风险管理isms bs7799 认证.pptVIP

資訊安全管理系統(ISMS)教育訓練 數聯資安/優易資訊/資安顧問 陳勇君 kevin@secure.idv.tw BS7799 L.A. / CISSP 內容綱要 前言 資安事件層出不窮 風險管理概念 資訊資產、弱點、威脅、風險 資訊安全管理系統(ISMS)的項目 風險管理 ISMS BS 7799 BS 7799 十大控制方法說明 Part-(1) ~ Part (4) 問題與討論 前言 駭客！無處不在？ 重大網路安全事件 1996/9：美國政府機關與軍事部門遭駭客入侵 2000/3：駭客利用 DDos 的網路攻擊方式，引起 Yahoo、Amazon、CNN、eBay 等知名網站癱瘓 2001/7：A 旗下的 Bibliofind 遭駭客盜走1萬8千名顧客的 “信用卡” 資料 2001/5：東科大火燒出企業資料 “異地備援” 的重要性 2002/3：台積電高級主管涉嫌以 “電子郵件外洩” 晶圓製程相關機密文件 2003/08：「疾風病毒」是在八月中旬，肆虐全球網路，是今年最嚴重的蟲災之一，造成數億美元的損失。 2003/09：政府民間 88單位 遭「中國網軍」入侵，植入20多個木馬程式 2003/10：一銀現金卡超貸案、台銀 ATM 盜領案、理律股票盜賣案、 前車之鑑 歷歷在目 【新聞】刑事局 93/05/03 上午首度證實，國內百大企業、科技、網路、金融、資訊及模具零件傳統產業、學校或個人電腦已經大規模遭駭客入侵，並遭植入多種「惡意木馬程式」竊取資料庫及帳號密碼，而且惡意攻擊程式有不斷擴散，交叉感染情形…。 【新聞】台灣警方 92/10 ~ 93/05 發現許多企業、政府機關主機遭到入侵、植入「木馬程式」，損失慘重。資訊安全公司表示，由於大陸的駭客全天無時無刻不在掃瞄台灣的主機，也確實有企業的主機被開啟「後門」…。 【新聞】台灣駭客與大陸駭客攜手合作，竊取網路銀行帳號密碼，盜匯巨額金額… 【新聞】如果洩漏一筆個人情資，罰款 NT 2 萬 ~ 10 萬不等… 【CNet 新聞】 2004/06/17 EarthLink 和 Webroot 軟體掃瞄了大約42.1 萬台電腦，其中有 13.37 萬台電腦存在有 特洛伊病毒 或者 間諜軟體，占總數的三分之一，共發現了 1,130 萬個間諜軟體，平均一台機器上就有 26.9 個間諜軟體存在。 資訊安全的威脅來自-哪些人 企業內部 員工 MIS 人員 離職員工/挖角同仁 間諜員工 維護廠商 網路廠商 主機廠商 DB 廠商 AP 廠商 協力廠商 B2B/上下游廠商 企業外部 競爭對手 商業間諜 外國政府 求名駭客 地下組織 Internet User 主管-資安心態的改變 過去 既然是「同仁」、「維護廠商」，應該有忠誠度，應該不會… 現在 雖然是「同仁」、「維護廠商」， “可能” 因為外部誘惑 或者 內心不平，而… 資訊資產(Assets)的種類 資訊資產(Information Assets) 軟體資產(Software Assets) 硬體資產(Hardware Assets) 文件資產(Paper Document) 服務(Service) 公司形象(Company Image) 威脅來源 (1/3) 駭客入侵 有特殊目的-長期佈局、不易察覺、追查困難 展示實力與惡作劇-篡改網頁 惡意破壞-低程度駭客 離職的員工 挾怨報復或有機可圖 有心同仁 “忠誠/道義” 放兩旁、 “利” 字擺中間 威脅來源 (2/3) 資訊專業承包廠商 熟悉作業環境與系統價值 具有使用權限 專業知識高於使用者 預留 “後門” 容易 使用者必須仰賴之 網路、主機、AP、資安廠商 最好不同、落實「責任分離」 威脅來源 (3/3) 不當的使用習慣 電子郵件濫用 任意下載檔案 網頁瀏覽 未注意權限管控 帳號與密碼 資源分享 設定錯誤 防火牆 、防毒牆 離職員工竄改客戶資料詐財 內容綱要 前言 資安事件層出不窮 風險管理概念 資訊資產、弱點、威脅、風險 資訊安全管理系統(ISMS)的項目 風險管理 ISMS BS 7799 BS 7799 十大控制方法說明 Part-(1) ~ Part (4) 問題與討論 風險管理弱點、威脅、風險 資訊安全 = 風險管理與控制 IT 價值以 “企業營運” 為基礎 IT 價值以 “安全需求” 為本質 新的 IT 資訊技術必須確保資料與資訊的: 必威体育官网网址性(Confidential) 避免非法的人看到資料 完整性(Integrity) 避免非法的人竄改資料 可用性(Available) 讓合法的人想用就可以用 “弱點” 管理 何謂『弱點』？ 先天的不足 很難改變 以 SARS 為例 如何『弱點管理』？ 建立系統安全政策(伺服器,個人電腦,資料庫系統,應用系統