标资料准化应用运用於中小企业导入.pdfVIP

標準化應用於中小企業導入 資訊安全管理系統之成功經驗 主辦單位：經濟部標準檢驗局 執行單位：NII產業發展協進會 大綱 壹：資訊安全簡介 貳：資訊安全管理系統 參：中小企業資訊安全管理系統標準之制定 肆：中小企業標準化導入成功經驗 伍：結論 All Rights Reserved by NII 2 壹、資訊安全簡介 壹、資訊安全簡介 資訊與資訊安全 ‧資訊對組織而言是資產 ，和其他重要的營運資產一樣 有價值，因此需要持續給予妥善保護。 ‧資訊安全可保護資訊不受各種威脅 ，確保持續營運、 將營運損失降到最低，得到最豐厚的投資報酬率及商 機。 摘錄自CNS 17799 All Rights Reserved by NII 4 為何要保護資訊？ • 資訊是一種資產，和其他重要的營運資產一樣有價 值，因此需要持續給予妥善保護。 • 保護資訊不受各種威脅，確保企業持續營運、將營運 損失降到最低。 • 客戶要求 • 政府政策與法規的要求 All Rights Reserved by NII 5 資訊安全之目標 • 保護資訊的機密性、完整性與可用性 （舊版定義的目 標） • 另外也涉及鑑別性 （Authenticity ）、可歸責性 （Accountability ）、不可否認性 （Non-repudiation ） 及可靠度 （Reliability ） 機密性 摘錄自CNS 17799 完整性 可用性 All Rights Reserved by NII 6 影響資訊安全之要素 ‧實體安全 ‧系統取存控制 ‧電腦與網路安全 ‧備援管理 ‧政策與流程 ‧標準作業程序 ‧法令規章遵循 ‧安全稽核 ‧權責分工 ‧人員安全 三者環環相扣，缺一不可 ‧人員取存管制 Fact ：由於人員資安認知不 足 ，及制度不健全，常導致組 織投入大筆金額購置資安設 備 ，仍未達預期成效 All Rights Reserved by NII 7 哪個保險箱較安全? • 保險箱A ：神偷需48小時才能開鎖 (資安強度高的伺服器) • 保險箱B ：神偷3小時即可開鎖 (資安強度普通的伺服器) • 技術觀點：保險箱A •