- 1、本文档共25页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
信息安全管理制度风险评估手册
目
录
一前言
错误!未定义书签。
二本文
错误!未定义书签。
1
風險的定義及其本質
错误!未定义书签。
2
風險管理對資訊安全管理系統的重要性
错误!未定义书签。
3
資訊風險管理與資訊風險評估之關連
错误!未定义书签。
4
各種資訊風險評估作業程序之比較與建議
错误!未定义书签。
5
結論
错误!未定义书签。
6
參考文件與標準
错误!未定义书签。
三作者簡介:
错误!未定义书签。
编序
自从行政院于民国九十年一月十七日第二七一八次院会通过「建立我国通信息基础建设安全机制计划」,并成立「国家资通安全会报」后,即开始结合内政、外交、国防、财政、教育、法务、经济、交通等部会,针对电力、电信、金融、交通等国家基础建设之安全防护,共同研讨相关因应作为,其中对于教育训练的重视与人才之培育,更是重点工作项目之一。
依照国家资通安全会报综合业务组之规划,整个教育训练的时程大致上可分为资通安全基础训练建置,资通安全防护及运用训练,资通安全专业训练三大阶段;而编撰本手册之源由,系配合国家资通安全会报对于政府机构建立信息安全的基本防范能力,以及建立信息安全的防范体系所做的一连串配套措施之一,旨在提升政府机构人员对于信息安全管理系统的基本认知以及针对实际建置管理系统所需的程序提供相关教育训练。
本手册编撰由中华民国计算机稽核协会负责,将发行给政府单位作为执行信息安全管理制度时之参考书籍。有鉴于大多数政府机关人员对于信息安全管理系统及其建置程序并未有完整之观念,或是仍存有部份之迷思,其中有关于信息风险评估的原理及执行程序是最易令人产生困惑之处,因此本手册之编排方式将先针对信息风险的定义及其本质予以简介,然后说明如何管理信息风险以及介绍信息安全管理系统建置程序;最后再引导至风险评估对于整个信息安全管理系统的重要性以及介绍目前国际上较为通用的风险评估方式,期望能协助各单位有所依循且有效地执行信息安全管理制度之推行。
国家资通安全会报技术服务中心 谨订
中华民国九十二年四月
Page:2 of 25
一、前言
运用信息技术尚需注意人性的管理:
很多人在一接触到信息安全管理系统(Information Security Management System,简称
ISMS)时,首先浮现的念头大多是「一种非常专业的知识,只有信息相关的从业人员才可以胜任」。但有趣的是,当发生了信息安全事件时,信息人员也常表示「我们己经提供了最佳设备及软件,也对相关人员实施了相关的教育训练」;那么信息安全事件何以还是在我们的周遭不断地重复发生呢?
当从新闻媒体或是报章杂志得知了台湾又发生了信息安全事件时,很多人总想一探究竟地了解到底在安全系统中是哪里出现了漏洞,让为非做歹者有机可乘。而事实是,不论是在金融业、公共事业或是其它与信息相关的产业,绝大部份造成信息安全事件的原因都不是专业技术的层面,而是在人性面上出现的漏洞所导致。不可否认的是,蓄意犯罪的人员的专业素养及用功认真的程度是远高过于我们一般的从业人员,尤其在信息安全事件方面,有鉴于此,我们也必须要有一套能在组织中展开的信息安全管理机制,藉由组织内人员的知识及警觉来形成信息安全的防护网,使得有心人士不会那么容易的得逞,即使是提高了犯罪的成本或是难度,这也就是某种程度的信息安全防护了。
风险评估是信息安全管理制度的重要建置步骤:
近年来各大媒体对于信息安全事件的报导日渐增多,不定期发生的病毒警示发布、网络银行的账户密码遭破解盗取存款、中美网络黑客大战等等,在报章媒体失真地报导与过度地渲染之下,「信息安全」也成为本世纪以来谈及因特网时的热门议题。但一般人对于「信息安全」所蕴含的意义,仅止于将报章杂志上耸动的标题- 黑客攻击、计算机病毒及信息战等,与信息安全划上等号。若企业经营管理阶层、信息从业人员亦有此错误之认知,认为防火墙之购买及防毒软件之使用即是落实了信息安全的良善管理,而未针对安全管理之机制思考其真正意涵,那么在信息安全管理的逻辑上已产生了一个严重的错误:亦即仅重视技术层面之各项软硬件导入与应用,而忽略了管理层面风险评估与控管程序建置之重要性,导致企业执行信息安全管理机制时造成失衡,亦造成信息安全的管理与企业经营的需求发生冲突时无适当之权衡评估方式。
二、本文
风险的定义及其本质
1.1 认识风险才知如何管理
在开始进入主题前,想先和大家分享一个现象。自从 921 大地震后,开始引发社会呼吁企业应注重「业务持续营运计划」(Business Contingency Plan 简称 BCP)的声音,而后陆续又发生汐止东方科学园区大火、纳莉水灾、美国 911 恐怖攻击事件等几乎每
Page:3 of 25
年一次不同类型的灾难事件后,我们曾经一度以为各企业对 BCP 的接受度与需求会
您可能关注的文档
- 战略实施与控制.docx
- 2012年互联网行业风险分析报告.docx
- 某广告设计公司商业计划书.docx
- 云南省地方标准-公众聚集场所消防安全技术规范.docx
- 可持续发展及其法律诉求.docx
- 中信实业银行重庆分行发展战略.docx
- ERP项目实施规范.docx
- 一站网络干部管理系统试客联盟连长手册.docx
- 计量经济学试验.docx
- 生态旅游综合开发项目可行性研究报告.docx
- 2024年江西省寻乌县九上数学开学复习检测模拟试题【含答案】.doc
- 2024年江西省省宜春市袁州区数学九上开学学业水平测试模拟试题【含答案】.doc
- 《GB/T 44275.2-2024工业自动化系统与集成 开放技术字典及其在主数据中的应用 第2部分:术语》.pdf
- 中国国家标准 GB/T 44275.2-2024工业自动化系统与集成 开放技术字典及其在主数据中的应用 第2部分:术语.pdf
- GB/T 44285.1-2024卡及身份识别安全设备 通过移动设备进行身份管理的构件 第1部分:移动电子身份系统的通用系统架构.pdf
- 《GB/T 44285.1-2024卡及身份识别安全设备 通过移动设备进行身份管理的构件 第1部分:移动电子身份系统的通用系统架构》.pdf
- 中国国家标准 GB/T 44285.1-2024卡及身份识别安全设备 通过移动设备进行身份管理的构件 第1部分:移动电子身份系统的通用系统架构.pdf
- GB/T 44275.11-2024工业自动化系统与集成 开放技术字典及其在主数据中的应用 第11部分:术语制定指南.pdf
- 中国国家标准 GB/T 44275.11-2024工业自动化系统与集成 开放技术字典及其在主数据中的应用 第11部分:术语制定指南.pdf
- 《GB/T 44275.11-2024工业自动化系统与集成 开放技术字典及其在主数据中的应用 第11部分:术语制定指南》.pdf
文档评论(0)