资讯安全管理-通信与作业管理.pptVIP

三、實體媒體輸送 資訊在實體傳送過程（例如：透過郵寄服務或遞送公司傳送儲存媒體）中，容易遭受未經授權的存取、誤用或毀損。 組織應保護含有資訊的媒體，在組織實體邊界外傳送時，不受未經授權的存取、誤用或毀損。 Module 10-10 * 第一百二十五页，共二百零九页。 傳送中的資訊媒體之保護控制措施，可以考慮下列要點： 遞送組織： 應選用可靠的運輸工具或遞送公司，並簽署保密協議。 遞送人員： 遞送人員之名單，應經管理階層核准。 遞送人員應經過適當之身分查核程序。 Module 10-10-三 * 第一百二十六页，共二百零九页。 遞送包裝： 包裝應足以保護內容，防止因運送中任何實體損壞而受損，並符合製造商的規格，防範所有可降低媒體恢復的環境因素（例如：暴露於熱源、濕氣或電磁場）。 Module 10-10-三 * 第一百二十七页，共二百零九页。 其他防護： 必要時，應採適當之保護敏感資訊控制措施，以避免遭未經授權的揭露或修改，包括： 上鎖。 組織派人親自當面送達。 防撕貼紙/破壞存跡（Tamper-Evident）包裝（可顯示有人企圖開啟）。 分成多個交遞物（分包），並經不同路線配送。 Module 10-10-三 * 第一百二十八页，共二百零九页。 四、電子傳訊 電子傳訊在營運通信中，扮演越來越重要的角色，諸如電子郵件、電子資料交換（Electronic Data Interchange, EDI）及即時傳訊等。 以電子傳訊方式處理的資訊應適當地加以保護，電子傳訊與以紙張為基礎的通信會有不同的風險。 Module 10-10 * 第一百二十九页，共二百零九页。 電子傳訊之控制措施，可以考慮下列要點： 保護訊息避免遭受未經授權存取、變更或阻絕服務。 確保訊息的正確定址與傳送。 服務的一般可靠度與可用性。 Module 10-10-四 * 第一百三十页，共二百零九页。 法律考量，例如要求電子簽章。 使用諸如即時傳訊或檔案分享等外部公共服務之前，先取得核准。 更強等級的鑑別，以控制來自公眾可存取網路的存取。 Module 10-10-四 * 第一百三十一页，共二百零九页。 五、營運資訊系統 組織營運過程會使用許多資訊系統。這些資訊系統是使用文件、電腦、行動計算、行動通信、郵件、語音郵件、一般語音通信、多媒體、郵寄服務?設施、傳真機等的組合，使營運資訊獲得加速散佈與分享的機會，有助於提高營運效率。 但是這些互連的資訊及資訊系統，也造成資訊安全的弱點，故組織應發展與實施相關政策和程序，以保護與營運資訊系統互連有關的資訊。 Module 10-10 * 第一百三十二页，共二百零九页。 對這些互連設施安全之控制措施，可以考慮下列要點： 分享政策： 先建立分享管理資訊的政策和適切的控制措施，例如：哪些資訊可以在哪些資訊系統分享、哪些人或何時可以分享、分享過程之資訊有哪些保護控制措施等。如果系統未提供適切等級的保護，應排除互連分享敏感的營運資訊和機密文件。 Module 10-10-五 * 第一百三十三页，共二百零九页。 部門間互連分享： 組織內不同部門間資訊分享時，先確定並瞭解各部門之資訊系統的已知脆弱性，防止因不同系統之脆弱性，導致資訊遭未經授權存取。 通信系統互連分享： 營運通信系統內資訊的脆弱性，例如：電話或會議電話的錄音、電話的機密性、傳真的存放、公開郵件、郵件分發。 Module 10-10-五 * 第一百三十四页，共二百零九页。 存取控制： 控制存取人員： 限制特定人員之日常敏感資訊存取，例如：敏感專案的工作人員。存取時能夠識別使用者的狀態，例如：為了讓使用者容易識別，可使用通訊錄中之人員清單。 控制存取地點： 允許使用該系統的人員、承包者或企業夥伴，以及可存取該系統的地點。 控制存取設施： 特定設施僅限特定之使用者存取。 Module 10-10-五 * 第一百三十五页，共二百零九页。 資訊備份： 除了資料的備份外，並應備份系統資訊。 Module 10-10-五 * 第一百三十六页，共二百零九页。 Module 10-11：電子商務服務 * 第一百三十七页，共二百零九页。 Module 10-11：電子商務服務 一、電子商務 二、線上交易 三、公眾可用的資訊 Module 10-11 * 第一百三十八页，共二百零九页。 一、電子商務 電子商務具有一定之風險，面對網路各式各樣威脅，可能會導致詐欺活動、合約糾紛，以及資訊遭揭露或修改。 Module 10-11 * 第一百三十九页，共二百零九页。 故組織若提供電子商務服務，應妥善利用安全的鑑別方法及控制措施來降低風險，例如：使用金鑰密碼與數位簽章、利用可信賴之第三方，以保護在公眾網路上傳輸而涉及電子商務的資訊，不受詐欺行為、合約爭議及未經授權的揭露與修改。 Mod