搜索
資訊安全管理来自資訊安全管理委辦單位:教育部顧問室資通安全聯盟執行單位:淡江大學資訊管理學系資訊安全管理来自課程模組大綱•Module1:資訊安全管理概論•Module2:資訊安全風險•Module3:先期規劃•Module4:風險評鑑•Module5:資訊安全政策•Module6:資訊安全管理組織•Module7:資產管理•Module8:人力資源管理•Module9:實體與環境安全管理資訊安全管理来自•Module10:通信與作業管理•Module11:存取控制•Module12:資訊系統的取得、開發及維護•Module13:資安事故管理•Module14:營運持續管理•Module15:法令、政策、標準、及技術的符合性•Module16:內部稽核•Module17:管理審查•Module18:持續改進資訊安全管理来自:資訊安全管理概論資訊安全管理来自本模組目的在於學習資訊安全的定義,為何需要資訊安全管理,如何建立資訊安全需求,評估資訊安全風險,處理資訊安全風險,選擇控制措施,資訊安全管理標準簡介及其演進,資訊安全管理之關鍵成功因素,以及資訊安全管理之重要名詞說明等2.本模組的重點是瞭解什麼是資訊安全,資訊安全管理的重要性,以及資訊安全管理系統重要元素,包括:資訊安全風險評估與處理、控制措施選擇等。並瞭解資訊安全管理的標準、關鍵成功因素、重要名詞等。資訊安全管理来自:資訊安全管理概論•Module1-1:資訊安全的定義•Module1-2:為何需要資訊安全管理•Module1-3:如何建立資訊安全需求•Module1-4:評估資訊安全風險•Module1-5:處理資訊安全風險•Module1-6:選擇控制措施•Module1-7:資訊安全管理標準簡介及其演進•Module1-8:關鍵成功因素•Module1-9:重要名詞說明•Module1-10:我國資安管理法源/政策資訊安全管理来自•參考文獻•習題資訊安全管理来自:資訊安全的定義資訊安全管理来自:資訊安全的定義•隨著網際網路高度發展及全球化的趨勢,資訊安全已成為企業經營管理不可忽視之重要課題。•資訊(Information)是組織重要資產,就像其它重要的營運資產一樣,對組織具有價值。•因此需要適當保護,尤其是高度依賴資訊化服務的組織將更形重要。•相對地,資訊也更有機會暴露於日益多樣的威脅與脆弱性中。Module1-1資訊安全管理来自•資訊儲存及呈現的形式相當多元,可以列印成書面表示、可以用電子方式儲存、可以用郵寄或是電子郵件傳送、也可以用影片播放或以口頭說明。•無論資訊的形式為何,以何種方式儲存或與他人共享,均應以適當的方式加以保護。Module1-1資訊安全管理来自•資訊安全(InformationSecurity,簡稱資安)是將保護資訊的控制措施實施於組織現有的營運流程及組織架構中,保護資訊不受各種威脅,確保營運持續、降低營運損失、使組織獲致最佳投資報酬率及商業機會。•當資訊的機密性(Confidentiality)、完整性(Integrity)、可用性(Availability)遭到破壞時,可能會造成組織重大的衝擊,甚至中止組織的運作。•如何保護資訊資產是所有組織所面臨的重要議題之一。Module1-1資訊安全管理来自:為何需要資訊安全管理資訊安全管理来自:為何需要資訊安全管理•資訊和支援作業、系統及網路都是重要的營運資產。•資訊安全攸關能否維繫競爭力、現金流量、獲利能力、適法性、及商業形象。•組織本身與其資訊系統、網路所面臨的安全威脅來源日益廣泛。Module1-2資訊安全管理来自•除了火災或水災等天然的災害外,尚有人為的攻擊破壞,如電腦相關詐欺行為、入侵攻擊行為(例如:如惡意碼、電腦駭客等)、蓄意破壞、毀損等攻擊,都愈來愈普遍、影響也越來越大、技術亦日益複雜。•資安需要全面的綜合管理。Module1-2資訊安全管理来自•資訊安全管理系統(InformationSecurityManagementSystems,ISMS)的導入,可以協調組織各方面的管理機制,使資訊安全更有保障。•資訊安全管理系統是運用一套系統方法,對組織內敏感資產進行管理,涉及到人員、程序和資訊技術(InformationTechnology,IT)等的系統。Module1-2資訊安全管理来自•資安的需求是存在於各種組織(不論政府部門、私人企業或非營利組織等)。•確保資訊資產安全,才能避免或降低有關的風險。•過去多數組織對資訊安全並無太多概念,很多資訊系統在設計時,並未將安全控管納入考慮。Module1-2資訊安全管理来自•透過技術手段所能達到的安全有限,必須透過適切的管理及程序支援才能有效達成目標。•資訊安全管理將包括組織內所有員工及組織外的供應商、第三方、客戶等外部人員。Module1-2資訊安全管理来自:如何建立資訊安全需求資訊安全管理来自:如何建立資訊安全需求•組織識別自身的安全要求,是絶對必要的。•安全要求主要來源:1.風險評鑑2.外在環境3.內在環境Module1-3資訊安全管理来自風險評鑑•來自對組織面臨風險的評鑑,考慮到組織整體的營運策略及目標。•風險評鑑(RiskAssessment)後,方能識別資產所面臨的威脅,並評估脆弱性及其發生的可能性,以及預估可能造成的衝擊(Impact)。Module1-3資訊安全管理来自外在環境•是組織、交易夥伴、合約商及服務供應商,必須滿足的法律、法令、規章及合約方面的要求,以及他們的社會文化環境。Module1-3資訊安全管理来自內在環境•是組織為了支援營運活動而發展的,對資訊處理的原則、目標、和營運的要求。Module1-3資訊安全管理来自:評估資訊安全風險資訊安全管理来自:評估資訊安全風險•透過有系統的安全風險評鑑,才能識別安全要求。•資訊安全的保護投資必需符合經濟原則,有關控制措施的支出及可能造成的營運損失,需保持平衡。Module1-4資訊安全管理来自•風險評鑑的結果,有助於指導及決定適當的管理作為、管理資訊安全風險的優先順序、實作所選的控制措施,以防範這些風險。•風險評鑑宜定期重覆進行,以應付可能影響風險評鑑結果的任何改變。Module1-4資訊安全管理来自:處理資訊安全風險資訊安全管理来自:處理資訊安全風險•一旦識別了安全要求、確定組織的風險與其執行風險處理之決策後,宜選擇並實作控制措施,以確保將風險降低到可接受的程度。•控制措施的選擇,將依據組織風險承受的準則、風險處理的選擇、以及一般適用於組織風險管理方法等的決策而定,當然同時受限於所有相關的國家及國際法律與管理規定。Module1-5資訊安全管理来自:選擇控制措施資訊安全管理来自:選擇控制措施•很多的控制措施都能被視為實行資訊安全很好的起點。•這些措施可以是根據基本的法律要求為基礎,也可以是資訊安全的一般最佳實務。Module1-6資訊安全管理来自•依據可適用的法律,從法律的角度來看,對組織至關重要的控制措施,包括:–保護資料(訊)及個人資訊的隱私;–保護組織的記錄;–保護組織的智慧財產權(IntellectualPropertyRights,IPR)。Module1-6資訊安全管理来自•在資訊安全的實務中,常用的控制措施,包括:–資訊安全政策文件;–資訊安全責任的配置;–資訊安全認知、訓練與教育;–應用系統的正確處理流程;–脆弱性管理;–營運持續管理;–管理資訊安全事故與改善。Module1-6資訊安全管理来自•這些控制措施適用於大部分的組織及環境。•但任何控制措施是否適用,還是取決於組織所面臨的特有風險。Module1-6資訊安全管理来自:資訊安全管理標準簡介及其演進資訊安全管理来自:資訊安全管理標準簡介及其演進•英國標準協會(BritishStandardsInstitution,BSI)為國際標準制定機構之一,於1995年提出編號為BS7799的資訊安全管理系統(InformationSecurityManagementSystems,ISMS)標準。Module1-7資訊安全管理来自•BS7799分為BS7799-1&BS7799-2兩個部分(Part),其中BS7799-1已在2005年6月成為ISO/IEC17799:2005國際標準;而BS7799-2亦於2005年10月正式成為ISO/IEC27001:2005國際標準。Module1-7資訊安全管理来自•資訊安全管理在國內及全球已逐漸被重視,上述標準為目前國際公認最完整之資訊安全管理標準。•表1-1顯示,導入ISMS且取得認證的機構數總共有3,363家(2007年3月),日本導入ISMS的機構數最多(1,910),而台灣排名第4(124)。Module1-7資訊安全管理来自•由於部分機構為跨國企業可能註冊於多個國家,或者有些機構擁有多張證照,扣除這些該重複註冊部分,導入ISMS且取得認證的機構數有3,350家。Module1-7資訊安全管理来自日本(Japan)1,910奧地利(Austria)11巴基斯坦(Pakistan)2英國(UK)326沙烏地阿拉伯(SaudiArabia)9羅馬尼亞(Romania)2印度(India)279菲律賓(Philippines)8斯洛伐克(SlovakRepublic)2臺灣(Taiwan)124西班牙(Spain)8南非(Sout