1政大區網會議-導入資訊安全制度教育部與ISO27001版本報告者:梁士杰時間:2009/6/23天主教輔仁大學資訊中心網路組2大綱導入過程差異說明相關問題導入建置效益未來導入建議未來規劃3導入過程八校聯合輔導時期緣由:節省經費97年8月19日啟動97年12月中完成ISO27001導入時期緣由:共識97年12月16日啟動98年6月7日通過4導入過程輔仁大學資訊安全組織架構5導入過程八校聯合輔導導入方式人力:網路組成員8人+顧問1人訓練:於各校舉辦輔導會議:顧問每兩週到校實地訪談資安文件核准方式:電子公文來往文件公開:紙本傳閱簽名宣導方式:透過資訊中心主管會議、校務會議宣導ISO27001導入過程人力:網路組成員8人+顧問2人輔導會議:顧問每週到校實地訪談6差異說明方案原案:教育體系資通安全管理規範校園聯合輔導專案本案:校園通過ISO27001資安認證委外輔導專案(以原案為基礎擴充實施)使用規範教育部公告之「教育體系資通安全管理規範」ISO/IEC國際標準組織公告之ISO/IEC27001:2005國際資安規範適用範圍中華民國TANet連線之教育單位適用於全球各組織與行業(亦包含學校機構)成功案例國立成功大學技中、各縣市教育網路中心(已完成系統建置)、台大等9個國立大學區域網路中心(已開始建置)全球有超過4000個組織選擇ISO27001國際驗證,包含國內國立交通大學、國立中興大學、淡江大學、東海大學、靜宜大學等超過20所大學第三方驗證方式教育機構資安認證中心-國立清華大學由TAF等機構核可之驗證公司(多數為外商機構)進行第三方驗證,通過後取得國際資安認證證書效益使各校得在有限資源與環境限制下,快速滿足相關之資通安全要求,符合教育主管機關期望執行完整之PDCA資安管理循環,可強化學校行政管理能力與宣示對師生資料保護之決心,同時對於大學評鑑與校務招生亦有加分效益7差異說明方案原案:教育體系資通安全管理規範校園聯合輔導專案本案:校園通過ISO27001資安認證委外輔導專案(以原案為基礎擴充實施)輔導顧問原2校共用1位(不含專案管理辦公室、教育訓練講師等)額外增加2位(並將專案管理整合於原案專案管理辦公室中)業務流程分析到校進行分析與討論到校進行分析與討論文件客製化服務主要以電話、電郵討論主要為到校討論與確認資訊風險評鑑主要以聯合工作研討會進行討論主要為到校執行並確認管理審查活動到校進行管理審查協助到校進行管理審查協助業務持續與事故通報演練以聯合演練中心統一控管演練流程,各校分別演練到校個別執行演練內部稽核與驗證活動到校進行稽核與驗證協助到校進行稽核與驗證協助資安技術風險檢測無透過網路針對各校對外網站進行滲透測試並提供深度建議報告課程客製化服務以聯合輔導訓練計畫為統一執行依據可依各校需求客製化各項資安演練客製化服務無(以聯合輔導訓練計畫為執行依據)可依各校需求客製化內稽與驗證服務到場執行內稽與教育部認證協助到場執行內稽、預評與正評協助8相關問題教育訓練時數利用非同步遠距教學平台,宣導資訊安全政策與提供資訊安全教育訓練資訊安全委員會委員對政策與施作方式有疑慮校級資安會議資訊中心業務作業流程教育部版本與ISO版本差異文件作業政策與程序9導入建置效益文件化業務與作業流程災害檢測方式與復原計畫定期檢視與習慣養成至少每年一次報告高層定期檢測認證範圍內資產紀錄保留文件與電子Logserver與log功能10未來導入建議導入時機Budget編列預算資源(顧問公司)資安組織與層級未來涵蓋範圍那些長官需要進來審查層級不可過多人力資源Teamwork職務調整11未來規劃業務範圍擴大認證範圍擴大資安委員會部份權責下放12感謝!問題與討論