资讯安全稽核人员训练与政大实例探讨…要点.ppt

資訊安全稽核人員訓練與政大實例探討 政治大學 電子計算機中心 劉勝雄 ISMS演進歷史 ISO/IEC 27001:2005 consists of two parts ISO/IEC 27001:2005 (previously BS 7799) is an international standard that provides specifications and guidance for the establishment and proper maintenance of an ISMS ISO/IEC 17799:2005 (Part 1) is a code of practice OECD (Organization for Economic Cooperation and Development) guidelines governing the security of information systems and networks. ISO/IEC 27001:2005 原為英國標準BS7799-2中的規定加以闡明並加強，更新的主要區域在風險評鑑、契約責任、範圍、管理決策，以及評量其所選擇控制措施之有效性，雖然大部份的變更與現今的要求並無差別，但此變更對客戶的最大影響是在於要求其對所選擇之控制措施之有效性作評量。 行政院95年度ISMS稽核重點 委外/第三方資安要求稽核重點 風險管理及資產管理 資訊標示與處理 人員異動存取權限移除查核 安全區域管制 資訊備份及防毒作業 資訊交換/可攜式媒體管理 存取政策及管制方式 資安事故通報及處理 營運持續管理實務 技術性脆弱點審查及弱點掃瞄 資訊安全管理系統綱要 何謂資訊安全 BS7799資訊安全管理規範介紹 資訊安全系統導入、管控與稽核 何謂資訊安全？ 資訊對組織而言就是一種資產，和其它重要的營運資產一樣有價值，因此需要持續給予妥善保護。資訊安全可保護資訊不受各種威脅，確保持續營運、將營運損失降到最低、得到最豐厚的投資報酬率及商機。 資訊存在的方式 列印或書面表示 電子方式儲存 郵寄或是電子郵件傳送 影片播放或以口頭說明 無論資訊的形式為何，何種方式與他人共享或儲存，都應以適當的方式加以保護 為維護資訊安全BS ISO 17799:2000 定義 a) 機密性（ confidentiality）：確保只 有經授權（ authorized）的人才能存取 資訊。 b) 完整性（ integrity）：保護資訊與處 理方法的正確性與完整性。 c) 可用性（ availability）：確保經授權 的使用者在需要時可以取得資訊及相關資 產。 如何執行資訊安全？ 要達到資訊安全就必須實施適當的控制措施，譬如資訊安全政策、實務規範 （practice）、程序、組織架構及軟體功能，為了達成營運既定的安全目標， 就必須建立這些控制措施。 組織的資訊安全成功因素 a) 能反映營運目標的安全政策、目標 及活動。 b) 與組織文化一致之實施安全保護的 方法。 c) 來自管理階層的實際支持和承諾。 d) 對安全要求、風險評鑑以及風險管 理的深入理解。 e) 向全體管理人員和雇員有效推廣安 全的理念。 f) 向所有雇員和承包商宣傳資訊安全 政策的指導原則和標準。 g) 提供適切的訓練和教育。 h) 一個全面與平衡的量測系統，用於 評估資訊安全管理的績效及回饋建 議，以便進一步改進。 什麼是 BS7799? BS 7799-2:2002是資訊安全管理系統要求的標準。它可以幫助公司鑑別，管理和減少資訊通常所面臨的各種威脅。 BS ISO 17799:2000資訊安全管理作業要點 BS ISO 17799 資訊安全管理作業要點 用意是作為參考文件 提供廣泛性的安全控制措施 現行資訊安全之最佳作業方法 包含10個控制措施章節 無法作為評鑑與驗證 BS 7799-2:2002 資訊安全管理系統要求 資訊安全管理系統(ISMS) 之建立實施與書面化之具體要求 依個別組織的需求，規定要實施之安全控制措施的要求 BS7799的作業要點 安全政策 ---為資訊安全提供管理指導和支援。  組織安全 ---在公司內管理資訊安全。 資產分類與管理---對公司的資訊資產採取適當的保護措施。  人員安全---減少人為錯誤、偷竊、詐欺或濫用資訊及處理設施的風險。  實體和環境安全---防止對營運場所及資訊未經授權的存取、損壞及干擾。 通訊與作業管理---確保資訊處理設施正確和安全運行。  存取控制---管理對資訊的存取行為。  系統開發和維護---