资讯安教材全管理-通信跟作业管理(ppt 208页).ppt

資訊安全導論課程教材 資訊安全管理 委辦單位：教育部顧問室資通安全聯盟 執行單位：淡江大學資訊管理學系 Module 10：通信與作業管理 學習目的 本模組目的在於學習通信與作業管理相關之實實要點，包括：作業之程序與責任、第三方服務交付管理、系統規劃與驗收、防範惡意碼與行動碼、資訊備份、網路安全管理、媒體的處置、資訊交換、電子商務服務及監視等。 本模組的重點是瞭解日常資訊處理之通信與作業管理的10個單元與其實施要點，包括：作業之程序與責任、第三方服務交付管理、系統規劃與驗收、防範惡意碼與行動碼、資訊備份、網路安全管理、媒體的處置、資訊交換、電子商務服務及監視等，以確保正確與安全地處理資訊。 Module 10：通信與作業管理 Module 10-1：通信與作業 Module 10-2：實施要點 Module 10-3：作業之程序與責任 Module 10-4：第三方服務交付管理 Module 10-5：系統規劃與驗收 Module 10-6：防範惡意碼與行動碼 Module 10-7：資訊備份 Module 10-8：網路安全管理 Module 10-9：媒體的處置 Module 10-10：資訊交換 Module 10-11：電子商務服務 Module 10-12：監視 參考文獻 習題 Module 10-1：通信與作業 Module 10-1：通信與作業 資訊處理內涵牽涉廣泛，包括人員、資訊本身、資訊處理流程及資訊處理設施之操作等。 本Module分成包括：作業之程序與責任、第三方服務交付管理、系統規劃與驗收、防範惡意碼與行動碼、資訊備份、網路安全管理、媒體的處置、資訊交換、電子商務服務及監視等10個單元，說明日常資訊處理之通信與作業管理，以確保正確與安全地處理資訊。 1. 作業之程序與責任 為能確保正確與安全地操作資訊處理設施，主要的工作內涵包括制定適當的作業程序、對所有資訊處理設施規範管理和作業的責任與程序、實施職務區隔，以降低疏忽誤用系統的風險或蓄意破壞系統的風險。 2. 第三方服務交付管理 組織委由第三方服務之活動與日俱增，組織應妥善管理第三方服務之資訊安全及服務交付等級。 其內涵包括確保第三方交付之服務內容與協議一致、查核並監視交付協議的符合性及各項交付變更管理，以確保其交付之服務符合第三方服務交付協議的所有要求。 3. 系統規劃與驗收 許多系統失效的資安事故係導因於系統效能及容量不足。 為使系統失效的風險最小化，組織應預先規劃與準備，確保足夠的容量和資源，以達成所要求的系統效能。 其工作內涵包括對未來的容量需求先預作規劃，以降低系統超載的風險。對新系統的驗收及正式使用之前，應建立、記錄和測試其操作要求。 4. 防範惡意碼與行動碼 惡意碼與未經授權之行動碼，已對組織資安造成極大威脅與困擾，故組織應對軟體與資訊的完整性進行保護，以防止、偵測及移除惡意碼與控制行動碼。 其工作內涵包括如何對軟體與資訊處理設施採取保護之預防措施。 如何有效偵測惡意碼與未經授權行動碼的植入。 如何有效的移除電腦病毒、蠕蟲、特洛伊木馬及邏輯炸彈。 如何讓使用者認知惡意碼的危險等。 5. 備份 資料與軟體系統的備份可有效維持資訊及資訊處理設施的完整性與可用性。 組織應依其備份政策與策略，建立例行備份程序及備份資料複本，並進行恢復（Restoration）演練，以確保組織具備及時的復原能力。 6. 網路安全管理 網路功能無遠弗屆，但也形成資訊超越組織邊界的管理風險。組織應確保網路內資訊與支援性基礎建設受到保護。 網路的安全管理包括：保護資料流、監控網路行為、保護支援性基礎建設及遵循法律等，需要採取各種網路安全控制措施，以保護透過公眾網路傳送的敏感資訊。 7. 媒體的處置 組織重要資訊需要透過媒體儲存及傳遞處理時，為防止資訊及資產被未經授權的揭露、修改、移除或破壞，以及營運活動的中斷，組織應對媒體的處置加以控制與實體保護。 媒體儲存及傳遞處理之保護措施可包括：建立適切的媒體及資訊處理設施操作程序，以防止文件、可移除式媒體、電腦媒體（例如：磁帶、磁碟）、資訊及系統文件，被未經授權的揭露、修改、移除及破壞等。 8. 資訊交換 基於資訊交換及分享的情況日益普遍，故組織應確保組織與任何外部個體所交換之資訊與軟體的安全。 資訊交換之控制措施包括：組織應建立資訊和軟體交換政策。任何資訊交換除應基於此交換政策外，尚需依交換協議進行。 且遵循所有相關法律建立相關作業程序與標準，以保護資訊與相關實體媒體。 9. 電子商務服務 組織營運若有使用電子商務服務，應確保電子商務服務及使用的安全性。 電子商務服務之控制措施包括：確保提供安全的電子商務服務（包括線上交易）環境、保護電子商務資訊及經由公眾系統發行之資訊的