营运持续运作管理十符合性.ppt

實驗 10：CNS17799/17800 國家標準之條文解析 實驗 10：CNS17799/17800國家標準之條文解析 前言 資訊時代的發達，讓許多重要的文件皆以檔案的形式存於儲存媒體中，但卻也曾加機密外洩的可能性。因此，對企業而言做好資訊安全是十分重要的。 資訊安全管理(ISMS)的精神PDCA 法則： Plan (計畫) 建立能控制風險並加強組織安全的政策、目標、控制措施及作業流程 Do (執行) 針對計畫所列項目確實執行 Check (檢查) 簡視執行結果是否與計畫相符 Act (行動) 檢查如發現不適用或不符合項目須執行矯正行動 在教材的部份我們有說明資安政策的制定、資產的定義及風險評估，本實驗我們將針對經濟部發佈的CNS 17800資安法規的管理要項進行介紹。 CNS17799/17800條文解析 十大管理要項 CNS17799/17800條文解析 A.3 安全政策 A.3.1 資訊安全政策 控制目標：提供管理階層對資訊安全的指示與支持 A3.1.1資訊安全政策文件政策文件應由管理階層核准，並以適當方式向所有員工公布與宣導。 A3.1.2審查與評估政策應定時以及有重大改變時審查，以確保合乎時宜。 A.4 安全組織 A.5.1 資產可歸責性 控制目標：為維護組織資產適切的保護。 A.5.1.1資產清冊應製作所有與每一資訊系統相關重要資產之清冊並維護。 A.5.2 資訊分類 控制目標：確保資訊資產獲得適當之保護層級。 A.5.2.1分類指引資訊分類與相關保護控制措施應考量企業分享或限制資訊之需求，以及與該需求有關之業務衝擊。 A.5.2.2資訊標示與處理應制訂一套與組織採用之分類方式相符之資訊標示與處理流程。 CNS17799/17800條文解析 A.6 人員安全 A.6.1 工作說明及資源分配的安全 控制目標：降低人為錯誤、竊盜、詐欺、或誤用設施之風險 A.6.1.1將安全列入工作職掌中組織資訊安全政策中規定之安全角色與職務應於工作職掌中適當地予以文件化。 A.6.1.2人員篩選及政策正職員工在申請工作時即應進行背景檢查。 A.6.1.3保密協議員工應簽署保密合約，作為聘僱首要條件與限制之一部分。 A.6.1.4聘用條件與限制聘僱條件與限制應說明員工對資訊安全之責任。 A.6.2 使用者訓練 控制目標：確保使用者了解資訊安全的威脅與問題，且有能力在日常工作中支持組織安全政策。 A.6.2.1資訊安全教育與訓練組織內所有員工及相關第三方之使用者皆應接受適當訓練以及有關組織政策及程序之例行修訂。 A.6.3 安全及失效事件的反應處理 控制目標：將安全及失效事件所造成的損害降至最低，並監督這類事故並從中學習。 A.6.3.1通報安全事件安全事件應循適當管理途徑儘快通報。 A.6.3.2通報安全弱點應要求資訊服務之使用者在注意到系統或服務有任何明顯或可疑安全弱點或威脅時逕行通報。 A.6.3.3通報軟體失效應建立軟體失效通報程序。 A.6.3.4從事件中學習建立機制，以便量化且監控事件與失效的類型、數量與成本。 A.6.3.5懲罰處理違反組織資訊安全政策與程序之員工，應以正式懲罰處理。 CNS17799/17800條文解析 A.7 實體與環境安全 A.7.1 安全區域 控制目標：避免營運場所及資訊遭未經授權存取、損害與干擾。 A.7.1.1實體安全邊界組織應採用安全邊界以保護存放資訊處理設施之區域。 A.7.1.2實體進入控制措施安全區域應有適當進入控制措施，確保只有授權人員方可進出。 A.7.1.3辦公處所及設施之保護應設立保全區域，以提供特殊安全需求，保護辦公室、房間及設施。 A.7.1.4在保全區域內工作在保全區域內工作時應採取額外控制措施及指引，以強化該保全區域之安全性。 A.7.1.5隔離的收發與裝卸區裝卸區應予管制，若可能，應與資訊處理設施隔離，避免遭未授權進入。 A.7.2 設備安全 控制目標：避免資產遺失、毀壞或受損，並避免營運活動中斷。 A.7.2.1設備安置及保護設備應被安置或保護以降低來自環境之威脅及災害，以及未授權存取之機會。 A.7.2.2電源供應應保護設備不受電力故障及其他電力異常影響。 A.7.2.3纜線的安全傳送資料或支援資訊服務之電源與通訊纜線應予保護，以防止竊聽或破壞。 A.7.2.4設備維護設備應正確維護，使其持續可用與完整。 A.7.2.5場外設備之安全組織場所外設備應使用安全流程及控制措施，以保護其安全。 A.7.2.6設備之安全報廢或再使用設備在報廢或再使用前應將資訊清除。 A.7.3 一般控制措施 控制目標：避免資訊及資訊處理設施受危害或遭竊。 A.7.3.1桌面淨空與螢幕淨空政策組織應有一桌面及螢幕淨空政策，以降低資訊未授權存取、遺失及毀損之風險