isms简介与法规案例说明

资源描述

《isms简介与法规案例说明》由会员分享，可在线阅读，更多相关《isms简介与法规案例说明（183页珍藏版）》请在金锄头文库上搜索。

1、中華科技大學科技管理永遠領先客氣客觀客戶滿意 Page 1ISMS簡介與法規案例說明主講人查傳憲中華科技大學科技管理永遠領先客氣客觀客戶滿意 Page 2ISMS簡介中華科技大學科技管理永遠領先客氣客觀客戶滿意 Page 3ISO 簡介ISO 為【國際標準組織】之簡稱。 ISO 組織成立與沿革簡介。 1) ISO 9000 品質管理系統。 2) ISO 14000環境管理系統。 3) OHSAS 18000(TOSHMS)職安衛管理系統 4) ISO 20000資訊服務管理系統。 5) ISO 27000資訊安全管理系統。強調目標管理、客戶導向、流程導向。未

2、來之發展走向整合中華科技大學科技管理永遠領先客氣客觀客戶滿意 Page 4ISO 標準-家族之架構2 0 0 3前後BS 7799-1BS 7799-2ISO 17799-1ISO 17799-2CNS 17800ISO 10011-1ISO 10011-2ISO 27001ISO 27002ISO 19011 ISO 17799 2 0 0 5中華科技大學科技管理永遠領先客氣客觀客戶滿意 Page 5尤重【持續改善】喔！1. 說、寫、做完全一致。2. 全員參與、榮辱與共、無人可置身事外。3. 防範未然、強調預防、未雨綢繆。4. 由下而上，將現有資源重新整合。5. 不用文過飾

3、非，有錯可改，人性化管理。6. Remark：持續改善的小撇步一致性社會性實踐性差異性理想性IS0 的五大精神中華科技大學科技管理永遠領先客氣客觀客戶滿意 Page 6資訊安全管理系統認證簡史 1990年：世界經濟合作開發組織（OECD）轄下之資訊、電腦與通訊政策組織開始草擬資訊系統安全指導綱要。 1992年：OECD於1992年11月26日正式通過資訊系統安全指導綱要。 1993年：英國工業與貿易部頒布：資訊安全管理實務準則。 1995年：英國訂定資訊安全管理實務準則之國家標準BS 7799第一部分，並提交國際標準組織（ International Organi

4、zation for Standardization ，簡稱ISO）成為ISO DIS14980。 1996年：BS 7799(Part )提交國際標準組織(ISO)審議，沒有通過成為ISO標準之要求。中華科技大學科技管理永遠領先客氣客觀客戶滿意 Page 7 1998年：英國公布BS 7799(Part-2) 資訊安全管理規範並為資訊安全管理認證之依據。 2000年：增修後之7799(Part-1)於2000年12月1日通過 ISO審議，成為ISO/IEC 17799國際標準。 7799(Part-2) 2002 年12 月5 日未通過審議，我國經濟部標準檢驗局分別基於ISO

5、/IEC 17799 與BS 7799 -2 ，發布國家標準CNS 17799及CNS 17800。 2005年6月15日，ISO/IEC 17799：2005(E)正式發行。ISO於ISO/IEC 17799：2005(E)之前言敘明於2007 年將發行ISMS的27000標準系列。 ISO/IEC 17799：2005(E)將由ISO/IEC 27000系列取代。 2005年10月15日ISO/ IEC 27001與ISO/ IEC 27002正式發行。資訊安全管理系統認證簡史(二)中華科技大學科技管理永遠領先客氣客觀客戶滿意 Page 8資訊科技與資訊安全之演進資訊科技從1

6、960年代才算正式開始。80年代初電腦還在較封閉的環境中由少數人操作，安全風險低。80年代開始普及的個人電腦並未考慮存取控制，而且軟碟經常交換使用，資訊安全事件開始浮現。90年代網際網路蓬勃發展，也為病毒與駭客提供絕佳的攻擊管道。 2000年之後，隨著電子商務蓬勃發展，攻擊電腦或網路的目的也從惡作劇轉變為非法利益之取得。中華科技大學科技管理永遠領先客氣客觀客戶滿意 Page 9資訊的定義資訊是一種資產，就像其他的重要資產一樣，對組織具有價值，因此需要受到適當的保護。資訊可以許多的形式存在，可以書寫或列印於紙上，儲存在電子儲存媒體上，以郵寄或電子儲存傳輸，顯示於影片上

7、或在對話中說出。不管資訊的形式是什麼，或者共用或儲存的方式是什麼，都應該受到適當的保護。中華科技大學科技管理永遠領先客氣客觀客戶滿意 Page 10資訊安全之目的資訊安全之目的就是在保護資訊資產（即指資訊紀錄、電腦系統、實體設施設備、人員與服務等五大類資訊資產）之機密性、完整性、可用性與該資產之威脅、脆弱？Confidentiality、Integrity、Availability中華科技大學科技管理永遠領先客氣客觀客戶滿意 Page 11我們要保護的重點是什麼？資訊紀錄包括電子紀錄（資料庫、資料檔等）、儲存媒體（磁帶、磁碟片、光碟片等）與書面紀錄（系統規劃

8、與設計文件、使用與操作手冊、契約、制度文件與維護記錄等）。電腦系統包括電腦作業系統、應用系統（專屬特殊用途）、工具軟體（單一功能）及套裝軟體（多功能用途或通用功能）。中華科技大學科技管理永遠領先客氣客觀客戶滿意 Page 12我們要保護的重點是什麼？(續) 實體設施與設備設施包括辦公區與管制區。設備電腦、伺服器、終端機、筆記型電腦、個人電腦、列表機、燒錄機等。通訊設備集線器、路由器、網路交換機、傳輸線路、數據機(卡) 等。其它設備空調設備、媒體儲存櫃、門禁設備等。中華科技大學科技管理永遠領先客氣客觀客戶滿意 Page 13我們要保護的重點是什麼？ (續) 人員

9、內部人員：正式、約、聘僱與臨時人員。外部人員：相關業務之承包商與第三方使用者。服務包括網路、空調、電力（不斷電系統）、消防等周邊服務項目。中華科技大學科技管理永遠領先客氣客觀客戶滿意 Page 14資訊安全脆弱性環境和基礎結構 1.1 缺乏建築物、門、窗等實體的保護 (可能會被利用威脅例：失竊的威脅) 。 1.2 建築物、房間等實體進出控制的不足或不小心之疏忽 ( 可能會被利用的威脅例：故意損害的威脅) 。 1.3 不穩定的電源 (可能會被利用的威脅例：電源波動的威脅) 。 1.4 位於容易淹水的區域 (可能會被利用的威脅例：淹水的威脅) 。硬體 2.1 缺少定期置換機制

10、(可能會被利用的威脅例：儲存媒介劣化的威脅)。 2.2 電壓容易變動 (可能會被利用的威脅例：電源波動的威脅) 。 2.3 溫度容易變動 (可能會被利用的威脅例：極端溫度的威脅) 。 2.4 容易潮濕、有灰塵 (可能會被利用的威脅例：灰塵的威脅) 。 2.5 對於電磁輻射敏感 (可能會被利用的威脅例：電磁輻射的威脅) 。 2.6 儲存媒介維護不夠/安裝失敗 (可能會被利用的威脅例：錯誤之維護威脅) 。 2.7 缺乏有效的組態變更控制 (可能會被利用的威脅例：操作人員執行錯誤的威脅) 。資料來源 : ISO/IEC TR 13335-3:1998(E) , Annex D.中華科技

11、大學科技管理永遠領先客氣客觀客戶滿意 Page 153.軟體3.1 開發者的規範不清楚或不完整。(可能會被利用的威脅例：軟體失能的威脅)3.2 沒有軟體測試或軟體測試不足。(可能會被利用的威脅例：未經授權使用者使用軟體的威脅)3.3 複雜的使用者介面。 (可能會被利用的威脅例：操作人員執行錯誤的威脅)3.4 識別與鑑別(像是使用者鑑別)機制的不足。(可能會被利用的威脅例：偽裝使用者身分的威脅)3.5 缺乏稽核軌跡。(可能會被利用的威脅例：在未經授權的方式下使用軟體的威脅)3.6 軟體的瑕疵。(可能會被利用的威脅例：未經授權的使用者使用軟體的威脅)3.7 密碼表保護不足。(可能會被利用的

12、威脅例：偽裝使用者身分的威脅)3.8 密碼管理不足(易猜到密碼、未清除不應儲存的密碼、變更密碼的頻率不足)。(可能會被利用的威脅例：偽裝合法使用者身分的威脅)3.9 存取權限指派錯誤。(可能會被利用的威脅例：未經授權下使用軟體的威脅)3.10 未控制軟體的使用和下載。(可能會被利用的威脅例：惡意軟體的威脅)3.11 離開工作站時沒有”登出”。(可能會被利用的威脅例：未經授權的使用者使用資訊資源的威脅)3.12 缺乏有效變更控制的管理。(可能會被利用的威脅例：軟體失能的威脅)3.13 缺乏文件。(可能會被利用的威脅例：操作人員執行錯誤的威脅)3.14 缺乏複製備份。(可能會被利用的威脅例：惡意軟

13、體或火災的威脅)3.15 沒有適當刪除就處置或重覆使用儲存媒介。(可能會被利用的威脅例：未經授權的使用者使用資訊資源的威脅) 資訊安全脆弱性資料來源 : ISO/IEC TR 13335-3:1998(E) , Annex D.中華科技大學科技管理永遠領先客氣客觀客戶滿意 Page 164. 通訊4.1 未保護通訊線路 (可能會被利用的威脅例：竊聽的威脅) 。 4.2 缺乏連線電纜 (可能會被利用的威脅例：通訊滲透的威脅) 。 4.3 缺乏傳送者與接收者的識別與鑑別 (可能會被利用的威脅例：偽裝合法使用者身分的威脅) 。 4.4 未保護的密碼傳輸 (可能會被利用的威脅例：未經授

14、權使用者的網路存取的威脅) 。 4.5 缺乏傳送或接收訊息的證據 (可能會被利用的威脅例：否認的威脅) 。 4.6 撥號線路 (可能會被利用的威脅例：未經授權使用者的經由網路存取資訊資源的威脅) 。 4.7 未保護敏感性資料的傳輸 (可能會被利用的威脅例：竊聽的威脅) 。 4.8 網路管理不足(彈性的群眾) (可能會被利用的威脅例：流量超過負載的威脅) 。 4.9 未保護公共網路的連接 (可能會被利用的威脅例：未經授權使用者使用資訊資源的威脅) 。資訊安全脆弱性資料來源 : ISO/IEC TR 13335-3:1998(E) , Annex D.中華科技大學科技管理永遠領先客氣客觀客戶滿意 Page 175.文件5.1 儲存文件保護不足 (可能會被利用的威脅例：失竊的威脅) 。5.2 缺乏小心地處置 (可能會被利用的威脅例：失竊的威脅) 。5.3 未控制複製 (可能會被利用的

展开阅读全文