世新大学ISMS经验分享演示文稿.ppt

ISMS 經驗分享 導入時程 95年3月編列首期預算 95年9月開始導入 96年1月完成第一期工作 96年3月編列第二期預算 96年9月開始進行第二期導入 97年6月通過 ISO 27001 驗証 97年12月通過 ISO 27001 複評 ISMS 經驗分享 導入經費 輔導 + 正評 (5 人天) = 350 萬，含 LA x 4 + CISSP x 2 之培訓 複評 18 萬 (証照維護費 6 萬/年，每半年複評一人天 6 萬) ISMS 經驗分享 導入成效 驗証範圍為全球大學之最：將整個電算中心所有活動均納入驗証範圍，包含系統開發與維運 驗証機構亦為全球之首：申請 BSI 驗証 七名同仁通過 LA 考試 同時通過 ISO 27001 與 CNS 27001 雙驗証 (BSI + UKAS + TAF) ISMS 經驗分享 重要活動 教育訓練 差異分析 資產辨識* 風險鑑別與處理* 制度規範的建立* 業務衝擊分析與持續營運計畫 內稽與管審 ISMS 經驗分享 瞭解導入之目的以及學校的生態環境 應付了事 vs. 徹底改善 快速導入、通過驗証並不困難，但對日後維運可能會造成很大的困擾 瞭解學校環境與企業生態的不同 (亦有別於政府機關、軍事單位、金融機構、醫療院所之生態) 學校單位除了個資的保護之外，其餘皆無太大的要求 (幾乎皆可透過行政命令作補救) 學校單位的人力規模亦不若其它組織，經常是 Admin 兼 OP、球員兼裁判，稽核工作會變得非常怪異 (自己稽核自己？) ISMS 經驗分享 對於人員的投入 高階主管的投入扮演了重要角色 (本中心前、後任主任皆通過 LA 考試，且投入極大心力主導 ISMS 的進行)，如果高階主管參與度不足，可以開列缺失 (高階主管承諾不足) 管理階層的投入掌握了 ISMS 的成敗 (本中心各組組長皆通過 LA 考試) 其餘人員則需按表操課，完成相關管控措施與紀錄 ISMS 經驗分享 對於範圍的選定 把系統組納入驗証範圍，網路組相對就無輕鬆許多 (機密性、完整性的要求相對較低) 驗証範圍的大或小會影響參與的人數，但活動流程不會因為範圍的大小而減少，規章辦法也不會因為範圍縮小而大量減少 (減少幅度有限) 驗証範圍內的人員都必須齊心協力才能通過驗証 (如果包含師生，那就完了) ISMS 經驗分享 對於標準的瞭解 驗証有如上法院，對律法 (標準) 越熟越有利 面對稽核人員應辯才無礙，當稽核人員無法說服受稽方承認是缺失，稽核人員不得開列缺失 稽核人員要開列缺失時，可要求其展示違反標準哪項條文，並就條文字義作討論 未按照 ISO 27002 的建議實作並非缺失，但 ISO 27001 要求必須作到的卻未作，即可開列缺失 ISMS 經驗分享 對於資訊資產的辨識 適當地將資產群組化有助於辨識工作 將資料、軟體與硬體分開進行辨識 在學校環境中，機密性與完整性幾乎只存在於資料，因此當資料已獨立進行辨識時，其軟體或硬體就不再評機密性與完整性，只評可用性 若未將資料單獨抽離進行辨識時，相關之軟體或硬體則須同時辨識機密性、完整性與可用性 初次進行資訊資產的辨識時，容易擴大自身業務的重要性，宜多進行數次，讓真正重要的資產突顯出來 ISMS 經驗分享 對於風險的判定 風險是由受稽方所決定，而非稽核方所決定 如果無法辨識潛在風險，只能以經驗法則判定，若從未發生過，即使判定為低風險 (機率低)，稽核人員也只能列為待觀查事項 (但請勿故意低估風險) 過去未發生過的事件，不代表未來不會發生，也不代表未來一定會發生 若無足夠的事証可証明其缺失，須將利益歸於受稽方 (頂多開列待觀查事項) 並非所有事件皆須防止其發生 (例如：防止 Switch 當掉並非一定要熱備援)，若在可接受範圍內有替代方案仍視為合理管控 (例如：更換備品) ISMS 經驗分享 對於風險鑑別的一致性 4.2.1 (c) The risk assessment methodology selected shall ensure that risk assessments produce comparable and reproducible results. 外稽人員不一定質疑風險鑑別的方法論，但會比較各項資產的威脅與弱點的評估方式是否一致 風險鑑別活動時，常以縱向方式進行；但稽核人員常以橫向方式比較其一致性 如果低估風險，可能會被開列缺失 (風險鑑別之缺失)；但如果高估風險，比較不會被開列缺失 ISMS 經驗分享 對於資訊資產的控制措施 管控措施比較容易降低威脅發生之機率，但比較不容易降低威脅之衝擊性 備援可降低硬體的可用性衝擊，亦可降低同時故障之機率 備份可降低軟體與資料的可用性衝擊 備分與主機料之 C 與 I 應該相同，但 A 應該稍微降低 一