《ISMS与公司治理.pptVIP

ISMS與公司治理 淡江大學 資訊管理學系 副教授兼系主任 蕭瑞祥 中華民國九十三年十月二日 ISMS與公司治理 ISMS (Information Security Management System) 資訊安全管理系統(ISMS)是有系統的對組織敏感資訊進行管理，涉及到人、程序和資訊科技(IT)系統。 公司治理 使企業體透過法律的制衡管控與設計，在企業所有與企業經營分離的組織體系中，有效監督其組織活動，以及如何健全其組織運作，防止脫法行為之經營弊端，以實現企業社會責任之高度目標。 (證券暨期貨市場發展基金會) 五項公司治理原則 OECD（國際經濟合作暨發展組織） 公司治理架構應保護股東的基本權利和決策參與權。 公司治理架構應確保公平對待所有的大小股東及外國股東。 公司治理架構應鼓勵公司，就利害關係人之法定權益與角色在創造財富、工作及健全財務等方面積極合作。 公司治理架構應能確保有關公司財務狀況、績效、所有權及其他重大資訊之正確揭露及透明性。 公司治理架構應確保公司董事會的策略性指導及有效性監督。 資訊安全 資安事件三面向 (資訊安全三要素) 資訊安全關聯圖 資訊安全架構 資訊安全管理系統國際標準 ISO/IEC 17799:2000 –資訊安全管理系統作業要點 (指導性文件) 10 大管理要項 36 個執行目標 127 種控制項目 BS 7799-2:2002 –資訊安全管理系統要求 (強制性要求) CNS 17799 與 CNS17800國家標準(91年12月5日) BS7799 英國標準局(BSI)制定之資訊安全管理標準 BS7799內容包括： Part One – ISMS規範 (Specification for Information Security Management Systems) Part Two – 資訊安全管理實施要點 (Code of Practice for Information Security Management) BS7799 Part One 已納入ISO 17799國際標準 第三者認證基礎、強調預防性控制 BS7799 BS7799-1:2000 / ISO 17799:2000 Part 1 (第一部分) Code of practice for information security management 資訊安全管理作業要點 (36 Control objectives 127 controls in 10 sections) –分為10部分, 共有36個控制目標及127個控制措施 BS 7799-2:2002 Part 2 (第二部分) Specification for information security management systems 資訊安全管理系統要求 CNS 17799中央標準局制定國家標準 依據 ISO 17799 為基礎 , 翻譯及編修並編撰制定成為中華民國國家標準。 CNS 17800中央標準局制定國家標準 CNS 17800鼓勵組織建立ISMS採用PDCA過程模式 資訊安全政策、規範與程序 資訊安全政策 組織必需思考、衡量資訊安全對組織的重要性在哪裡？ 當資訊的安全性與便利性發生衝突時，組織應該如何取捨？ 管理 管理系統必需清楚地定義哪些資訊安全的資產需要保護？有了詳細的清單， 風險評估 針對每項資產，計算其價值、分析其安全上的弱點以及可能的攻擊，就能加總定義出整個資訊安全的風險。 資訊安全管理制度(ISMS)規劃 BS7799 為組織帶來什麼好處？ 強化組織安全：透過 BS7799 認證程序，可減少組織網路的弱點，並提高組織的風險控管能力。減少弱點意味著較少的安全漏洞，詐騙行為、財物風險與法律風險也會跟著減少，當然網路的連續運作時間與客戶信心也會隨之提高。 提高安全規劃效率： BS7799 列舉了分屬於十項領域共 127 條控制項目及其控制細項目，導引組織如何進行人力資源、法務與突發事件應變的規劃。這些針對資訊安全而提出的全面性詳細建議，可使得組織開始導入安全措施時，作到更完善、更容易管控且非常符合經濟效益。 提高安全管理成效：所有組織都必須開始制定或重新檢視其資訊安全政策與程序。與組織一般的安全計劃不同的是，BS7799 已證實是資訊安全的最佳實務準則法則。諸如 BT、HSBC、Marks and Spenser、Shell International 與 Unilever 都對 BS7799 的制定多所貢獻，並且在實際商業環境中測試過其成效。 持續保護：組織經過認證後，稽核機構的持續檢驗與BS7799的更新，將確保組織隨時了解必威体育精装版的弱點以及最佳的實務準則法則。 改善合作關係：為了讓組織網路受到更好的保護，同時又要能進