ISMS简介和法规案例说明.ppt

ISMS簡介與法規案例說明 主講人 查傳憲 ISMS簡介 ISO 標準-家族之架構 IS0 的五大精神 資訊安全管理系統認證簡史 1990年：世界經濟合作開發組織（OECD）轄下之資訊、電腦與通訊政策組織開始草擬資訊系統安全指導綱要」。 1992年：OECD於1992年11月26日正式通過「資訊系統安全指導綱要」。 1993年：英國工業與貿易部頒布：「資訊安全管理實務準則」。 1995年：英國訂定「資訊安全管理實務準則」之國家標準BS 7799第一部分，並提交國際標準組織（International Organization for Standardization ，簡稱ISO）成為ISO DIS14980。 1996年：BS 7799(Part Ι)提交國際標準組織(ISO)審議，沒有通過成為ISO標準之要求。 資訊安全管理系統認證簡史(二) 1998年：英國公布BS 7799(Part-2) 「資訊安全管理規範」並為資訊安全管理認證之依據。 2000年：增修後之7799(Part-1)於2000年12月1日通過ISO審議，成為ISO/IEC 17799國際標準。 7799(Part-2) 2002 年12 月5 日未通過審議，我國經濟部標準檢驗局分別基於ISO/IEC 17799 與BS 7799 -2，發布國家標準CNS 17799及CNS 17800。 2005年6月15日，ISO/IEC 17799：2005(E)正式發行。ISO於ISO/IEC 17799：2005(E)之前言敘明於2007年將發行ISMS的27000標準系列。 ISO/IEC 17799：2005(E)將由ISO/IEC 27000系列取代。 2005年10月15日ISO/ IEC 27001與ISO/ IEC 27002正式發行。 資訊科技與資訊安全之演進 資訊安全脆弱性 環境和基礎結構 1.1 缺乏建築物、門、窗等實體的保護 (可能會被利用威脅例：失竊的威脅) 。 1.2 建築物、房間等實體進出控制的不足或不小心之疏忽 (可能會被利用的威脅例：故意損害的威脅) 。 1.3 不穩定的電源 (可能會被利用的威脅例：電源波動的威脅) 。 1.4 位於容易淹水的區域 (可能會被利用的威脅例：淹水的威脅) 。 　　　 硬體 2.1 缺少定期置換機制 (可能會被利用的威脅例：儲存媒介劣化的威脅)。 2.2 電壓容易變動 (可能會被利用的威脅例：電源波動的威脅) 。 2.3 溫度容易變動 (可能會被利用的威脅例：極端溫度的威脅) 。 2.4 容易潮濕、有灰塵 (可能會被利用的威脅例：灰塵的威脅) 。 2.5 對於電磁輻射敏感 (可能會被利用的威脅例：電磁輻射的威脅) 。 2.6 儲存媒介維護不夠/安裝失敗 (可能會被利用的威脅例：錯誤之維護威脅) 。 2.7 缺乏有效的組態變更控制 (可能會被利用的威脅例：操作人員執行錯誤的威脅) 。 資訊安全脆弱性 3.軟體 3.1 開發者的規範不清楚或不完整。(可能會被利用的威脅例：軟體失能的威脅) 3.2 沒有軟體測試或軟體測試不足。(可能會被利用的威脅例：未經授權使用者使用軟體的 威脅) 3.3 複雜的使用者介面。 (可能會被利用的威脅例：操作人員執行錯誤的威脅) 3.4 識別與鑑別(像是使用者鑑別)機制的不足。(可能會被利用的威脅例：偽裝使用者身分 的威脅) 3.5 缺乏稽核軌跡。(可能會被利用的威脅例：在未經授權的方式下使用軟體的威脅) 3.6 軟體的瑕疵。(可能會被利用的威脅例：未經授權的使用者使用軟體的威脅) 3.7 密碼表保護不足。(可能會被利用的威脅例：偽裝使用者身分的威脅) 3.8 密碼管理不足(易猜到密碼、未清除不應儲存的密碼、變更密碼的頻率不足)。 (可能會被利用的威脅例：偽裝合法使用者身分的威脅) 3.9 存取權限指派錯誤。(可能會被利用的威脅例：未經授權下使用軟體的威脅) 3.10 未控制軟體的使用和下載。(可能會被利用的威脅例：惡意軟體的威脅) 3.11 離開工作站時沒有”登出”。(可能會被利用的威脅例：未經授權的使用者使用資訊資源 的威脅) 3.12 缺乏有效變更控制的管理。(可能會被利用的威脅例：軟體失能的威脅) 3.13 缺乏文件。(可能會被利用的威脅例：操作人員執行錯誤的威脅) 3.14 缺乏複製備份。(可能會被利用的威脅例：惡意軟體或火災的威脅) 3.15 沒有適當刪除就處置或重覆使用儲存媒介。(可能會被利用的威脅例：未經授權的使用 者使用