资讯安全管理系统政策制定与资讯安全组织建立 - 资讯安全宣导专区稻 .pdf

B01-201 B01-201 與資訊安全組織建立 與資訊安全組織建立 課程大綱 課程大綱 ‧資訊安全政策 ‧資訊安全組織 ‧結語 註 :本內容「資訊安全管理系統政策」, 以下簡稱「資訊安 全政策」。 第一章 資訊安全政策 第一章 資訊安全政策 資訊安全政策導論 資訊安全政策導論 ‧資訊安全已是全球共識 ‧落實資訊安全的第一步-建立資訊安全政策。 ‧管理階層應設定－明確的政策方向，並透過在 整個組織中發布及維護－資訊安全政策的方 式，展現對資訊安全的支持與承諾。 資訊安全政策的目的 資訊安全政策的目的 最高主管展現對資訊安全的指示及支持 資訊安全政策的重要性 資訊安全政策的重要性 資訊安全政策將影響未來資訊安全管理系統各 項文件、程序與作法，如果不謹慎考量，將造 成嚴重的資安風險，包括人力與財務損失 。 (政策) (為何而做) (準則) 要做什麼( ) (如何做) 程序( ) 資訊安全政策制訂的規範 資訊安全政策制訂的規範 制訂資訊安全政策前，應先瞭解CNS17800對資 訊安全政策的要求： ‧依據業務、組織、所在位置、資產及技術等特性，定 義資訊安全管理系統之政策，且： 包含設定目標之框架，並建立有關資訊安全之整體方向意識與- 行動原則。 -考慮企業及法律或法規要求，以及合約性的安全責任。 -建立策略性、組織性及風險管理之內容，使其資訊安全管理系 統得以建立及維持。 -藉以評估風險之標準應加以建立，風險評鑑之架構應加以定 義。 -被管理階層核准。 引用自:CNS17800 資訊安全政策制訂的建議 (1/4) 資訊安全政策制訂的建議 (1/4) 制訂資訊安全政策時可以參考下列文件 ‧ISO 17799 ( CNS 17799 ) ‧行政院及所屬各機關資訊安全管理規範 資訊安全政策制訂的建議 (2/4) 資訊安全政策制訂的建議 (2/4) CNS17799對資訊安全政策的內容提出下列建議： ‧資訊安全、其整體目標及範圍的定義，以及資訊共享時，安全不 可或缺的機制有何重要性； ‧管理階層的意圖，以及對資訊安全目標及原則支持的一份聲明； ‧簡要說明安全政策、原則、標準以及符合性要求（ 對組織的特別 重要性 ）。 例如： –符合法令和合約的要求。 – 安全教育要求。 – 防止並檢測電腦病毒和其他惡意軟體。 –營運持續管理。 –違反安全政策的後果。 引用自:CNS17799 資訊安全政策制訂的建議 (3/4) 資訊安全政策制訂的建議 (3/4) ‧確 定資訊安全管理的一般責任和特定責任，包括通報安全事件。 ‧支 援政策的文件索引，例如針對特定資訊系統的詳盡安全政策和 程序，或使用者應該遵守的安全規則。 本政策應期望的讀者相關連，並以讀者可取得、能瞭解的 形式向整個組織宣達。 (續前頁)