资讯安全管理系统(ISMS)建置说明-基隆市政府教育处.pptVIP

資訊安全管理系統(ISMS)建置說明 基隆市教育網路中心 講師：王言俊 何謂資訊安全Informational Security(INFOSEC) 資訊可透過網路來互通共享，部份資訊可公開，但部份資訊屬機密，不可公開且不可篡改，必須作保密的管制以防使用者有意或無意的讀取或更改，而有關資訊保護之研究的總合稱為資訊安全。 保護資訊的機密性、完整性及可用性的手段、作法、研究…就稱為資訊安全。在資訊安全的範疇內得增加諸如鑑別性、可歸責性、不可否認性與可靠性等特性。 何謂機密性： 確保只有經過授權的人才可取得資訊，避免資訊洩露。 資料不得被未經授權之個人、實體或程序所取得或揭露。 何謂完整性： 可歸責性 (Accountability)：確保實體之行為可唯一追溯到該實體的特性。 鑑別性 (Authenticity)：確保一主體或資源之識別就是其所聲明者的特性。適用於如使用者、程序、系統與資訊等實體。 不可否認性 (Non-repudiation)：對一已發生之行動或事件的證明，使該行動或事件往後不能被否認的能力。 簡言之就是確保資訊不受未經授權的竄改與資訊處理方法的正確性。 何謂可用性： 確保經授權的使用者，在需要時可以取得資訊，並使用相關資產。 資訊管理的內容 基礎建設安全管理Frastructure Security Management 實體安全 Physical Security 人員安全 Personal Security 平台安全 Platform Security 風險管理 Risk Management 防火牆與連線安全Firewall Connectivity Management 復原計畫 Fallback Planning 企業永續營運管理Bussiness Community Management 意外事回應與 犯罪管理 Incident Response Crisis Management 加密Encryption 密碼管理 Password Management 身份驗證與存取控制Authentication Access Control 認證註冊與管理Certificate Registration Management 滲透測試 Penetration Testing 病毒防治 Virus Prevention 監督與入侵偵測Monitoring Intrusion Detection 何謂ISMS(Information Security Management System) 透過規劃(Plan)、執行(Do)、檢查(Check)與行動(Act)以建立完善的制度以進行資訊管理。 建立ISMS 實作ISMS 審查ISMS 維持改進ISMS 規劃 Plan 執行 Do 檢查 Check 行動 Act 規劃：建立與管理風險及改進資訊安全相關之 ISMS的政策、目標、過程及程序，以產 產生與組織整體政策和目標一致的結果 執行：實做與運作ISMS的政策、控制措施、過 程和程序。 檢查：依據ISMS政策、目標及實際經驗、評鑑 及在試用時測量過程績效，並將結果回 報給管理階層審查。 行動：基於ISMS內部稽核與管理階層稽查結果 或其它相關資訊採取矯正與預防措施， 以達成ISMS的持續改進。 部份學校目前的資安現況 原資訊組長調校，因為沒有書面紀錄，新任資訊組長對學校資訊設備的位置、功能等不盡了解，甚至還要請教平日協助維護的廠商。 因書面資料不全，學校沒有人明白到底校內有多少合法授權的軟體；軟體授權書、序號也沒有列管而散失。 學校Server是「前前前任資訊組長」架設，沒有書面交接資料(或交接不全)，只能使用其上的網頁應用程式，無人能以最高權限管理者登入該Server，故無法更新及維護系統，一旦發生入侵事件不知該如何是好。 資訊組長請假或公出，學校的電腦或是網路發生異常狀況，無人能夠處理，只得急Call資訊組長回校，若資訊組長出國旅遊，異常狀況會持續到他銷假。 外界對國中小學資安現況的看法 市府研考處： 1.某校的電腦機房亂成一團，進出也沒有管制，好像任何人 都可以進去。 2.某校的行政用電腦，沒有設定通行碼，任何人一開機就能 使用；有行政用電腦有設定，但通行碼是123456，隨便猜 都進的去。 3.某校的行政用電腦內發現有安裝p2p程式，疑似有非法下 載的行為。 部份電腦廠商： 1.某校好像是個大毒窟，隨身碟一旦放入該校的電腦，該隨 身碟就會中毒。 2.某校的網路線拉的亂七八糟，我