信息安全稽核人员训练与政大实例探讨.pptVIP

信息安全稽核人员训练与政大实例探讨 政治大学 电子计算机中心 刘胜雄 ISMS演进历史 ISO/IEC 27001:2005 consists of two parts ISO/IEC 27001:2005 (previously BS 7799) is an international standard that provides specifications and guidance for the establishment and proper maintenance of an ISMS ISO/IEC 17799:2005 (Part 1) is a code of practice OECD (Organization for Economic Cooperation and Development) guidelines governing the security of information systems and networks. ISO/IEC 27001:2005 原为英国标准BS7799-2中的规定加以阐明并加强，更新的主要区域在风险评鉴、契约责任、范围、管理决策，以及评量其所选择控制措施之有效性，虽然大部份的变更与现今的要求并无差别，但此变更对客户的最大影响是在于要求其对所选择之控制措施之有效性作评量。 行政院95年度ISMS稽核重点 委外/第三方资安要求稽核重点 风险管理及资产管理 信息标示与处理 人员异动存取权限移除查核 安全区域管制 信息备份及防毒作业 信息交换/便携式媒体管理 存取政策及管制方式 资安事故通报及处理 营运持续管理实务 技术性脆弱点审查及弱点扫瞄 信息安全管理系统纲要 何谓信息安全 BS7799信息安全管理规范介绍 信息安全系统导入、管控与稽核 何谓信息安全？ 信息对组织而言就是一种资产，和其它重要的营运资产一样有价值，因此需要持续给予妥善保护。信息安全可保护信息不受各种威胁，确保持续营运、将营运损失降到最低、得到最丰厚的投资报酬率及商机。 信息存在的方式 打印或书面表示 电子方式储存 邮寄或是电子邮件传送 影片播放或以口头说明 无论信息的形式为何，何种方式与他人共享或储存，都应以适当的方式加以保护 为维护信息安全BS ISO 17799:2000 定义 a) 机密性（ confidentiality）：确保只 有经授权（ authorized）的人才能存取 信息。 b) 完整性（ integrity）：保护信息与处 理方法的正确性与完整性。 c) 可用性（ availability）：确保经授权 的使用者在需要时可以取得信息及相关资 产。 如何执行信息安全？ 要达到信息安全就必须实施适当的控制措施，譬如信息安全政策、实务规范 （practice）、程序、组织架构及软件功能，为了达成营运既定的安全目标， 就必须建立这些控制措施。 组织的信息安全成功因素 a) 能反映营运目标的安全政策、目标 及活动。 b) 与组织文化一致之实施安全保护的 方法。 c) 来自管理阶层的实际支持和承诺。 d) 对安全要求、风险评鉴以及风险管 理的深入理解。 e) 向全体管理人员和雇员有效推广安 全的理念。 f) 向所有雇员和承包商宣传信息安全 政策的指导原则和标准。 g) 提供适切的训练和教育。 h) 一个全面与平衡的量测系统，用于 评估信息安全管理的绩效及反馈建 议，以便进一步改进。 什么是 BS7799? BS 7799-2:2002是信息安全管理系统要求的标准。它可以帮助公司鉴别，管理和减少信息通常所面临的各种威胁。 BS ISO 17799:2000信息安全管理作业要点 BS ISO 17799 信息安全管理作业要点 用意是作为参考文件 提供广泛性的安全控制措施 现行信息安全之最佳作业方法 包含10个控制措施章节 无法作为评鉴与验证 BS 7799-2:2002 信息安全管理系统要求 信息安全管理系统(ISMS) 之建立实施与书面化之具体要求 依个别组织的需求，规定要实施之安全控制措施的要求 BS7799的作业要点 安全政策 ---为信息安全提供管理指导和支援。  组织安全 ---在公司内管理信息安全。 资产分类与管理---对公司的信息资产采取适当的保护措施。  人员安全---减少人为错误、偷窃、诈欺或滥用信息及处理设施的风险。  实体和环境安全---防止对营运场所及信息未经授权的存取、损坏及干扰。 通讯与作业管理---确保信息处理设施正确和安全运行。  存取控制---管理对信息的存取行为。  系统开发和维护---