导入ISO270012005资安管理系统经验分享-台中区网中心.ppt

靜宜大學導入ISO 27001:2005 資安管理系統經驗分享 計算機及通訊中心 張鳳伶 flora@.tw 大綱 前言 靜宜大學計算機及通訊中心組織及執掌 導入ISO 27001:2005 經驗分享 ISO 27001:2005 V.S BS7799 資訊安全推動組織及管理權責 如何導入ISMS機制 導入甘苦談 認證後之持續運作與改善 執行ISMS的具體效益 教育體系資通安全管理規範 QA 前言 資訊安全管理(Information Security Management System，簡稱ISMS)對學校的重要性 ISMS推動作業之依據：行政院於94年7月21日核定「政府機關（構）資訊安全責任等級分級作業施行計畫」 前言（一） 資訊安全管理(Information Security Management System，簡稱ISMS)對學校的重要性 網路的快速發展，改變了既有的業務處理模式，不單是業界，學校單位也感受到此股新興力量，許多行政工作藉由網路無遠弗屆的特性，加速了程序的進行，提升了整體的效率。此時此刻，正是為各級學校單位量身訂作規範的時機，如此才能確保各個行政程序的安全性。 -摘錄自「教育體系資通安全管理規範」 前言（二） ISMS推動作業依據：行政院於94年7月21日核定「政府機關（構）資訊安全責任等級分級作業施行計畫」 訓練資訊安全責任分級包含本所屬機關及各公私立學校區分： A 級：教育部、台大醫院、成大醫院 B 級：大學、區域網路中心、縣(市)教育網路中心 C 級：學院、專科學校．部屬館所 D 級：高中職、國中小學 靜宜大學計算機及通訊中心組織及執掌 靜宜大學計通中心合作團隊 靜宜大學計通中心組織 靜宜大學計通中心各組業務 靜宜大學計通中心合作團隊 靜宜大學計通中心組織圖 靜宜大學計通中心各組業務 行政教學組(6人) 主要工作項目： 遠距教學 教學平台 多媒體教學支援 數位內容 電腦教室軟硬體設備管理 全校電腦軟硬維修 網路通訊組(4人) 主要工作項目： 校園電腦網路骨幹與主機規劃、維護及使用者網點故障排除 維護對外電腦網路之正常運作 電話通訊系統 衛星電視系統 系統支援組(2人) 主要工作項目： 中心各主機及入口網站之設定、管理、維護及相關業務 全校校園IC卡應用及門禁系統規劃 軟體開發組(7人) 主要工作項目： 校務與師生服務系統開發與建置 校務資料庫系統維護 導入ISO 27001:2005 經驗分享 ISO 27001:2005 V.S BS7799 資訊安全推動組織及管理權責 如何導入ISMS機制 導入甘苦談 ISO 27001:2005 V.S BS7799 什麼是BS7799? BS7799?是一套資訊安全防護機制的規範?Information?Security?Management?Systems?(?簡稱?ISMS)?，由英國標準協會?(British?Standards?Institute?，簡稱?BSI)?制訂並在?1995?頒布，期望透過?BS7799?這套計畫能夠有效建構資訊安全防護機制。一家企業只要能夠做到?BS7799?的要求並且通過獨立稽核機構的評鑑，便可獲頒?BS7799?資訊安全認證。 什麼是?ISO27001???和?BS7799?差別在哪? BS7799?的?Part?I ?2000?年被採納為?ISO17799:2000?，並在?2005?年修定成?ISO?17799:2005；只是一個?implementation?guidance BS7799 Part?II? ?2005?年被採納為?ISO?27001?國際標準，並於?2005?年?10?月正式出版發行； ISO?27001?則是一套完整的驗證標準 ISO 27001:2005 V.S BS7799(續) ISO27001:2005?的內容總共分成?11?個領域、?39?個控制目標、?133?個控制要點。?11?個領域包括A.1?Security?PolicyA.2?organization?of?information?securityA.3?Asset?managementA.4?Human?resources?securityA.5?Physical?and?environmental?securityA.6?Communications?and?operations?managementA.7?Access?controlA.8?Information?systems?acquisition,?development?and?maintenanc