咨询管理的挑战.ppt

學貫行銷股份有限公司XBOOKMARKETINGCo.,Ltd.資訊管理概論--Web2.0思維學貫行銷股份有限公司XBOOKMARKETINGCo.,Ltd.資訊管理概論--Web2.0思維學貫行銷股份有限公司XBOOKMARKETINGCo.,Ltd.資訊管理概論--Web2.0思維學貫行銷股份有限公司XBOOKMARKETINGCo.,Ltd.資訊管理概論--Web2.0思維溫金豐，組織理論與管理，第二章*第3章資訊管理的挑戰編者：湯宗泰、劉文良溫金豐，組織理論與管理，第二章*本章學習重點資訊安全資訊倫理資訊與法律電腦犯罪網路犯罪導讀—防不勝防，小心假網站溫金豐，組織理論與管理，第二章*根據趨勢科技調查顯示，一些知名銀行、企業或組織的網站如匯豐銀行、中國工商銀行，或是線上金流支付網站PayPal等，皆有和真實網站相似網域的「分身」，這些分身其實都是釣魚網站，跟本尊相似度百分百，是專門等粗心網友上勾，若不慎登入，資料可能馬上外流。這些分身假網站專門等網友輸入網址時，可能拼錯字或按錯鍵盤而進入，並以幾乎完全一樣的網頁來騙取網友的銀行密碼以及私密資料，一旦網友不小心疏忽未查，就會在渾然不知的情況下，將個人資訊曝露在網路駭客所架設的假網站上。企業在考慮資訊安全時，必須重視幾種風險物理破壞：例如火災、水災、電源損壞等人為錯誤：偶然的或不經意的行為造成破壞設備故障：系統及週邊設備的故障內、外部攻擊：內部人員、外部駭客之有目的或無目的的攻擊資料誤用：共用機密資料或資料被竊資料遺失：故意或非故意的以破壞方式遺失資料程式錯誤：計算錯誤、輸入錯誤、緩衝區溢出等資訊安全的基本需求溫金豐，組織理論與管理，第二章*1.隱密性（Confidentiality）：確保系統或網路中之資料，只會被經過授權的人所看到。2.身份辨識（Authentication）：確認使用者身份。3.不可否認（Non-repudiation）：驗證使用者確實已接受過某項服務，或使用過某項資源。4.存取控制（AccessControl）：使用者資料存取權限之設定應依使用者工作職權而給予，以降低未經授權存取系統資源之風險。5.可獲得性（Availability）：確保當經過授權之人員，要求存取某項資源時，資源可經系統及傳輸媒介獲得。6.完整性（Integrity）：確保系統或網路中之資料，不會被未經授權的人員修改。7.稽核（Audit）：稽核是用來幫助系統管理者追查出可疑的行為資訊安全的基本需求溫金豐，組織理論與管理，第二章*資訊安全管理系統（ISMS）的六大步驟資訊安全管理標準—BS7799溫金豐，組織理論與管理，第二章*國際標準制定機構英國標準協會（BSI），於1995年提出BS7799資訊安全管理系統（InformationSecurityManagementSystems，稱ISMS），最新的一次修訂已於2005年完成，並經國際標準化組織（ISO）正式通過成為ISO27001：2005資訊安全管理系統要求標準，為目前國際公認最完整之資訊安全管理標準。ISO27001標準可幫助組織鑑別、管理和減少資訊所面臨的各種風險，尤其在高速網路化之資訊開放服務環境。通過ISO27001國際標準驗證，是對於客戶及組織資訊的安全，提出最大的承諾與保證。BS7799包含10大管控項目，36個管控目標及127個管控措施，目的是建立一套完整的資訊安全管理系統。01030210大管控項目溫金豐，組織理論與管理，第二章*1.安全政策（SecurityPolicy）2.安全組織（OrganizationalSecurity）3.資產分類與控制（AssetClassificationandControl）4.人員安全（PersonnelSecurity）5.實體與環境安全（PhysicalandEnvironmentalSecurity）6.通訊與作業管理（CommunicationsandOperationsManagement）7.存取控制（AccessControl）8.系統開發及維護（SystemsDevelopmentandMaintenance）9.營運持續管理（BusinessContinuityManagement）10.符合性（Compliance）主要的安全防護工具溫金豐，組織理論與管理，第二章*BDAC使用者帳號與密碼虛擬私人網路(VPN)防火牆入侵偵測系統基本上，防火牆可以分成三