资讯安全简介.ppt

* 資訊化程度愈高、依賴電子化作業以強化競爭力愈深的企業，其對資訊安全風險的承受度愈低，對資訊安全的要求也愈高 已經很完整的架構但是還是有資安事件發生 * 簡而言之：ISMS是一套管理潛在資訊「風險」的方法。 * * 詢問大家資訊安全要保護的標的為何？ * 機密性(Confidentiality) 避免未授權的查閱資訊 完整性(Integrity) 避免未授權的竄改資訊 舉例：機密性,完整性,可用性案例 可用性(Availability) 已授權者可經由合法管道使用資訊 * * 看一下4.2.1~4.2.4 * A13 事故和事件的差別（潛式分析）（知識管理）A14 911事件 * * 說明如何鑒別風險高低（c+i+a）可能性＊衝擊性 找工作的例子也符合PDCA * * ISO 27001 架構 規劃 4.2.1 建立 ISMS 執行 4.2.2 實作與運作 ISMS 檢查 4.2.3 監視與審查 ISMS 行動 4.2.4 維持與改進 ISMS 附錄 A 11 控制領域 39 控制目標 133 控制措施 Do 5 管理階層責任 5.1 管理階層承諾 5.2 資源管理 Check 6 ISMS內部稽核 7 ISMS之管理階層審查 Act 8 ISMS 之改進 8.1 持續改進 8.2 矯正措施 8.3 預防措施 文件要求 第一階文件–安全政策手冊為管理架構的摘要，其中包括了資訊安全政策和控制措施目標，以及適用性聲明書中所提及已實施的控制措施。 第二階文件–程序程序用來實施所要求的控制措施，描述who、what 、when 、where等安全流程和不同部門間的控制措施。 文件要求 第三階文件–工作指導書、檢查清單、表格等解釋特殊工作和活動的細節，以及如何完成特定的工作。包括詳細的工作指導書、流程圖、服務標準和系統手冊…等。 第四階文件–紀錄紀錄活動實行以符合等級1、2和3文件要求的客觀證據。例如：機房訪客登記簿、稽核記錄和存取授權…等。 ISMS之管理階層審查 7.1 概述管理階層應在規劃期間內(至少一年一次)，審查組織的ISMS，以確保其持續的適用性、適切性及有效性。審查應包含改進時機之評估，以及ISMS變更之需求，含資訊安全政策與資訊安全目標。審查結果應予以清楚的文件化，紀錄應予以維持。 7. ISMS之管理階層審查 7.2 審查輸入管理階層審查輸入應包括下列資訊： ISMS稽核與審查之結果。 來自利害相關團體之回饋。 可用以改進組織ISMS績效及有效性之技術、產品或程序。 預防與矯正措施之狀況。 先前風險評鑑未適切提出之脆弱性或威脅。 來自有效性量測之結果。 先前管理階層審查之跟催措施。 可能影響ISMS之任何變更。 改進之建議。 ISMS之管理階層審查 7.3 審查輸出管理階層審查之輸出應包括下列有關之任何決定與措施： ISMS有效性之改進。 更新風險評鑑及風險處理計畫。 未因應可能影響ISMS之內部或外部事件，必要時將影響資訊安全之程序及控制措施予以修訂，包括 營運需求 安全需求 影響既有營運需求之營運過程 法令或法規要求 合約責任 風險等級風險可接受程度之標準 資源需求。 測量控制措施有效性之改進。 附錄 A (規定): 11 個領域, 39個控制目標, 133個控制措施 A.5 – 安全政策 A.6 –資訊安全的組織 A.7 – 資產管理 A.11 –存取控制 A.14 – 營運持續管理 A.13 –資訊安全事故管理 A.12資訊系統獲取、 開發及維護 A.10 通訊與作業管理 A.9實體與環境安全 A.8 人力資源安全 A.15 –遵循性 4.2 建立與 管理ISMS 6 ISMS 內部稽核 7. 管理階層審查 8. ISMS 持續改進 4.3 文件化 要求 5 管理責任 5.1 管理承諾 5.2 資源管理 管理系統 資安特殊控制項 ◆此標準是組織可以獲得真正獨立評估資訊安全管理系統(ISMS)的唯一國際標準。 * ISO27001:2005 控制措施Annex A (normative) Control objectives and controls A.5.1資訊安全政策 控制目標 主要控制措施 依照營運要求及相關法律與法規，提供管理階層對資訊安全之指示與支持。 A.5.1.1資訊安全政策文件 A.5.1.2資訊安全政策之審查 * ISO27001:2005 控制措施Annex A (normative) Control objectives and controls 維持外部團體所存取、處理、管理或與其通信之組織資訊與資訊處理設施的安全。 A.6.1內部組織 控制目標 主要控制措施 於組織內管理資訊安全。 A.6.1.1管理階層對資