金德精密訊息安全管理體系第7次管理評審報告

1、Information Security Management System 訊息平安管理體系第七次管理評審報告日期：22 Oct 2005 評 審 會 內 容Part I BS7799 方針及管理目標評審 BS7799 信息平安事件匯報 BS7799 風險評估報告BS7799 在 2005年10月份內審報告 BS7799 外審報告 BS7799 體系法律及法規評審 BS7799 體系推行計劃及活動 Part IIEDMS 系統實施會佈MIS 升級跟進及目標討論 Part III上海蘇州之行見聞 (陳偉文)潛在客戶 BDT會佈 (Michael)訊息平安管理體系評審Information Se

2、curity Management System 訊息平安管理體系BS7799 方針及管理目標評審BS7799 方針及管理目標評審 訊息平安方針基於風險管理原則，對可控制範圍內的訊息平安進行風險識別。根據風險評估結果，制訂明確的管理方案，並通過員工培訓，確保員工理解和貫徹訊息平安管理的要求。進行風險管理，保證電腦課，文控中心訊息的保密性，完整性 和可用性。符合合同義務、法律和法規要求建立訊息平安事件通告渠道，及時發現並處理各類訊息平安事件。對業務持續運作進行策劃和管理，確保業務運作的可持續性。持續改善，並逐步與公司其他管理體系進行整合。BS7799 管理目標 (2002版)網絡系統運作正常率達

3、 99.7%網絡平安事件全年少於 6宗文控中心運作正常率達 100%BS7799 方針及管理目標評審網絡系統運作正常率計算公式系統名稱計算公式權數MIS系統( 正常運作時間 / 工作時間總數 ) x 100%0.3檔案系統( 正常運作時間 / 工作時間總數 ) x 100%0.3內部電子郵件系統( 正常運作時間 / 工作時間總數 ) x 100%0.1外部電子郵件系統( 正常運作時間 / 工作時間總數 ) x 100%0.2內聯網系統( 正常運作時間 / 工作時間總數 ) x 100%0.1EDMS系統( 正常運作時間 / 工作時間總數 ) x 100%0.1此指標管理者代表可以在全年中使用5

4、天不列入計算天數全年正常工作天數為大約240天括免率為正常工作天數 2 %。BS7799 方針及管理目標評審衡量指標基準值1月2月3月4月5月6月1. MIS系統99.7%100%100%100%100%100%100%2. 檔案系統99.7%100%100%100%100%100%100%3.內部電子郵件系統99.7%100%100%100%100%100%100%4.外部電子郵件系統99.7%100%100%96.8%100%100%100%5.內聯網系統99.7%100%100%100%100%100%100%網絡系統運作正常率計算明細表(2005年1月6月)BS7799 方針及管理目標

5、評審網絡系統運作正常率計算明細表(2005年7月12月)衡量指標基準值7月8月9月10月11月12月1. MIS系統99.7%100%100%99.4%2. 檔案系統99.7%100%100%99.4%3.內部電子郵件系統99.7%100%100%99.4%4.外部電子郵件系統99.7%100%100%99.4%5.內聯網系統99.7%100%100%99.4%BS7799 方針及管理目標評審衡量指標基準值1月2月3月4月5月6月1. 網絡系統運作正常率99.7100%100%99.3%100%100%100%2. 網絡安全事件6 宗0011103. 文控中心運作正常率99.7100%100%

6、100%100%100%100%BS7799 管理目標2005年每月績效衡量指標基準值7月8月9月10月11月12月1. 網絡系統運作正常率99.7100%100%99.4%2. 網絡安全事件6 宗0013. 文控中心運作正常率99.7100%100%100%BS7799 方針及管理目標評審衡量指標基準值項目累計績效1. 網絡系統運作正常率99.7 正常運作時間 工作時間總數 99.8%2. 網絡安全事件 6 宗安全事件 64 宗3. 文控中心運作正常率99.7 每月收發文件正常數量 每月收發文件總數量100%BS7799 管理目標2005年績效X 100%X 100%BS7799 方針及管理

7、目標評審Information Security Management System 訊息平安管理體系BS7799 信息平安事件匯報訊息平安管理體系評審平安事件 (1)發生時間: 2005 年 5 月21日 最初電話系統受到雷擊, 在排除故障後, 中港專線亦無法正常運作，令公司電話通信受到不同程度影嚮達 1 個月. 糾正措施維修損毀部份 一廠電話: $8,000, 二廠電話: $3,000, 中港專線: $7840改善現有避雷系統 ($22,235)改善現有供電的設備 ($7400)訊息平安管理體系評審平安事件 (2)發生時間: 2005 年 9 月8 日 在晚間停電後, 服務器重啓後, 各系

8、統仍不能正常運作, MIS 系統延誤了小時, 其他系統延誤了1小時.糾正措施維修損毀部份 重新培訓工程師各服務器重啓程序, 服務器自我檢查錯誤程序及方法.訊息平安管理體系評審常有平安事件 員工把重要資料或文件放到公用盤上.各部員工所得到資料途徑十分廣.原因:部門內資料沒有分類管理規定.員工沒有考慮資料保密問題意識簿弱.對策工具EDMS 系統MIS 系統文件分類管理規定 訊息資產分類程序 (KFM / ISM002)保密級訊息標識/發放/歸檔/處理工作指引 (KFM / WD.CD041)Information Security Management System 訊息平安管理體系BS7799

9、風險評估報告 訊息資產風險評估風險評估是依據評估準則來進行，同時將風險控制分為 5 級處理 由 1級 5級準則亦將風險控制所須的資金投入分為以下 5 級1 級：所須投入的資金 160,000 元訊息平安管理體系評審訊息資產風險評估為防止因投入控制風險的資金過大，訊息平安推行小組，建議使用實施指數來決定是否對風險採取控制，實施指數的計算如下： 風險級別實施指數風險控制的資金投入分級結果如下：A.) 當結果為 0 時，不需考慮控制措施B.) 當結果為 時，必須採取控制措施C.)當結果為 時，選擇性採取控制措施訊息平安管理體系評審 訊息資產風險評估 (外部電郵系統)序號威脅 Threat脆弱性 Vu

10、lnerability总计分数風險級別判断是否可接受現有控制措施有效程度控制措施風險指數威脅编号威脅名稱(Threat Name)后果 可能性威脅编号脆弱性名稱(Vulnerability Name)難易程度脆弱性评级评级評級級別等級2958系統運行緩慢3 4 3.5 62 未配備專線上網及固定路徑4 4 12.5 4高考量財務需求2 16.5 訊息平安管理體系評審威脅名稱脆弱性名稱控制措施財務投入實施指數實施嗎?是否選擇資金級別系統運行緩慢未配備專線上網及固定路徑建立專線上網及固定路徑10000311.0 選擇性實施Y控制措施訊息資產風險評估 (城域網建立會佈)KRP 回覆暫不参加, 並訂立

11、用其他方法解決收郵件問題, 如: 用不同 ISP 供應商.KRP不同意原因 : 每月本钱費用由於 KRP 不同意聯網, 現 IT 部决定用其他方法處理方法1: KRP方法用不同 ISP 供應商風險: 每次轉用都可能出現有12至24小時不能收發外郵.工作量增加: 每台工作站須重新設置 方法2: 自置自動更新動態 IP 服務器 ($30,000)風險1: 每次轉用都可能出現有12至24小時不能收發外郵.風險2: 此產品在電信市場存在價值會隨着網絡開放而被淘汰.訊息平安管理體系評審Information Security Management System 訊息平安管理體系BS7799 在 05年1

12、0月內審報告訊息平安管理體系評審部門網絡管理組資訊系統組文控中心人力資源課動力課廠務課采購部不符合項目數量43 1 0 1 11 合共11個不符合項目2005年10月份內審不符合項目分佈一覽表訊息平安管理體系評審2005年10月份內審不符合項目序號不 符 合 項 目責任部門確認完成日期跟進責任人001停電記錄中, 機組人員只登記部份停電時間, 而工程師只用記事簿登記, 6/22, 7/15, 9/22 二者記錄不一致, 登記方法不規範.動力課2005/11Ricky002抽查IT部供應商清單, 怡丰順/力杰都末能出示外包商保密協議.采購部2005/11Ricky003廠務課保安巡更表, 檢查位

13、置 / 區域各稱末有更新, 對保安檢查路線在半年內末有評審過記錄.廠務課2005/11Ricky訊息平安管理體系評審2005年10月份內審不符合項目序號不 符 合 項 目責任部門確認完成日期跟進責任人004文控中心末有依時制定及進行業務永續經營計劃評審文控2005/11Ricky005在審查中發現 對EDMS系統末有加入臺帳清單上, EDMS系統用戶, 權限分配等相關記錄末有更新.資訊系統組2005/11Ricky006在5月21日發生雷擊破壞電話系統列為重大安全事件處理.網絡管理組2005/11Ricky007MIS 系統修改及升級記錄, 部份升級末改或决定終止項目末有記錄, 反映修改軟件處

14、理記錄程序同實則不符, 須對整個程序重新評審一次.資訊系統組2005/11Ricky訊息平安管理體系評審2005年10月份內審不符合項目序號不 符 合 項 目責任部門/人確認完成日期跟進責任人008各網絡, MIS, 電話用戶登記, 權限分配, 特權表紙張數量太多, 應考慮轉用EDMS 系統處理.網絡管理組資訊系統組2005/11Ricky009媒介報廢重用表, 移動辦公設施申請表, 說明書外借登記表在6個多月來末有使用, 相關程序須再作檢討.網絡管理組2005/11Ricky010網絡日常操作表, 檢查表, 保養表其作用相同, 相關程序須作合併檢討, 以簡化流程.網絡管理組2005/11Ri

15、cky011用戶查核表, 如電子郵件系統, MIS系統操作用途不大, 而EDMS系統甚至缺少, 須重新檢討.網絡管理組2005/11RickyInformation Security Management System 訊息平安管理體系BS7799 外審報告BS7799 外審報告BSI 公司在 6月3日 4日期間, 進行2個人天合併外審, 外審員開出 4 個不符合項及 6 個觀察項. 下次在12月份為 3 年一次大審. ISO17799 在2005年10月份剛出了認証標準, 明年計劃申請轉版.訊息平安管理體系評審不合項了目 在 2005年3月份的內審中末有包訊息平安體系內4,5,6,7條文.不

16、合項了目 在2005/0407001平安事件記錄中, 原因分析只說明只是Windows末有更新因此感染病毒, 但末有記錄另一原因是由於更換防火牆後誤用了舊版本設定而造成.訊息平安管理體系評審不合項了目 在新實施EDMS系統內, 發現以下問題用戶群組授權清單末有更新有2個用戶口令密碼設定十分簿弱及簡單離職用戶末有在系統內删除不同用戶使用沒有平安培訓記錄.不合項了目 在業務延續計劃測試中, 已明確說明現有備份方法末能完全有效對 AD 活動目錄 恢復, 但末見再有跟進項目及對應措施訊息平安管理體系評審訊息平安管理體系評審2005年6月份外審觀察項目序號 觀 察 項 目Obs-CP1對於重大及普通安全

17、事件統計及分折須作出評審以作推動日後改善計劃.Obs-CP2由於系統應用比過往廣範, 在SOA內是否須加入A9.4.2, A9.4.5, A9.7.2, A.10.5.3, A10.5.5, A12.1.4 項目.Obs-CP3在風險評估中, 發生可能性只見用以往統計數據作為準則, 此準則對新投入系统末必能適用. 如: EDMS系統訊息平安管理體系評審2005年6月份外審觀察項目序號 觀 察 項 目Obs-CP4文控中心須評審以下項目文件是否仍須文控中心發放.保密訊息登記消取表用途保密櫃用途傳真機發放風險Obs-CP5軟件更新及測試記錄簡化評審Obs-CP6EDMS系統用戶權限評審.Infor

18、mation Security Management System 訊息平安管理體系BS7799 體系法律及法規評審訊息平安管理體系評審月份法規生效日期影嚮業務05電子認証服務管理辦法2005-04-05否06盜用他人上網賬號和密碼消費購成盜竊罪2005-06-18否09中國互聯網網路版權自律公約2005-09-04否09資訊產業部關於進一步加強移動通信網路不良資訊傳播治理的通知 2005-09-26否Information Security Management System 訊息平安管理體系BS7799 體系投入資源及結果報告UPS 後備電源新增及重新分配電腦房能有1小時後備電力供應, 所

19、有服務器在大約45分鐘後自動關閉.硬件: $7,500在重新分配新舊UPS後, 電話系統估計最少能维持 3 小時後備電力供應.二廠問題: 現時二廠電話系統最多只能维持 4 小時後備電力供應, 是否須参加1個直線電話在保安室以作緊急使用?訊息平安管理體系評審電話系統改裝新避雷系統每年雷擊季節, 現有避雷措施作用不理想, 每年都因此須付出平均$作维修, 考慮到設備重要性 避雷及電話系統保修 5 年, 3年包零件總費用: $22, 235元新增3台自動雙面打印機一廠二樓寫字樓, 物流課二廠物流課打印本钱由總費用: $18, 500元訊息平安管理體系評審Information Security Man

20、agement System 訊息平安管理體系EDMS 系統投入實施報告, 發展及改善討論2005年BS7799信息安活動 文件儲存司服器內各部文件管理, 運作規範化及標準化, 達至信息平安要求.目標由新投入文件檔案管理系統完全除代現時R: 及 S: 盤.文件儲存司服器內的共用硬盤只用作共用應用軟件.BS7799 信息安活動評審系統投資費用設備名稱金額(元)文檔管理系統費用$60,000 (不限用戶/包二次開發)Microsoft SQL Server2000标准版後台數據庫$25,740 工程安裝、調試費及上线实施服务費已包括在系統費用中用于運行SQL Server2000及管理系統的服務器

21、$50,000 總投資費用$135,740注: SQL數據庫與服務器現也用于其它管理系統，包括EDI報關系 統、IC卡就餐系統、潤衡財務軟件。系統實施目標無紙化作業，運作節約本钱文件採用電子文檔方式，實現無紙化作業，節約公司本钱.由最初 10萵/月, 減至 萵 /月, 明年須減至萵/月減少運作人力資源電子化文件管理對文件的整個生命周期實現自動化管理，文檔按照不同的分類進行管理，分散存儲，集中管理文件的新建、變更、審核、發布、簽收、查閱、等過程全部在網上進行，提高工作效率提高文件的保密及平安控制文件統一存放在服務器上，防止了人為的非法破壞及保存刪除。系統採取嚴密操作權限控制和操作活動跟蹤，防止了

22、文件的非法擴散目標的達成無紙化作業，節約本钱 系統自05年3月至今已實施完成文控中心所有受控文件及工程部文件。未來計划將實施推行各部門的資料及逐步將現時各部網絡盤(R盤、S盤等)資料轉移到EDMS系統內運行。注：體系文件資料統計日期：05年3月-05年9月 產品技朮資料、工程部資料資料統計日期：05年6月-05年9月名稱轉換為電子文檔數量(份)每月平均省紙量(張)體系文件161175產品技朮資料38681289工程部資料1511504Total:69901868電子化文件管理目標的達成 在文檔的整個生命週期中從產生到銷毀，系統將文檔按照不同的分類以電子文件柜的形式進行管理，分散存儲，集中管理。

23、對文檔進行有效地管理，產生、發佈、修改、升版、刪除、歸檔等。 文檔類別 (目錄及子目錄)ISO9000質量手冊產品資料產品圖紙程序文件包裝設計工作指引模具資料作業記錄產品資料ISO14000環保手冊作業指導書程序文件檢驗指導書工作指引客戶標準作業記錄國際標準體系記錄供應商標准BS7799資訊安全手冊程序文件工作指引作業記錄目標的達成工程部 / 業務部文檔類別 (目錄及子目錄)目標的達成提高文件的保密及平安控制目標的達成 不同部門的用戶具有不同的文檔操作許可權、不同類別的文檔可供不同的用戶操作。對不同的用戶和組別提供基於文檔級的訪問許可權，包括編目查看、編目編輯、文檔查看、文檔編輯、文檔刪除、文

24、檔存取許可權控制等多種許可權。提高文件的保密及平安控制目標的達成 工作流程的自定義使文件的新建、變更、審核、發布、簽收、查閱、等過程全部在網上進行。系統實施期間的問題序號需 求 描 述解 決 方 案1當文控人員認為某份文檔某部門不在需要時就分發取消。那麼此部門負責人會收到一份文檔已取消的信件這時他已經在系統看不到此份文檔。增加取消分發功能。2當個人有新工作時，要有新到收件提醒。EDMS與內部郵件(Exchange)系統集成，通過郵件通知。3新建文檔時受控文件編號除後面幾位數字流水號，其他幾位固定的編碼要自動顯示在”編號”的欄位內，而後幾位流水號則由人手輸入。修改自動流水號功能。需求修改點： 系

25、統實施期間的問題序號需 求 描 述解 決 方 案4新建文檔時要有“編號查詢”功能，使用戶能夠查詢到某類文檔編號已使用的流水號。增加文檔編號查詢功能。5文檔在新建、升版時可以為任一類型文檔，最後文控發布時先由文控將此文檔執行轉化成PDF格式再進行發布。系統中同一內容及檔案名的檔案會有兩份不同的格式存在。一份為任一類型，供需要修改此文檔簽出時使用。一份為PDF格式的文檔，供檔查看及下載使用。更改數據庫結構，增加字段，增加不同類型文檔區分程序。6用戶在編寫“文檔編號”時當遇到此編號已被使用時，系統應拒絕保存此文檔並提示編號重復。增加錯誤提示功能及對話表單。7統一文檔正文版號與系統內生成的文檔版號。增加編輯版本功能。系統實施期間的問題序號需 求 描 述解 決 方 案8瀏覽Pdf文檔時要有放大、縮小、旋轉及PDF檔的列印、下載功能。修改瀏覽Pdf文檔控間。9瀏覽文檔時每頁最少可以顯示30條記錄。修改數據庫結構。10查詢文檔時可根據文檔部分關鍵字進行查詢。增加文檔