资讯安全管理.pptx

資訊安全管理;課程模組大綱;Module 10：通信與作業管理 Module 11：存取控制 Module 12：資訊系統的取得、開發及維護 Module 13：資安事故管理 Module 14：營運持續管理 Module 15：法令、政策、標準、及技術的符合性 Module 16：內部稽核 Module 17：管理審查 Module 18：持續改進;Module 1：資訊安全管理概論 ;學習目的;Module 1：資訊安全管理概論;參考文獻 習題;Module 1-1：資訊安全的定義;Module 1-1：資訊安全的定義;資訊儲存及呈現的形式相當多元，可以列印成書面表示、可以用電子方式儲存、可以用郵寄或是電子郵件傳送、也可以用影片播放或以口頭說明。 無論資訊的形式為何，以何種方式儲存或與他人共享，均應以適當的方式加以保護。 ;資訊安全（Information Security, 簡稱資安）是將保護資訊的控制措施實施於組織現有的營運流程及組織架構中，保護資訊不受各種威脅，確保營運持續、降低營運損失、使組織獲致最佳投資報酬率及商業機會。 當資訊的機密性（Confidentiality）、完整性（Integrity）、可用性（Availability）遭到破壞時，可能會造成組織重大的衝擊，甚至中止組織的運作。 如何保護資訊資產是所有組織所面臨的重要議題之一。 ;Module 1-2：為何需要資訊安全管理;Module 1-2：為何需要資訊安全管理 ;除了火災或水災等天然的災害外，尚有人為的攻擊破壞，如電腦相關詐欺行為、入侵攻擊行為（例如：如惡意碼、電腦駭客等）、蓄意破壞、毀損等攻擊，都愈來愈普遍、影響也越來越大、技術亦日益複雜。 資安需要全面的綜合管理。;資訊安全管理系統（Information Security Management Systems, ISMS）的導入，可以協調組織各方面的管理機制，使資訊安全更有保障。 資訊安全管理系統是運用一套系統方法，對組織內敏感資產進行管理，涉及到人員、程序和資訊技術（Information Technology, IT）等的系統。 ;資安的需求是存在於各種組織（不論政府部門、私人企業或非營利組織等）。 確保資訊資產安全，才能避免或降低有關的風險。 過去多數組織對資訊安全並無太多概念，很多資訊系統在設計時，並未將安全控管納入考慮。;透過技術手段所能達到的安全有限，必須透過適切的管理及程序支援???能有效達成目標。 資訊安全管理將包括組織內所有員工及組織外的供應商、第三方、客戶等外部人員。 ;Module 1-3：如何建立資訊安全需求;Module 1-3：如何建立資訊安全需求 ;1. 風險評鑑;2. 外在環境;3. 內在環境;Module 1-4：評估資訊安全風險;Module 1-4：評估資訊安全風險;風險評鑑的結果，有助於指導及決定適當的管理作為、管理資訊安全風險的優先順序、實作所選的控制措施，以防範這些風險。 風險評鑑宜定期重覆進行，以應付可能影響風險評鑑結果的任何改變。 ;Module 1-5：處理資訊安全風險;Module 1-5：處理資訊安全風險;Module 1-6：選擇控制措施;Module 1-6：選擇控制措施 ;依據可適用的法律，從法律的角度來看，對組織至關重要的控制措施，包括： 保護資料(訊)及個人資訊的隱私； 保護組織的記錄； 保護組織的智慧財產權（Intellectual Property Rights, IPR）。 ;在資訊安全的實務中，常用的控制措施，包括： 資訊安全政策文件； 資訊安全責任的配置； 資訊安全認知、訓練與教育； 應用系統的正確處理流程； 脆弱性管理； 營運持續管理； 管理資訊安全事故與改善。;這些控制措施適用於大部分的組織及環境。 但任何控制措施是否適用，還是取決於組織所面臨的特有風險。 ;Module 1-7：資訊安全管理標準簡介及其演進;Module 1-7：資訊安全管理標準簡介及其演進;BS 7799分為BS 7799-1 BS 7799-2兩個部分（Part），其中BS 7799-1已在2005年6月成為ISO/IEC 17799：2005國際標準；而BS 7799-2亦於2005年10月正式成為ISO/IEC 27001：2005國際標準。 ;資訊安全管理在國內及全球已逐漸被重視，上述標準為目前國際公認最完整之資訊安全管理標準。 表1-1顯示，導入ISMS且取得認證的機構數總共有3,363家（2007年3月），日本導入ISMS的機構數最多（1,910），而台灣排名第4（124）。 ;由於部分機構為跨國企業可能註冊於多個國家，或者有些機構擁有多張證照，扣除這些該重複註冊部分，導入ISMS且取得認證的機構數有3,350家