導入iso270012005資安管理系統經驗分享-台中區網中心.pptVIP

* 導入甘苦談(續) 因內稽﹑外稽﹑文件審查﹑預評皆須修正程序及規範，文管人員負荷沈重。96年4月國內已有ISMS管理工具上市，可減輕這方面負擔 亦可運用ISMS管理系統輔助 風險評鑑重置與比較 個人化資安稽核清單與線上稽核 自動化適用性聲明書分析與產出 宣導資訊安全的重要及資訊安全認知﹑技術﹑稽核教育訓練 * 認證後之持續運作與改善 透過定期稽核持續運作 利用持續改善的機制，加強同仁對管理制度的信任與適用 透過資訊安全討論與規劃，視組織資源訂定資安制度及可量化目標 * 執行ISMS的具體效益 提昇組織安全及系統安全 經由風險評鑑確認關鍵性資產 提供一個持續改善的架構 建立組織標準作業程序易於管理、傳承 提昇管理階層的資訊安全認識及支持 易於爭取內部資源 提昇全校師生對學校提供之資訊服務信任感 提高計通中心全體同仁之責任心及榮譽感 ※參考資料:政府單位推動ISMS經驗分享-檔案管理局 * 教育體系資通安全管理規範 依據 適用範圍 控制目標及控制措施參考 適用對象 適用系統 目標期程 刪除之規範與控制項 導入試作點-國立成功大學 * 依據 教育部函 教育部 309000000E 函 發文日期： 中華民國 中華民國96年7月6日 發文字號： 台電字 第096 0103352號 主旨： 檢送「教育部所屬機關及各公私立學校資通安全工作事 項」，請　查照辦理。 說明： 一、檢送「教育部所屬機關及各公私立學校資通安全工作事 項」，各機關學校應落實實施資通安全工作事項，資訊安全長(副首長以上)應加強監督旨揭工作事項執行情形。 二、各縣市政府教育局請轉知所屬國中小學，並協助監督考核執行情形 網址.tw/EDU_WEB/EDU_MGT/MOECC/EDU0688001/tanet/fix.htm * 教育體系各機關適用範圍 「教育體系資通安全管理規範」第1群：適用教育部電算中心、部屬館所、縣(市)網中心及公私立大專院校。 「教育體系資通安全管理規範」第2群：適用公私立高中職學校。 規模及經費考量，第2群較為寬鬆 * 國中小學資通安全管理系統實施原則 適用國中小學 網址.tw/EDU_WEB/EDU_MGT/MOECC/EDU0688001/tanet/EDUISMS-J-960530V1.doc * 控制目標及控制措施參考 ISO17799:2005第A.5至A.15和行政院及所屬各機關資訊安全管理規範中列出之項目，另並依據教育體系與相關單位既有之屬性與特點，保留符合各層級單位之項目。各單位應考量自身的需求與特性，考慮增加其他必要之控制目標及控制措施。 * 適用對象 適用對象 除一體適用不予標註的項目外，將加以註記較適用於第一群之說明，避免歸屬第二群之單位於施行上的困難(但為避免此「建議適用」造成資安威脅的挑戰，第二群單位仍需考量該適用第一群條款之納入必要性) * 適用系統 針對連線單位的「學術網路系統」及「行政資訊系統」，亦將註記該條款適用的系統，若無加註的部份，為兩套系統需遵守之項目 * 目標期程 各單位在資訊業務管理上，受限於人力、經費等各項資源，加上建置ISMS過程中須與相關單位以及管理階層多加協調溝通；建議採階段式進行，以三年為期自行設定合理的期程目標，逐步達成每年度預定的進程比例，而非耗盡內部資源全力投入的模式 * 刪除之規範與控制項 考量：教育體系與相關單位的特性 簡化所有條款之內容 合併 代替 省略 刪除 目的：便於進行ISMS的所有程序，在不過於耗費資源，又不暴露單位於資安危機的情況下，降低資安事件的發生，提升ISMS之有效性。 * 導入試作點 教育體系資訊安全管理制度導入試作點-國立成功大學 網址.tw/EDU_WEB/EDU_MGT/MOECC/EDU0688001/tanet/fix.htm 包含政策、 適用性聲明書、程序、表單、手冊、適用性聲明書參考範本 QA 敬請指教 * * 什麼是BS7799?BS7799?是一套資訊安全防護機制的規範?Information?Security?Management?Systems?(?簡稱?ISMS)?，由英國標準協會?(British?Standards?Institute?，簡稱?BSI)?制訂並在?1995?頒布，期望透過?BS7799?這套計畫能夠有效建構資訊安全防護機制。一家企業只要能夠做到?BS7799?的要求並且通過獨立稽核機構的評鑑，便可獲頒?BS7799?資訊安全認證。到?2006?年?4?月?3?日止全世界總共有?3613?家企業?/?機構通過?BS7799?認證，其中前十名分別為?1.?日本?(1338?家通過?)?、?2.?英國?(232?家通過?)?、?3.?印