟體並即時更新病毒碼 系統漏洞修補 合法軟體之使用 設定螢幕保護程式 2013/10/23 * 6.23 是否設定螢幕保護程式？ 10 使用紀錄、軌跡資料及證據保存 資訊安全防護之加強(4/6) 弱點檢測 系統弱點 網頁弱點 防個資外洩檢測 資料備份 重要資料應定期備份 2013/10/23 * 6.8 個人資料檔案是否定期備份 資訊安全防護之加強(5/6) 資料加密 WinRAR * 資訊安全防護之加強(6/6) PDF文件加密 * 個人資料保護組織 2013/10/23 * 4.6設置「個資保護聯絡窗口」 個資盤點清查(1/5) 作業程序 建立「個人資料盤點程序書」 舉辦個資盤點研習 盤點個人資料檔案並建立「個人資料盤點清冊」 公告（學校網站）機關所保有之個人料檔案 2013/10/23 * 個資盤點清查(2/5) 個資隱私衝擊分析表 2013/10/23 * 個資盤點清查(3/5) 個人資料盤點清冊（範例） 個人資料保護法之特定目的及個人資料之類別： .tw/LawContent.aspx?id=FL010631 2.界定個人資料之範圍 2013/10/23 * 個資盤點清查(4/5) 2013/10/23 * 3.2個資資產之衝擊影響程度分析 個資盤點清查(5/5) 個人資料保護法第17條 公務機關應將下列事項公開於電腦網站，或以其他適當方式供公眾查閱； 其有變更者，亦同： 一、個人資料檔案名稱。 二、保有機關名稱及聯絡方式。 三、個人資料檔案保有之依據及特定目的。 四、個人資料之類別。 公告網站 .tw/night/pd/main.htm 2013/10/23 * 因應個資法之相關資安措施(1/2) 2013/10/23 * 因應個資法之相關資安