informationsecuritycourseandlaboratories(iscal).docVIP

Chap9 1? 資訊安全管理系統 (Information Security Management System, ISMS) 為 國際最知名之資訊安全管理規範。 ? ISMS 使用程序方法 (process approach) 並以風險評鑑做安全管理核心， 幾乎涵蓋所有的安全議題。國際標準組織 (International Organization for Standardization, ISO) 將它定義為一套資訊安全應用與稽核的標準： ISO 27001。 ? 行政院「國家資通安全會報」為協助建立政府機關及重要民間業者之 資通訊及網路系統安全，規範並鼓勵各級單位取得資訊安全管理系統 之第三方驗證，各大專院校也在要求範圍內。 ? 風險管理 (第十六章) 是推動 ISMS 的重要環節；下一頁的流程圖顯示， 在完成規劃之後就進行風險評鑑，而 ISMS 文件體系的建立是風險管理 的一個部份。此外 ISMS 也對審查稽核與檢討改進做了一些規定。 2規劃 風險評鑑 ‐ 成立資訊安全 ‐ 成立資訊安全 委員會 委員會 ‐ 訂定資訊安全 ‐ 訂定資訊安全 目標與範圍 目標與範圍 ‐ 制定高層資訊 ‐ 制定高層資訊 安全政策 安全政策 ‐ 收集相關資料 ‐ 收集相關資料 ‐ 資訊安全認知 ‐ 資訊安全認知 教育訓練 教育訓練 準備: ‐ 資訊資產清查、分類與建立清冊 ‐ 決定資產價值 準備: ‐ 資訊資產清查、分類與建立清冊 ‐ 決定資產價值 分析: ‐ 威脅、弱點、衝擊評估 ‐ 法規與業務需求影響評估 分析: ‐ 威脅、弱點、衝擊評估 ‐ 法規與業務需求影響評估 ‐ 整體系統安全技術評鑑 ‐ 計算風險層級 ‐ 整體系統安全技術評鑑 ‐ 計算風險層級 建議: ‐ 風險評鑑報告 ‐ 風險管理決策 建議: ‐ 風險評鑑報告 ‐ 風險管理決策 檢討改進 風險管理 資訊安全委員會 資訊安全委員會 定期檢討 定期檢討 避免或轉移風險 決定臨界風險值 決定臨界風險值 降低風險 可接受之風險 審查稽核 內部與外部 內部與外部 獨立稽核作業 獨立稽核作業 執行控制機制 執行控制機制 與管理辦法 與管理辦法 建立ISMS 建立ISMS 文件體系 文件體系 選擇控制機制與管理 選擇控制機制與管理 辦法 辦法 確認安全需求 確認安全需求 3? ISO 27001 分成兩個部分： ? 主文部分在介紹完 PDCA (規 畫、執行、檢查、行動) 循環 遵循性 安全政策 資訊安全的組織 之後，即說明 ISMS 的主要活 動：包括右圖的風險評鑑、 營運持續管理 文件的要求與管制、內部稽 核、管理審查會議與教育訓 練。下一頁將說明這些活動 在 PDCA 各階段的工作。 資訊安全 事故管理 風險評鑑 四階文件 內部稽核 管審會議 資產管理 人力資源安全 ? 附錄部分則是右圖 11 個控制 教育訓練 目標與133個控制措施，用來 降低風險。 資訊系統獲取、 開發及維護 實體與環境安全 ? ISO 27001 指導我們以 PDCA 循環持續地推動ISMS 活動來 落實控制措施。 存取控制 通訊與作業管理 41、風險評鑑：建立資產清冊 風險評鑑量化標準討論 實施風險評鑑作業 1、風險評鑑：資訊資產表單建立 資訊資產調查 2、ISMS文件：現有程序文件收集 標準要求文件列表 相關程序文件樣本提供 3、內部稽核：選擇內部稽核人員 稽核計劃撰寫 4、管理審查會議：資訊安全組織確定 5、教育訓練：宣導、說明課程 A P 完成風險評鑑報告 2、ISMS文件：程序文件修訂 修訂內容適用性確認 建立績效評量指標 實施資訊安全管理制度 3、內部稽核：內部稽核查核表製作 內部稽核作業執行 完成稽核報告撰寫 4、管理審查會議：討論並通過資安政策 風險評鑑報告初步討論 決定可接受風險 5、教育訓練：資訊安全管理系統實務課程 D 1、風險評鑑：風險處理計劃執行 2、ISMS文件：依據需求更新四階文件 3、內部稽核：追蹤矯正預防措施 4、管理審查會議：追蹤管理審查會議討論 5、教育訓練：進階課程 C 1、風險評鑑：風險處理計畫評估 2、ISMS文件：確認所有程序文件 程序文件列管 3、內部稽核：發出內部稽核不符合通知單 不符合通知單根因調查 4、管理審查會議：通過四階文件 討論內部稽核發現 5、教育訓練：業務持續管理研討 5? ISO 27001 (資訊安全管理系統) 和 ISO 9001 (品質管理系統) 一樣，將 組織的文件分為四個階層： ? 第一階是最高的指導文件，在 ISMS 為「安全手冊」， 內容包括資訊安 全政