信息资讯安全管理的相关政策.ppt

資訊安全導論課程教材 資訊安全管理 委辦單位：教育部顧問室資通安全聯盟 執行單位：淡江大學資訊管理學系 課程模組大綱 Module 1：資訊安全管理概論 Module 2：資訊安全風險 Module 3：先期規劃 Module 4：風險評鑑 Module 5：資訊安全政策 Module 6：資訊安全管理組織 Module 7：資產管理 Module 8：人力資源管理 Module 9：實體與環境安全管理 Module 10：通信與作業管理 Module 11：存取控制 Module 12：資訊系統的取得、開發及維護 Module 13：資安事故管理 Module 14：營運持續管理 Module 15：法令、政策、標準、及技術的符合性 Module 16：內部稽核 Module 17：管理審查 Module 18：持續改進 Module 1：資訊安全管理概論 學習目的 本模組目的在於學習資訊安全的定義，為何需要資訊安全管理，如何建立資訊安全需求，評估資訊安全風險，處理資訊安全風險，選擇控制措施，資訊安全管理標準簡介及其演進，資訊安全管理之關鍵成功因素，以及資訊安全管理之重要名詞說明等 本模組的重點是瞭解什麼是資訊安全，資訊安全管理的重要性，以及資訊安全管理系統重要元素，包括：資訊安全風險評估與處理、控制措施選擇等。並瞭解資訊安全管理的標準、關鍵成功因素、重要名詞等。 Module 1：資訊安全管理概論 Module 1-1：資訊安全的定義 Module 1-2：為何需要資訊安全管理 Module 1-3：如何建立資訊安全需求 Module 1-4：評估資訊安全風險 Module 1-5：處理資訊安全風險 Module 1-6：選擇控制措施 Module 1-7：資訊安全管理標準簡介及其演進 Module 1-8：關鍵成功因素 Module 1-9：重要名詞說明 Module 1-10：我國資安管理法源/政策 參考文獻 習題 Module 1-1：資訊安全的定義 Module 1-1：資訊安全的定義 隨著網際網路高度發展及全球化的趨勢，資訊安全已成為企業經營管理不可忽視之重要課題。 資訊（Information）是組織重要資產，就像其它重要的營運資產一樣，對組織具有價值。 因此需要適當保護，尤其是高度依賴資訊化服務的組織將更形重要。 相對地，資訊也更有機會暴露於日益多樣的威脅與脆弱性中。 資訊儲存及呈現的形式相當多元，可以列印成書面表示、可以用電子方式儲存、可以用郵寄或是電子郵件傳送、也可以用影片播放或以口頭說明。 無論資訊的形式為何，以何種方式儲存或與他人共享，均應以適當的方式加以保護。 資訊安全（Information Security, 簡稱資安）是將保護資訊的控制措施實施於組織現有的營運流程及組織架構中，保護資訊不受各種威脅，確保營運持續、降低營運損失、使組織獲致最佳投資報酬率及商業機會。 當資訊的機密性（Confidentiality）、完整性（Integrity）、可用性（Availability）遭到破壞時，可能會造成組織重大的衝擊，甚至中止組織的運作。 如何保護資訊資產是所有組織所面臨的重要議題之一。 Module 1-2：為何需要資訊安全管理 Module 1-2：為何需要資訊安全管理 資訊和支援作業、系統及網路都是重要的營運資產。 資訊安全攸關能否維繫競爭力、現金流量、獲利能力、適法性、及商業形象。 組織本身與其資訊系統、網路所面臨的安全威脅來源日益廣泛。 除了火災或水災等天然的災害外，尚有人為的攻擊破壞，如電腦相關詐欺行為、入侵攻擊行為（例如：如惡意碼、電腦駭客等）、蓄意破壞、毀損等攻擊，都愈來愈普遍、影響也越來越大、技術亦日益複雜。 資安需要全面的綜合管理。 資訊安全管理系統（Information Security Management Systems, ISMS）的導入，可以協調組織各方面的管理機制，使資訊安全更有保障。 資訊安全管理系統是運用一套系統方法，對組織內敏感資產進行管理，涉及到人員、程序和資訊技術（Information Technology, IT）等的系統。 資安的需求是存在於各種組織（不論政府部門、私人企業或非營利組織等）。 確保資訊資產安全，才能避免或降低有關的風險。 過去多數組織對資訊安全並無太多概念，很多資訊系統在設計時，並未將安全控管納入考慮。 透過技術手段所能達到的安全有限，必須透過適切的管理及程序支援才能有效達成目標。 資訊安全管理將包括組織內所有員工及組織外的供應商、第三方、客戶等外部人員。 Module 1-3：如何建立資訊安全需求 Module 1-3：如何建立資訊安全需求 組織識別自身的安全要求，是絶對必要的。 安全要