《導入iso270012005資安管理系統經驗分享-台中區網中心》由会员分享,可在线阅读,更多相关《導入iso270012005資安管理系統經驗分享-台中區網中心(44页珍藏版)》请在金锄头文库上搜索。
1、1大綱n前言 n靜宜大學計算機及通訊中心組織及執掌 n導入ISO 27001:2005 經驗分享 ISO 27001:2005 V.S BS7799 資訊安全推動組織及管理權責 如何導入ISMS機制 導入甘苦談 n認證後之持續運作與改善 n執行ISMS的具體效益 n教育體系資通安全管理規範 nQ&A2前言n資訊安全管理(Information Security Management System,簡稱ISMS)對學校的 重要性 nISMS推動作業之依據:行政院於94年 7月21日核定政府機關(構)資訊 安全責任等級分級作業施行計畫3前言(一)n 資訊安全管理(Information Secur
2、ity Management System,簡稱ISMS)對學校的重要 性網路的快速發展,改變了既有的業務處理模 式,不單是業界,學校單位也感受到此股新興 力量,許多行政工作藉由網路無遠弗屆的特性 ,加速了程序的進行,提升了整體的效率。此 時此刻,正是為各級學校單位量身訂作規範的 時機,如此才能確保各個行政程序的安全性。 -摘錄自教育體系資通安全管理規範4前言(二)n ISMS推動作業依據:行政院於94年7月21日核定政府機關(構) 資訊安全責任等級分級作業施行計畫訓練資訊安全責任分級包含本所屬機關及各公私立學校區分: A 級:教育部、台大醫院、成大醫院 B 級:大學、區域網路中心、縣(市)教
3、育網路中心 C 級:學院、專科學校部屬館所 D 級:高中職、國中小學5靜宜大學計算機及通訊中心組織及執掌n靜宜大學計通中心合作團隊 n靜宜大學計通中心組織 n靜宜大學計通中心各組業務6靜宜大學計通中心合作團隊7靜宜大學計通中心組織圖8靜宜大學計通中心各組業務n行政教學組(6人) 主要工作項目: 遠距教學 教學平台 多媒體教學支援 數位內容 電腦教室軟硬體設備管理 全校電腦軟硬維修 n網路通訊組(4人) 主要工作項目: 校園電腦網路骨幹與主機規劃、維護及使用者網點故障排除 維護對外電腦網路之正常運作 電話通訊系統 衛星電視系統 n系統支援組(2人) 主要工作項目: 中心各主機及入口網站之設定、管
4、理、維護及相關業務 全校校園IC卡應用及門禁系統規劃 n軟體開發組(7人) 主要工作項目: 校務與師生服務系統開發與建置 校務資料庫系統維護 9導入ISO 27001:2005 經驗分享nISO 27001:2005 V.S BS7799 n資訊安全推動組織及管理權責 n如何導入ISMS機制 n導入甘苦談10ISO 27001:2005 V.S BS7799n 什麼是BS7799?BS7799 是一套資訊安全防護機制的規範Information Security Management Systems ( 簡稱 ISMS) ,由英國標準協會(British Standards Institute
5、 ,簡稱 BSI) 制訂並在 1995 頒布,期望透過BS7799 這套計畫能夠有效建構資訊安全防護機制。一家企業只要能夠做到BS7799 的要求並且通過獨立稽核機構的評鑑,便可獲頒 BS7799 資訊安全認證 。n 什麼是 ISO27001 ? 和 BS7799 差別在哪? BS7799 的 Part I2000 年被採納為 ISO17799:2000 ,並在 2005 年修定成ISO 17799:2005;只是一個 implementation guidance BS7799 Part II 2005 年被採納為 ISO 27001 國際標準,並於 2005 年 10 月正 式出版發行;
6、ISO 27001 則是一套完整的驗證標準11ISO 27001:2005 V.S BS7799(續)n ISO27001:2005 的內容總共分成 11 個領域、 39 個控制目標、 133 個控制要點。 11 個領域包括 A.1 Security Policy A.2 organization of information security A.3 Asset management A.4 Human resources security A.5 Physical and environmental security A.6 Communications and operations ma
7、nagement A.7 Access control A.8 Information systems acquisition, development and mainten ance A.8 Information security incident management A.10 Business continuity management A.11 Compliance12資訊安全推動組織及管理權責13資訊安全推動組織及管理權責(續)n管理權責資訊安全推動委員會 建立資訊安全管理制度並推動資訊安全相關事宜。召集人(由中心主任擔任) 負責召集資訊安全管理審查會議,並追蹤其決議事項。 督導
8、本中心風險評鑑作業。 督導本中心持續營運計畫之修訂與演練。資訊安全稽核小組(5人) 執行資訊安全管理之內部稽核作業。資訊安全工作小組(10人) 評估人員進用之安全性。 辦理資訊安全教育訓練。 資訊資產之安全需求研議、使用管理及保護等事項。 程序及規範書草擬14資訊安全推動組織及管理權責(續)n 管理事項如下: 資訊安全政策制定及評估 組織的資訊安全與分工 資產管理 人力資源的安全 實體與環境安全 通訊與作業管理 存取控制 資訊系統取得、開發及維護 資訊安全事故管理 營運持續管理 遵循性15如何導入ISMS機制n步驟一:制訂政策 n步驟二:定義ISMS範圍 n步驟三:進行風險評鑑 n步驟四:進行
9、風險管理 n步驟五:制訂程序規範、及參考相關法 規16如何導入ISMS機制(續)n步驟六:資安設備建置、實體環境改善 n步驟七:災害演練營運計畫演練 n認證程序 n稽查時注意事項17步驟一:制訂政策n管理階層對資訊安全的指示及支持 政策文件應經管理階層核准、發行,宣導至 中心所有員工 政策應定期審查,如有影響變更時,應確保 其適切性。確保本校資訊服務永續提供及完整資訊的合法存取18步驟二:定義ISMS範圍n 定義ISMS實施與認證範圍 全機關? 部門? 工作場所? 應用系統?選擇重要核心業務計算機及通訊中心所提供的 網路骨幹管理、伺服器主機管理、校務系統資料庫管理、 電子郵件服務管理及全球資訊
10、網服務管理之資訊安全管理 系統。場地為計中1F及各學院校園骨幹設備機房、異地備 份場所。組織核心業務必須納入 切割介面必須清楚明確 排除項目必須說明理由19步驟三:進行風險評鑑n 風險評鑑程序 資訊資產鑑別 文件類:電子類文件、紙本類文件。 軟體類:商用軟體、內部發展軟體。 人員類:內部人員、外部人員。 實體類:一般硬體、電訊、電腦媒體、電腦保護設施。 服務類:內部服務、外部服務、基礎架構、一般公共設施、 建築、建築保護設施。 資訊資產評價(機密性、完整性、可用性、適法性) 弱點評鑑 威脅評鑑 風險計算20步驟四:進行風險管理n 風險處理方向 避免風險、轉移風險、降低風險到可接受程度、接受剩餘
11、的風 險n 對各項風險選擇控制目標、措施及方法,製作資訊安全防護計畫,彙整為適用性聲明 成本、實施的容易性、要求的程度、服務、法律和法規的要求 制止、偵測、預防、限制 矯正、回覆、監控、宣導n 資訊安全工作小組,確定控制目標、措施、資源分配等 。21步驟五:制訂程序 規範及參考相關法規1.中心資訊安全政策2.資訊安全管理手冊(一階文件1份,二階文件16份,三階文件12份) 資訊安全政策 資訊安全組織規程 資訊安全管理手冊 人事安全管理程序 資訊安全文件暨紀錄管理程序 資訊資產管理程序 資訊風險評鑑與管理程序 資訊安全管理適用性聲明書 網路安全管理程序 資訊存取控制程序 實體安全管理程序 資訊作
12、業委外管理程序22步驟五:制訂程序 規範及參考相關法規(續)資訊應用系統安全管理程序 資訊業務持續營運管理程序 資訊安全事件通報程序 資訊安全稽核程序 資訊安全矯正及預防措施程序 電腦主機房管理作業規範 電腦病毒防治管理規範 弱點管理作業規範 網路安全管理作業規範 防火牆建置與管理作業規範23步驟五:制訂程序 規範及參考相關法 規(續) 電子郵件管理作業規範 主機與伺服器安全管理作業規範 備份管理作業規範 資料交換作業規範 資料庫管理作業規範 資訊設備與媒體管理作業規範 資訊業務災害回復作業規範 3. ISO 27001:2005 4.行政院及所屬各機關資訊安全管理要點 5.智慧財產權 6.電
13、腦處理個人資料保護法 7.其他24步驟六:資安設備建置、實體環境改善n資安設備建置 防火牆、 入侵偵測系統、 防毒主機(已建置 ) n實體環境改善新建置:印表室門禁主機房區門禁已建置:主機與Console台區分、線路及 電源整理、主機上機架、消防、監視、保 全、空調系統、出入口門禁25步驟七:災害演練營運計畫演練n災害演練(火災地震停電) ,半年擇 一演練 n營運計畫演練 網路骨幹服務持續計畫 電子郵件系統服務持續計畫 校務行政系統資料庫持續計畫 全球資訊網服務持續計畫26認證程序n輔導公司跟驗證公司必須是不同 n各階文件完備後內部稽核 預評(非必需) 文件審查 正評n主要缺失、 次要缺失、觀
14、察事項改善27稽查時注意事項n所有表單皆須填寫,否則須說明原因:未 有事件發生或其它因素 n內稽前表單需有1個月以上紀錄 n表單間之關連性進門借臨時卡時間不得晚於進主機房時間 備份時間與維修記錄卡時間是否相同 調閱監視系統記錄與主機房進入登記表人數是否 吻合28稽查時注意事項(續)n 內部人員(含工讀生)及維護廠商(公司及個人)的保 密切結書 n 桌面淨空 n 印表機列出文件儘速取回 n 資訊資產標示及分級保管 n 實機抽查但由系統管理員操作 個人電腦(含工讀生電腦) :Windows update、防毒軟體、螢幕保 護程式 主機: 使用者帳號及權限是否因人員異動即時變更、系統記錄檔 n 通報
15、方式實際操作:EX:國家資通安全會報技服中心 n 教育訓練如何評估其有效性29導入甘苦談n首長的明確支持與公開宣示 n主管明確表示做到底的決心 nISMS不是安裝一個自動化系統,而是訂定規章與制 度,從管理角度而非從技術層面切入 n程序與規範的制定,雖然有範本,學術單位與其他 業界不同,仍須依校內實際運作狀況調整 n導入ISMS資訊安全管理制度,比與原有管理方法要 求更嚴謹。在改變過程中,便利與安全的拉鋸戰, 需不斷討論與協調 由工作小組成員依本身負責業務性質草擬34個程 序或規範,每一程序或規範草擬人每週需花費48 小時30導入甘苦談(續)部分程序或規範內容需跨組討論,或有爭議之處需諮 詢顧問,每週需花費48小時 各項審查後工作小組需指定承辦人員、覆核人員並列 書面追蹤表,交予中心主任。每次需花費24小時 n ISMS推動必須有充分授權之專案負責人依據追 蹤表跟催進度及與顧問密切聯繫 n 工作小組成員由中心現有人力擔任,除例行業 務外,在導入至認證期間半年內(95年9月至96 年3月) ,工作負擔加重 n 主管及計中所有同仁的共同參與,不只有工作 小組及稽核小組參與 n 顧問專業的說服力與影響力是不可缺少的助力31導入甘苦談(續)n 因內稽外稽文件審查預
