资讯技术资讯安全管理作业要点-经济部标准检验局.ppt

CNS 17799 如果您不知如何為公司取得資訊安全認可證書？ 如果您需要任何有關資訊安全的協助與諮詢？ 如果您需要獲得有關資訊安全管理系統的資訊？ END 營運持續管理 14.1營運持續管理的資訊安全層面 14.1.2營運持續與風險評鑑 應根據風險評鑑結果發展策略計畫，以決定營運持續的整體方法，計畫一旦建立後，管理階層宜予以支持，並產生和支持該策略的實作計畫。 EXIT 營運持續管理 14.1營運持續管理的資訊安全層面 14.1.3發展與實作包含資訊安全的持續計畫 控制：宜發展與實作計畫，以在重要營運過程中斷、或失效後，維持或恢復作業；並確保資訊在必要時間內達到所要求等級的可用性。 實作指引：營運持續規劃過程宜考慮下列 識別並協議所有權責及營運持續程序 識別可接受的資訊和服務的損失 實作緊急程序時，復原及回復營運作業與資料的可用性必須在要求時間內完成，需特別注意評鑑內部與外部的營運依存要件（business dependency）與合約的適當性 延遲完成復原及回復時遵循的作業程序 將議定的程序及過程予以文件化 針對議定的緊急程序及過程進行適當的員工訓練，包括危機管理 測試並更新計畫 EXIT 資訊系統取得、開發及維護 12.4系統檔案的安全 目標：確保系統檔案的安全。 宜控制存取系統檔案和程式原始碼的行為，宜確保資訊技術專案及支援活動以安全的方式執行。宜注意避免敏感資料暴露於測試環境中。 EXIT 資訊系統取得、開發及維護 12.4系統檔案的安全 12.4.1作業軟體的控制 控制：宜有各程序以管制作業系統上軟體的安裝 。 實作指引：為將毀損作業系統的風險降至最低，宜考慮下列指引以控制變更： 唯有獲得適切管理階層授權，經過訓練的管理員，才能執行作業系統軟體、應用程式和程式庫得更新（參閱12.4.3節） 。 作業系統宜只保留經核准的可執行程式碼，而非開發碼或編譯程式 。 唯有廣泛及成功的測試後，才能執行應用系統和作業系軟體；測試宜包括在其它系統上可用性、安全性、效果的測試，以及使用者親和性，宜在分隔的系統上執行（另請參閱10.1.4節）；宜確保所有相關的程式原始碼程式庫已被更新 。 宜使用配置控制系統以保存控制所有施行的軟體和系統的文件 。 變更實作前宜備有復原策略。 宜維護作業程式庫所有更新作業的稽核日誌 。 EXIT 資訊系統取得、開發及維護 12.4系統檔案的安全 12.4.1作業軟體的控制 宜保留應用系統軟體的先前版本以作為應變的方法。 只要資料保留在檔案庫內，軟體的舊版本宜與所有需要的資訊和參數、程序、配置細節、和支援軟體一起歸檔。 供應商提供使用在作業系統中之軟體，宜按照供應商支援的等級進行維護。隨著時間度過，軟體供應商將停止支援較老舊的軟體版本。組織宜考慮依賴無支援的軟體之風險。 任何升級到新版的決定宜考慮變更的營運要求及該版本的安全性，例如引入新的安全功能或影響該版本的安全問題數目和嚴重程度。如果軟體修補程式能協助移除或減少安全弱點，宜予以安裝（另請參閱12.6.1節）。 宜只有在必要的時候才能為支援的目的給供應商實體或邏輯存取權，且需經過管理階層批准。供應商的活動宜予以監視。 EXIT 資訊系統取得、開發及維護 12.4系統檔案的安全 12.4.2系統測試資料的保護 控制：宜小心地選擇測試資料，並保護及控制。 實作指引：宜避免使用包含個人資訊或其它敏感資訊的作業資料庫作為測試。如果為測試目的使用個人資訊或其它方面的敏感資訊，使用之前宜移除或修改所有敏感細節與內容，使其無法辨認。用於測試時，宜使用下列指引以保護作業資料： 適用於作業應用系統的存取控制程序也宜適用於測試應用系統 。 每次複製作業資訊到測試應用系統均宜經過個別授權 。 在測試完成後宜立即將作業資訊從測試應用系統中清除 。 宜記錄作業資訊的複製和使用情況到日誌紀錄，以便提供稽核存底。 EXIT 資訊系統取得、開發及維護 12.4系統檔案的安全 12.4.3程式原始碼的存取控制 控制：宜限制對程式原始碼的存取。 實作指引：宜嚴格控制程式原始碼及相關項目（如設計、規格、驗證計畫及確認計畫），以預防引進未經授權的功能及避免非故意的變更。對程式原始碼而言，可藉由可控制的集中儲存達到上述目的，最好是程式原始碼程式庫。宜考慮下列指引控制原始程式庫的存取（另請參閱11節），以減少電腦程式毀損的可能： 原始程式庫宜儘可能不要保存在作業系統上 。 程式原始碼及原始程式庫宜依已建立的程序管理 。 支援人員不宜擁有無限制的原始程式庫存取權限 。 宜僅能於收到適切的授權後，執行原始程式庫及相關項目的更新和發布原始碼給程式設計人員。 程式清單宜保存在安全的環境中（參閱10.7.4 節） 。