信息资讯安全管理的相关政策(ppt 109页).ppt

1 1 資訊安全管理 委辦單位 教育部顧問室資通安全聯盟執行單位 淡江大學資訊管理學系 1 2 課程模組大綱 Module1 資訊安全管理概論Module2 資訊安全風險Module3 先期規劃Module4 風險評鑑Module5 資訊安全政策Module6 資訊安全管理組織Module7 資產管理Module8 人力資源管理Module9 實體與環境安全管理 1 3 Module10 通信與作業管理Module11 存取控制Module12 資訊系統的取得 開發及維護Module13 資安事故管理Module14 營運持續管理Module15 法令 政策 標準 及技術的符合性Module16 內部稽核Module17 管理審查Module18 持續改進 1 4 Module1 資訊安全管理概論 1 5 學習目的 本模組目的在於學習資訊安全的定義 為何需要資訊安全管理 如何建立資訊安全需求 評估資訊安全風險 處理資訊安全風險 選擇控制措施 資訊安全管理標準簡介及其演進 資訊安全管理之關鍵成功因素 以及資訊安全管理之重要名詞說明等本模組的重點是瞭解什麼是資訊安全 資訊安全管理的重要性 以及資訊安全管理系統重要元素 包括 資訊安全風險評估與處理 控制措施選擇等 並瞭解資訊安全管理的標準 關鍵成功因素 重要名詞等 1 6 Module1 資訊安全管理概論 Module1 1 資訊安全的定義Module1 2 為何需要資訊安全管理Module1 3 如何建立資訊安全需求Module1 4 評估資訊安全風險Module1 5 處理資訊安全風險Module1 6 選擇控制措施Module1 7 資訊安全管理標準簡介及其演進Module1 8 關鍵成功因素Module1 9 重要名詞說明Module1 10 我國資安管理法源 政策 1 7 參考文獻習題 1 8 Module1 1 資訊安全的定義 1 9 Module1 1 資訊安全的定義 隨著網際網路高度發展及全球化的趨勢 資訊安全已成為企業經營管理不可忽視之重要課題 資訊 Information 是組織重要資產 就像其它重要的營運資產一樣 對組織具有價值 因此需要適當保護 尤其是高度依賴資訊化服務的組織將更形重要 相對地 資訊也更有機會暴露於日益多樣的威脅與脆弱性中 Module1 1 1 10 資訊儲存及呈現的形式相當多元 可以列印成書面表示 可以用電子方式儲存 可以用郵寄或是電子郵件傳送 也可以用影片播放或以口頭說明 無論資訊的形式為何 以何種方式儲存或與他人共享 均應以適當的方式加以保護 Module1 1 1 11 資訊安全 InformationSecurity 簡稱資安 是將保護資訊的控制措施實施於組織現有的營運流程及組織架構中 保護資訊不受各種威脅 確保營運持續 降低營運損失 使組織獲致最佳投資報酬率及商業機會 當資訊的機密性 Confidentiality 完整性 Integrity 可用性 Availability 遭到破壞時 可能會造成組織重大的衝擊 甚至中止組織的運作 如何保護資訊資產是所有組織所面臨的重要議題之一 Module1 1 1 12 Module1 2 為何需要資訊安全管理 1 13 Module1 2 為何需要資訊安全管理 資訊和支援作業 系統及網路都是重要的營運資產 資訊安全攸關能否維繫競爭力 現金流量 獲利能力 適法性 及商業形象 組織本身與其資訊系統 網路所面臨的安全威脅來源日益廣泛 Module1 2 1 14 除了火災或水災等天然的災害外 尚有人為的攻擊破壞 如電腦相關詐欺行為 入侵攻擊行為 例如 如惡意碼 電腦駭客等 蓄意破壞 毀損等攻擊 都愈來愈普遍 影響也越來越大 技術亦日益複雜 資安需要全面的綜合管理 Module1 2 1 15 資訊安全管理系統 InformationSecurityManagementSystems ISMS 的導入 可以協調組織各方面的管理機制 使資訊安全更有保障 資訊安全管理系統是運用一套系統方法 對組織內敏感資產進行管理 涉及到人員 程序和資訊技術 InformationTechnology IT 等的系統 Module1 2 1 16 資安的需求是存在於各種組織 不論政府部門 私人企業或非營利組織等 確保資訊資產安全 才能避免或降低有關的風險 過去多數組織對資訊安全並無太多概念 很多資訊系統在設計時 並未將安全控管納入考慮 Module1 2 1 17 透過技術手段所能達到的安全有限 必須透過適切的管理及程序支援才能有效達成目標 資訊安全管理將包括組織內所有員工及組織外的供應商 第三方 客戶等外部人員 Module1 2 1 18 Module1 3 如何建立資訊安全需求 1 19 Module1 3 如何建立資訊安全需求 組織識別自身的安全要求 是絶對必要的 安全要求主要來源 1 風險評鑑2 外在環境3 內在環境 Module1 3 1 20 1 風險評鑑 來自對組織面臨風險的評鑑 考慮到組織整體的營運策略及目標 風險評鑑 RiskAssessment 後 方能識別資產所面臨的威脅 並評估脆弱性及其發生的可能性 以及預估可能造成的衝擊 Impact Module1 3 1 21 2 外在環境 是組織 交易夥伴 合約商及服務供應商 必須滿足的法律 法令 規章及合約方面的要求 以及他們的社會文化環境 Module1 3 1 22 3 內在環境 是組織為了支援營運活動而發展的 對資訊處理的原則 目標 和營運的要求 Module1 3 1 23 Module1 4 評估資訊安全風險 1 24 Module1 4 評估資訊安全風險 透過有系統的安全風險評鑑 才能識別安全要求 資訊安全的保護投資必需符合經濟原則 有關控制措施的支出及可能造成的營運損失 需保持平衡 Module1 4 1 25 風險評鑑的結果 有助於指導及決定適當的管理作為 管理資訊安全風險的優先順序 實作所選的控制措施 以防範這些風險 風險評鑑宜定期重覆進行 以應付可能影響風險評鑑結果的任何改變 Module1 4 1 26 Module1 5 處理資訊安全風險 1 27 Module1 5 處理資訊安全風險 一旦識別了安全要求 確定組織的風險與其執行風險處理之決策後 宜選擇並實作控制措施 以確保將風險降低到可接受的程度 控制措施的選擇 將依據組織風險承受的準則 風險處理的選擇 以及一般適用於組織風險管理方法等的決策而定 當然同時受限於所有相關的國家及國際法律與管理規定 Module1 5 1 28 Module1 6 選擇控制措施 1 29 Module1 6 選擇控制措施 很多的控制措施都能被視為實行資訊安全很好的起點 這些措施可以是根據基本的法律要求為基礎 也可以是資訊安全的一般最佳實務 Module1 6 1 30 依據可適用的法律 從法律的角度來看 對組織至關重要的控制措施 包括 保護資料 訊 及個人資訊的隱私 保護組織的記錄 保護組織的智慧財產權 IntellectualPropertyRights IPR Module1 6 1 31 在資訊安全的實務中 常用的控制措施 包括 資訊安全政策文件 資訊安全責任的配置 資訊安全認知 訓練與教育 應用系統的正確處理流程 脆弱性管理 營運持續管理 管理資訊安全事故與改善 Module1 6 1 32 這些控制措施適用於大部分的組織及環境 但任何控制措施是否適用 還是取決於組織所面臨的特有風險 Module1 6 1 33 Module1 7 資訊安全管理標準簡介及其演進 1 34 Module1 7 資訊安全管理標準簡介及其演進 英國標準協會 BritishStandardsInstitution BSI 為國際標準制定機構之一 於1995年提出編號為BS7799的資訊安全管 系統 InformationSecurityManagementSystems ISMS 標準 Module1 7 1 35 BS7799分為BS7799 1 BS7799 2兩個部分 Part 其中BS7799 1已在2005年6月成為ISO IEC17799 2005國際標準 而BS7799 2亦於2005年10月正式成為ISO IEC27001 2005國際標準 Module1 7 1 36 資訊安全管理在國內及全球已逐漸被重視 上述標準為目前國際公認最完整之資訊安全管理標準 表1 1顯示 導入ISMS且取得認證的機構數總共有3 363家 2007年3月 日本導入ISMS的機構數最多 1 910 而台灣排名第4 124 Module1 7 1 37 由於部分機構為跨國企業可能註冊於多個國家 或者有些機構擁有多張證照 扣除這些該重複註冊部分 導入ISMS且取得認證的機構數有3 350家 Module1 7 1 38 表1 1全球各國導入ISMS的機構數統計 2007年3月 資料來源為ISMSInternationalUserGroup網頁 Module1 7 1 39 Module1 7 1 40 ISO17799 2005資訊安全管理作業要點 CodeofPracticeforInformationSecurityManagement 主要是作為參考文件 提供廣泛性的安全控制措施 作為現行資訊安全之最佳作業方法 其中包含11個控制措施章節 但不作為評鑑與驗證標準 Module1 7 1 41 ISO27001 2005資訊安全管理系統要求 InformationSecurityManagementSystems ISMS Requirements 係根據ISO17799 提供資訊安全管理系統之建立實施與書面化之具體要求 依據個別組織的需求 規定要實施之安全控制措施的要求 Module1 7 1 42 ISO27001是國際資訊安全管理系統標準 它可以幫助組織鑑別 管理和減少資訊所面臨的各種風險 Module1 7 1 43 ISO27001包括建置組織管理系統所需要的PDCA Plan Do Check Act 管理架構及廣泛的安全控制措施指引 1 安全政策 SecurityPolicy 2 資訊安全組織 OrganizationofInformationSecurity 3 資產管理 AssetManagement 4 人力資源安全 HumanResourcesSecurity 5 實體和環境安全 PhysicalandEnvironmentalSecurity Module1 7 1 44 6 通訊與作業管理 CommunicationsandOperationsManagement 7 存取控制 AccessControl 8 資訊系統取得 開發和維護 InformationSystemsAcquisition DevelopmentandMaintenance 9 資訊安全事故管理 InformationSecurityIncidentManagement 10 營運持續管理 BusinessContinuityManagement 11 遵循性 Compliance Module1 7 1 45 Module1 7 ISO IEC17799 2005架構 資通安全管理技術標準介紹 ISO IEC27001 資策會專案支援處資安服務中心 2006 6 30 1 46 1 安全政策 表達對資訊安全管理系統的支持和承諾 Module1 7 1 47 2 資訊安全組織 建立一個管理架構 用於公司內部資訊安全的管理和控制 以及執行現有的資訊安全規定 Module1 7 1 48 3 資產管理 確保對組織各項資產的安全進行有效保護 Module1 7 1 49 4 人力資源安全 明訂所有人員在安全方面的職責和角色 Module1 7 1 50 5 實體和環境安全 對組織營運場所及人員提出簡單明確的安全要求 Module1 7 1 51 6 通訊與作業管理 盡可能完善公司內外的溝通聯繫 以利於資訊安全管理系統的順利運行 Module1 7 1 52 7 存取控制 對資訊存取行為的管理 Module1 7 1 53 8 資訊系統取得 開發和維護 確保公司IT專案和相關的支援活動已實施安全控制 必要時進行資料管制和加密 Module1 7 1 54 9 資訊安全事故管理 確保在某種程度上 傳達與資訊系統有關的資訊安全事件與弱點 始能採取即時的矯正行動 確保實施一致與有效的方法來管理資訊安全事故 Module1 7 1 55 10 營運持續管理 發展和維護企業營運持續計劃 保護關鍵的業務活動 免受重大災難或中斷的影響 Module1 7 1 56 11 遵循性 符合資訊安全法令或規定的相關要求 Module1 7 1 57 Module1 8 關鍵成功因素 1 58 Module1 8 關鍵成功因素 能反映營運目標的資訊安全政策 目標及活動與組織文化一致之實作 維護 監控 及改進資訊安全的方法與框架來自所有管理階層的實際支持和承諾對資訊安全要求 風險評鑑以及風險管理的深入理解 Module1 8 1 59 向全體管理人員 受雇人員 及相關人員 有效推廣資訊安全 以達到認知向所有管理人員 受雇人員 及相關人員宣傳資訊安全政策的指引和標準資助資訊安全管理的規定 Module1 8 1 60 提供適切的認知 訓練及教育制定有效的資訊安全事故管理過程實施用於評估資訊安全管理的績效及改善的回饋建議之量測系統 Module1 8 1 61 Module1 9 重要名詞說明 1 62 Module1 9 重要名詞說明 1 資產 Asset 2 資訊處理設施 InformationProcessingFacilities 3 資訊安全 InformationSecurity 4 資訊安全管理系統 InformationSecurityManagementSystem ISMS 5 機密性 Confidentiality 6 完整性 Integrity 7 可用性 Availability Module1 9 1 63 8 資訊安全事件 InformationSecurityEvent 9 資訊安全事故 InformationSecurityIncident 10 風險 Risk 11 威脅 Threat 12 脆弱性 Vulnerability 13 風險分析 RiskAnalysis 14 風險評估 RiskEvaluation 15 風險評鑑 RiskAssessment Module1 9 1 64 16 風險處理 RiskTreatment 17 剩餘風險 ResidualRisk 18 風險接受 RiskAcceptance 19 風險管理 RiskManagement 20 適用性聲明 StatementofApplicability Module1 9 1 65 1 資產 對組織有價值的任何事物 ISO IEC13335 1 2004 Module1 9 1 66 2 資訊處理設施 任何資訊處理系統 服務或基礎建設 或是儲藏它們的實體地點 Module1 9 1 67 3 資訊安全 保護資訊的機密性 完整性及可用性 此外 亦能涉及如鑑別性 可歸責性 不可否認性及可靠度等性質 ISO IEC17799 2005 Module1 9 1 68 4 資訊安全管理系統 整體管理系統的一部份 以營運風險導向 作法 為基礎 用以建立 實作 運作 監視 審查 維持與改進資訊安全 資訊安全管理系統包括組織架構 政策 規劃活動 責任 實務 程序 過程及資源 Module1 9 1 69 5 機密性 使資訊不可用或不揭露給未經授權之個人 個體或過程的性質 ISO IEC13335 1 2004 Module1 9 1 70 6 完整性 保護資訊資產的準確度 Accuracy 和完全性 Completeness 的性質 ISO IECTR18044 2004 Module1 9 1 71 經授權個體因應需求之可存取及可使用的性質 ISO IEC13335 1 2004 7 可用性 Module1 9 1 72 8 資訊安全事件 系統 服務或網路發生一個已識別的狀態 其指示可能的資訊安全政策違例或保護措施失效 或是可能與安全相關而先前未知的狀況等 ISO IECTR18044 2004 Module1 9 1 73 9 資訊安全事故 單一或一連串有顯著機率可能危害營運作業與威脅資訊安全之非所欲或非預期的資訊安全事件 ISO IECTR18044 2004 Module1 9 1 74 10 風險 事件發生與其影響的可能性之組合 ISOGuide73 2002 Module1 9 1 75 11 威脅 可能導致對系統或組織傷害 有害事件的潛在原因 ISO IEC13335 1 2004 Module1 9 1 76 12 脆弱性 能被單一威脅利用的單一或一群資產的弱點 ISO IEC13335 1 2004 Module1 9 1 77 13 風險分析 系統性的使用資訊 以識別緣由與估計風險 ISOGuide73 2002 Module1 9 1 78 14 風險評估 把預估的風險和已知的風險準則 進行比較的過程 以決定風險的顯著性 ISOGuide73 2002 Module1 9 1 79 15 風險評鑑 風險分析與風險評估的整個過程 ISOGuide73 2002 Module1 9 1 80 16 風險處理 選擇與實作措施的過程 藉以修正風險 ISOGuide73 2002 Module1 9 1 81 17 剩餘風險 風險處理後 所剩餘的風險 ISOGuide73 2002 Module1 9 1 82 18 風險接受 決定接受某風險 ISO IECGuide73 2002 Module1 9 1 83 19 風險管理 藉由協調各項活動 以指導與控管組織之有關風險 ISOGuide73 2002 Module1 9 1 84 20 適用性聲明 描述與組織之資訊安全管理系統 ISMS 相關且對其適用之各項控制目標與控制措施的已文件化聲明 控制目標與控制措施 係以風險評鑑與風險處理之各項過程的結果與結論 法律或法規要求 契約義務 以及組織對資訊安全的營運要求為基礎 Module1 9 1 85 Module1 10 我國資安管理法源 政策 Module1 10 行政院及所屬機關資訊安全管理規範 草案 資通安全會報技服中心 2005 1 86 我國資通安全共通規範架構 行政院及所屬機關資訊安全管理規範 草案 資通安全會報技服中心 2005 1 87 參考文獻 1 88 參考文獻 行政院及所屬機關資訊安全管理規範 草案 行政院資通安全會報技服中心 2005 國家標準CNS17799 資訊技術 安全技術 資訊安全管理之作業規範 國家標準CNS27001 資訊技術 安全技術 資訊安全管理系統 要求事項 ISO IEC27001 2005Informationtechnology Securitytechniques Informationsecuritymanagementsystems Requirements ISO27001 2005Informationtechnology Securitytechniques Codeofpracticeforinformationsecuritymanagement ISO IECGuide2 1996 Standardizationandrelatedactivities Generalvocabulary 1 89 Module1 資訊安全管理概論習題 1 90 是非題 1 題目 資訊安全管理系統是指用以管理儲存資料及資訊的電腦系統 是 非 1 91 是非題 2 題目 資訊安全管理系統是運用一套系統方法 對組織內敏感資產進行管理 是 非 1 92 是非題 3 題目 資訊越隱密就越少人知道 越少人知道就越安全 故將所有的資訊列為最高機密就達成安全 是 非 1 93 是非題 4 題目 控制措施的選擇 需受限於所有相關的國家及國際法律與管理規定 是 非 1 94 是非題 5 題目 資訊安全的實務中 已經產生很多的最佳實務 是所有組織導入ISMS所必須遵守的 是 非 1 95 是非題 6 題目 資產是指組織中的有形的實體設施 如機械 廠房 資本 人員 土地等 是 非 1 96 是非題 7 題目 風險評鑑宜定期重覆進行 以應付環境的改變 是 非 1 97 是非題 8 題目 資訊安全管理是組織的重點工作其實施的範圍只包括組織內所有員工及