- 1、本文档共183页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
ISMS简介与法规案例说明5
ISMS簡介與法規案例說明 主講人 查傳憲 ISMS簡介 ISO 標準-家族之架構 IS0 的五大精神 資訊安全管理系統認證簡史 1990年:世界經濟合作開發組織(OECD)轄下之資訊、電腦與通訊政策組織開始草擬資訊系統安全指導綱要」。 1992年:OECD於1992年11月26日正式通過「資訊系統安全指導綱要」。 1993年:英國工業與貿易部頒布:「資訊安全管理實務準則」。 1995年:英國訂定「資訊安全管理實務準則」之國家標準BS 7799第一部分,並提交國際標準組織(International Organization for Standardization ,簡稱ISO)成為ISO DIS14980。 1996年:BS 7799(Part Ι)提交國際標準組織(ISO)審議,沒有通過成為ISO標準之要求。 資訊安全管理系統認證簡史(二) 1998年:英國公布BS 7799(Part-2) 「資訊安全管理規範」並為資訊安全管理認證之依據。 2000年:增修後之7799(Part-1)於2000年12月1日通過ISO審議,成為ISO/IEC 17799國際標準。 7799(Part-2) 2002 年12 月5 日未通過審議,我國經濟部標準檢驗局分別基於ISO/IEC 17799 與BS 7799 -2,發布國家標準CNS 17799及CNS 17800。 2005年6月15日,ISO/IEC 17799:2005(E)正式發行。ISO於ISO/IEC 17799:2005(E)之前言敘明於2007年將發行ISMS的27000標準系列。 ISO/IEC 17799:2005(E)將由ISO/IEC 27000系列取代。 2005年10月15日ISO/ IEC 27001與ISO/ IEC 27002正式發行。 資訊科技與資訊安全之演進 資訊安全脆弱性 環境和基礎結構 1.1 缺乏建築物、門、窗等實體的保護 (可能會被利用威脅例:失竊的威脅) 。 1.2 建築物、房間等實體進出控制的不足或不小心之疏忽 (可能會被利用的威脅例:故意損害的威脅) 。 1.3 不穩定的電源 (可能會被利用的威脅例:電源波動的威脅) 。 1.4 位於容易淹水的區域 (可能會被利用的威脅例:淹水的威脅) 。 硬體 2.1 缺少定期置換機制 (可能會被利用的威脅例:儲存媒介劣化的威脅)。 2.2 電壓容易變動 (可能會被利用的威脅例:電源波動的威脅) 。 2.3 溫度容易變動 (可能會被利用的威脅例:極端溫度的威脅) 。 2.4 容易潮濕、有灰塵 (可能會被利用的威脅例:灰塵的威脅) 。 2.5 對於電磁輻射敏感 (可能會被利用的威脅例:電磁輻射的威脅) 。 2.6 儲存媒介維護不夠/安裝失敗 (可能會被利用的威脅例:錯誤之維護威脅) 。 2.7 缺乏有效的組態變更控制 (可能會被利用的威脅例:操作人員執行錯誤的威脅) 。 資訊安全脆弱性 3.軟體 3.1 開發者的規範不清楚或不完整。(可能會被利用的威脅例:軟體失能的威脅) 3.2 沒有軟體測試或軟體測試不足。(可能會被利用的威脅例:未經授權使用者使用軟體的 威脅) 3.3 複雜的使用者介面。 (可能會被利用的威脅例:操作人員執行錯誤的威脅) 3.4 識別與鑑別(像是使用者鑑別)機制的不足。(可能會被利用的威脅例:偽裝使用者身分 的威脅) 3.5 缺乏稽核軌跡。(可能會被利用的威脅例:在未經授權的方式下使用軟體的威脅) 3.6 軟體的瑕疵。(可能會被利用的威脅例:未經授權的使用者使用軟體的威脅) 3.7 密碼表保護不足。(可能會被利用的威脅例:偽裝使用者身分的威脅) 3.8 密碼管理不足(易猜到密碼、未清除不應儲存的密碼、變更密碼的頻率不足)。 (可能會被利用的威脅例:偽裝合法使用者身分的威脅) 3.9 存取權限指派錯誤。(可能會被利用的威脅例:未經授權下使用軟體的威脅) 3.10 未控制軟體的使用和下載。(可能會被利用的威脅例:惡意軟體的威脅) 3.11 離開工作站時沒有”登出”。(可能會被利用的威脅例:未經授權的使用者使用資訊資源 的威脅) 3.12 缺乏有效變更控制的管理。(可能會被利用的威脅例:軟體失能的威脅) 3.13 缺乏文件。(可能會被利用的威脅例:操作人員執行錯誤的威脅) 3.14 缺乏複製備份。(可能會被利用的威脅例:惡意軟體或火災的威脅) 3.15 沒有適當刪除就處置或重覆使用儲存媒介。(可能會被利用的威脅例:未經授權的使用 者使用
您可能关注的文档
- CorelDRAW交互式变形工具应用实例3.doc
- CORELDRAW常用快捷键7.doc
- CPU和外设数据传送方式3.ppt
- CRD技术交底、3.doc
- cst微带线仿真3.ppt
- CTMS集装箱码头管理系统实训指导书0.doc
- C语言上机实验题目解题思路3.doc
- C语言复习60题3.doc
- c语言简答教程83.ppt
- D I S C 性格分析3.ppt
- 2024年中国钽材市场调查研究报告.docx
- 2024年中国不锈钢清洗车市场调查研究报告.docx
- 2024年中国分类垃圾箱市场调查研究报告.docx
- 2024年中国水气电磁阀市场调查研究报告.docx
- 2024年中国绿藻片市场调查研究报告.docx
- 2010-2023历年初中毕业升学考试(青海西宁卷)数学(带解析).docx
- 2010-2023历年福建厦门高一下学期质量检测地理卷.docx
- 2010-2023历年初中数学单元提优测试卷公式法(带解析).docx
- 2010-2023历年初中毕业升学考试(山东德州卷)化学(带解析).docx
- 2010-2023历年初中毕业升学考试(四川省泸州卷)化学(带解析).docx
最近下载
- My Life in China and America [容闳自传:我在中国和美国的生活].pdf
- 常熟银行研究报告:回归小微初心,乘风乡村振兴.doc VIP
- 浙商证券-宠物行业从乖宝宠物看宠物赛道:陪伴需求催化宠物新蓝海,食品赛道频现龙头.pdf
- ctgd-sop v5风口安装作业指导书.pdf VIP
- 消化道出血有关试题附有答案.docx VIP
- 湘教版美术《家乡的古建筑》说课稿.doc
- 上海地区不同垂直骨面型成人临床冠中心高度的比较研究.pdf VIP
- 2023年 AMC 10B 数学竞赛(原卷+答案).doc VIP
- 世界贸易组织.ppt VIP
- 2023年 AMC 10A 数学竞赛(原卷+答案).doc
文档评论(0)