ISMS简介与法规案例说明教材教学讲义.ppt

ISMS簡介與法規案例說明;ISO 標準-家族之架構;尤重【持續改善】喔！;資訊安全管理系統認證簡史;1998年：英國公布BS 7799(Part-2) 「資訊安全管理規範」並為資訊安全管理認證之依據。 2000年：增修後之7799(Part-1)於2000年12月1日通過ISO審議，成為ISO/IEC 17799國際標準。 7799(Part-2) 2002 年12 月5 日未通過審議，我國經濟部標準檢驗局分別基於ISO/IEC 17799 與BS 7799 -2，發布國家標準CNS 17799及CNS 17800。 2005年6月15日，ISO/IEC 17799：2005(E)正式發行。ISO於ISO/IEC 17799：2005(E)之前言敘明於2007年將發行ISMS的27000標準系列。 ISO/IEC 17799：2005(E)將由ISO/IEC 27000系列取代。 2005年10月15日ISO/ IEC 27001與ISO/ IEC 27002正式發行。;資訊科技與資訊安全之演進;資訊的定義;資訊安全之目的;我們要保護的重點是什麼？;我們要保護的重點是什麼？(續) ;我們要保護的重點是什麼？ (續) ;資訊安全脆弱性; 3.軟體 3.1 開發者的規範不清楚或不完整。(可能會被利用的威脅例：軟體失能的威脅) 3.2 沒有軟體測試或軟體測試不足。(可能會被利用的威脅例：未經授權使用者使用軟體的 威脅) 3.3 複雜的使用者介面。 (可能會被利用的威脅例：操作人員執行錯誤的威脅) 3.4 識別與鑑別(像是使用者鑑別)機制的不足。(可能會被利用的威脅例：偽裝使用者身分 的威脅) 3.5 缺乏稽核軌跡。(可能會被利用的威脅例：在未經授權的方式下使用軟體的威脅) 3.6 軟體的瑕疵。(可能會被利用的威脅例：未經授權的使用者使用軟體的威脅) 3.7 密碼表保護不足。(可能會被利用的威脅例：偽裝使用者身分的威脅) 3.8 密碼管理不足(易猜到密碼、未清除不應儲存的密碼、變更密碼的頻率不足)。 (可能會被利用的威脅例：偽裝合法使用者身分的威脅) 3.9 存取權限指派錯誤。(可能會被利用的威脅例：未經授權下使用軟體的威脅) 3.10 未控制軟體的使用和下載。(可能會被利用的威脅例：惡意軟體的威脅) 3.11 離開工作站時沒有”登出”。(可能會被利用的威脅例：未經授權的使用者使用資訊資源 的威脅) 3.12 缺乏有效變更控制的管理。(可能會被利用的威脅例：軟體失能的威脅) 3.13 缺乏文件。(可能會被利用的威脅例：操作人員執行錯誤的威脅) 3.14 缺乏複製備份。(可能會被利用的威脅例：惡意軟體或火災的威脅) 3.15 沒有適當刪除就處置或重覆使用儲存媒介。(可能會被利用的威脅例：未經授權的使用 者使用資訊資源的威脅) ;4. 通訊 4.1 未保護通訊線路 (可能會被利用的威脅例：竊聽的威脅) 。 4.2 缺乏連線電纜 (可能會被利用的威脅例：通訊滲透的威脅) 。 4.3 缺乏傳送者與接收者的識別與鑑別 (可能會被利用的威脅例：偽裝合法使 用者身分的威脅) 。 4.4 未保護的密碼傳輸 (可能會被利用的威脅例：未經授權使用者的網路存取 的威脅) 。 4.5 缺乏傳送或接收訊息的證據 (可能會被利用的威脅例：否認的威脅) 。 4.6 撥號線路 (可能會被利用的威脅例：未經授權使用者的經由網路存取資訊 資源的威脅) 。 4.7 未保護敏感性資料的傳輸 (可能會被利用的威脅例：竊聽的威脅) 。 4.8 網路管理不足(彈性的群眾) (可能會被利用的威脅例：流量超過負載的威 脅) 。 4.9 未保護公共網路的連接 (可能會被利用的威脅例：未經授權使用者使用資 訊資源的威脅) 。;5.文件 5.1 儲存文件保護不足 (可能會被利用的威脅例：失竊的威脅) 。 5.2 缺乏小心地處置 (可能會被利用的威脅例：失竊的威脅) 。 5.3 未控制複製 (可能會被利用的威脅例：失竊的威脅) 。 6.人員 6.1 人員的不足(可能會被利用的威脅例：員工不足的威脅) 。 6.2 沒有適當管理在外工作的員工 (可能會被利用的威脅例：失竊的威脅) 。 6.3 安全訓練不足 (可能會被利用的威脅例：員工操作錯誤的威脅) 。 6.4 缺乏安全察覺 (可能會被利用的威脅例：使用者執行錯誤的威脅) 。 6.5 不正確的使用軟體和硬體