ISOIEC17799资讯安全管理系统国际标准简介.pptVIP

ISO/IEC 17799＞資訊安全管理系統 國際標準簡介＜ 甚麼是ISO/IEC 17799？ 資訊安全管理國際標準 ＞ ISO/IEC 17799 ＞國際標準化組織 ISO：International Organization for Standardization ＞國際電子技術委員會 IEC：International Electro technical Commission ISO 17799 國際標準的發展歷史 1995 BS7799 Part 1 Code of practice 施行細則 1998 BS7799 Part 2 specification 認證標準 1999 BS7799 part 1 Code of practice 施行細則 1999 BS7799 Part 2 specification 認證標準 2000 ISO/IEC 17799 (BS7799 Part 1) Code of practice 施行細則 2001 CNS 17799-1(ISO 17799) CNS 17799-2(BS 7799 part 2) ISO 17799 與 BS7799 part 2 ISO 17799 (CNS 17799-1) 施行細則 參考文件 完整的最佳資訊安全管理範例 BS7799 Part 2 (CNS 17799-2) 以 ISO 17799 為基礎 規範了建立執行和文件劃一套資訊安全管理系統的要求 驗證標準 『ISO 17799』的內容 10 管理要項 36 執行目標 127 管制方法 十大管理要項 一、資訊安全政策 二、組織與權責 三、資產分類與管理 四、人員安全管理 五、設備與環境之安全管理 六、通訊及作業之安全 七、存取管制 八、資訊系統之開發與維護 九、業務活動永續運作之管理 十、法令依循 三十六個執行目標 ☆ 外來單位存取組織內資訊及資訊 處理設施時之安全管理。 ☆ 委外加工處理時相關資訊之安全 管理。 ☆ 降低人為錯誤、偷竊、欺騙或設 備誤用之風險。 三十六個執行目標(續) ☆ 發生易發事件及故障時如何將損害 降至最小，監督類似事件並從中學習。 ☆ 當發生重大系統失效或人為疏失時，不 會中斷企業活動且能保護企業的關鍵流程。 ☆ 避免觸犯任何刑事或民事法令和已成文 的、受控制的規範、合約及義務，還有 資訊安全要求。 一百二十七種管制方法 【例】4.2 組織與權責 4.2.1 資訊安全基礎架構 目標☆ 如何在組織內管理資訊安全 4.2.1.1 資訊安全管理委員會 4.2.1.2 部門間協調 4.2.1.3 權責分配 4.2.1.4 資訊處理設備之授權流程 4.2.1.5 專業資訊安全顧問 4.2.1.6 組織間合作 4.2.1.7 資訊安全審核之獨立性 國際趨勢 全世界已有八個國家超過50個組織通過BSi BS7799 的驗證 (台灣預計年底前有兩家) 日韓與中國大陸都將於近期內轉換為其國家標準 . . Q A * 甚麼是ISO/IEC 17799？ Industry DISC DTI BSI BS 7799-1:1995 BS PD0003 BS 7799-2:1998 Nov 97- April 99 BS 7799-1:1999 BS 7799-2:1999 ISO 17799 + 技術委員會 BDD/2 金融服務: Association of British Insurers, Institute of Chartered Accountants in England and Wales, Institute of Internal Auditors, Lloyds TSB, Nationwide Building Society, HSBS 通訊: British Telecommunications plc Racal Network Services 零售: Marks and Spencer plc 其他: Shell International Petroleum, Uniliver plc Whitbread, KPMG 『ISO 17799』的結構 資訊安全範圍 風險審查與風險管理 資訊安全政策 安全管理架構 資訊安全管理系統維護與審查 一百二十七種管制方法 【例】4.1 安全政策 4.1.1 資訊安全政策 目標☆ 提供管理階層對資訊安全的指示與支援 4.1.1.1 資訊安全政策文件