资讯安全管理概述 - 教师与职员个人网页FTP空间 .pptVIP

第十章 資訊安全管理概述 10-1 資訊安全管理歷史回顧與現狀 10-2 資訊安全的重要性 10-3 如何確保資訊安全 10-1資訊安全管理歷史回顧與現狀 完美的安全性根本不存在。在這個不確定的世界，任何事都可能發生，911 事件就是一項證明。從這些事件中，我們得到的教訓之一，就是：必須正視『確實管理企業風險』的需要。美國政府對 911 事件的反應之一，就是立刻採取新的立法及規章作為保護措施。 10-1-1 資訊安全管理歷史回顧 為建立虛擬世界之通資訊安全需求，近十年來先進國家政府正全面推動之「通資訊產品安全驗證」、「通資訊系統安全管理認證(稽核)」與「通資訊系統危機處理」三大通資訊安全工作。 1995年英國率先推出了BS7799資訊安全管理標準，並於2000年被國際標準化組織認可為國際標準ISO/IEC17799標準。 10-1-2 資訊安全管理現狀 1988年11月，全世界第一個電腦緊急事件處理小組(Computer Emergency Reponse Team,，簡稱CERT)正式成立，各個先進國家之政府、民間、學術、工商團體亦紛紛成立CERT。為了加強國際間CERT的合作，1990年更成立了一個CERT的國際組織FIRST(Forum of Incident Response and Security Teams)，我國之台灣網路危機處理中心(Taiwan CERT，簡稱TWCERT)亦於1998年成立，提供通資訊安全信息共享等服務工作。 10-2 資訊安全的重要性 隨著電腦運用的普及與網際網路的蓬勃發展，已帶給人類急速而巨大的衝擊，也改變了人類生活模式。然而隨著資訊便利而來的則是令人擔憂的資訊安全問題，因此，我們必須做好資訊安全防護措施，唯有在確保資訊安全之前提下享受資訊便利，才是面對資訊世紀來臨的正確態度，進而迎接未來更大的挑戰與衝擊。 10-2-1 資訊安全的基本概念 資訊安全（Information security）是指資訊的保密性（Confidentiality）。完整性（Integrity）和可用性（Availability）的保持。 不同類型的資訊及資產在資訊安全的保密性、完整性及可用性方面所關注的重點各不相同。 10-2-2 資訊安全的重要性 1．資訊安全就是國家安全 2．資訊安全是組織持續發展的需要 3．資訊安全是保護個人隱私與財產的需要 10-2-3 美國聯邦政府HIPAA 法案 HIPAA內容大致上可分為以下四大類： o管理程序(Administrative procedure) o實體防護(Physical safeguards) o技術安全服務(Technical security services) o技術安全機制(Technical security mechanisms) 10-2-4 網路犯罪 網路犯罪是指利用網路之特性，以網路及連結在網路上的電腦系統作為犯罪場所或作為犯罪客體的犯罪行為。 常見的網路犯罪型態 1.竊取電腦記錄 2.散播電腦病毒 3.網路販賣盜版光碟 4.洩漏祕密 5.拆閱他人電子文件 6.網路色情 7.網路恐嚇 8.網路誹謗 9.網路詐欺 10.網路入侵 10-2-5 組織資訊安全的要求 企業組織在進行安全控制之前應清楚認識資訊安全要求，主要來自三個方面。 1．法律法規與合約要求 2．風險評估的結果 3．企業的原則、目標與要求 10-3 如何確保資訊安全 資訊安全的目標是透過一整體規劃之解決方案來確保企業所有資訊系統與業務之安全與正常運作。實務上，ISMS利用風險分析管理工具，結合企業資產列表、威脅來源的調查分析及系統安全弱點評估等結果，綜合評估影響企業整體的因素，以訂定適當的資訊安全政策與資訊安全作業準則來降低潛在的風險危機。 10-3-1 風險分析的安全管理方法 資訊安全管理利用風險分析管理工具，結合企業資產列表、威脅來源的調查分析及系統安全弱點評估等結果，綜合評估影響企業整體的因素，以訂定適當的資訊安全政策與資訊安全作業準則來降低潛在的風險危機。 1.傳統管理模式的弊端與技術工具的局限性 雖然許多企業組織對資訊安全做了大量的工作，但是傳統管理方式導致的結果是不能從根本上避免、降低各類風險，也不能降低資訊安全故障導致的損失。 資訊安全來自“三分技術，七分管理”，必須注重資訊安全管理。 2.資訊安全的起點 可以用基本的法律要求，作為實施資訊安全起點的指導原則。 從法律角度來看一個組織的基本控制包括：知識產權保護、組織記錄保護、資料保護及個人隱私保護。 對資訊安全最為常見的最佳控制慣例包括：資訊安全政策文件、資訊安全職責的劃分、資訊安全教育及培訓、報告安全事故和商務持續性管理。 3．資