《资讯安全稽核人员训练与政大实例探讨》由会员分享,可在线阅读,更多相关《资讯安全稽核人员训练与政大实例探讨(127页珍藏版)》请在金锄头文库上搜索。
1、資訊安全稽核人員訓 練與政大實例探討ISMS演進歷史19951998率先由英國貿易工業部進行專案英國公佈BS 7799 第一部份 (Part 1)瑞典成立LIS 專案英國公佈BS 7799 第二部份 (Part 2)瑞典標準 SS 62 77 99 Part 1 橘皮書: 可信任的設施管理指南1990 世界經濟開發組織(OECD);資訊系統安全指導方針(1992/11/26)12月正式成為ISO 17799標準 2000.12.19月正式公佈BS 7799-2: 20022002OECD指導方針修訂 改版ISO 17799:2005 2005-6-15 2005發行ISO 27001:2005
2、 2005-10-15ISO/IEC 27001:2005 consists of two parts w ISO/IEC 27001:2005 (previously BS 7799) is an international standard that provides specifications and guidance for the establishment and proper maintenance of an ISMS w ISO/IEC 17799:2005 (Part 1) is a “code of practice“ w OECD (Organization for
3、Economic Cooperation and Development) guidelines governing the security of information systems and networks. ISO/IEC 27001:2005w 原為英國標準BS7799-2中的規定加以闡 明並加強,更新的主要區域在風險評鑑 、契約責任、範圍、管理決策,以及評 量其所選擇控制措施之有效性,雖然大 部份的變更與現今的要求並無差別,但 此變更對客戶的最大影響是在於要求其 對所選擇之控制措施之有效性作評量。行政院95年度ISMS稽核重點w 委外/第三方資安要求稽核重點 w 風險管理及資產管
4、理 w 資訊標示與處理 w 人員異動存取權限移除查核 w 安全區域管制 w 資訊備份及防毒作業 w 資訊交換/可攜式媒體管理 w 存取政策及管制方式w 資安事故通報及處理 w 營運持續管理實務 w 技術性脆弱點審查及弱點掃瞄資訊安全管理系統綱要 w 何謂資訊安全 w BS7799資訊安全管理規範介紹 w 資訊安全系統導入、管控與稽核 何謂資訊安全?w 資訊對組織而言就是一種資產,和其它 重要的營運資產一樣有價值,因此需要 持續給予妥善保護。資訊安全可保護資 訊不受各種威脅,確保持續營運、將營 運損失降到最低、得到最豐厚的投資報 酬率及商機。資訊存在的方式w 列印或書面表示 w 電子方式儲存 w
5、 郵寄或是電子郵件傳送 w 影片播放或以口頭說明 w 無論資訊的形式為何,何種方式與他人 共享或儲存,都應以適當的方式加以保 護為維護資訊安全BS ISO 17799:2000 定義w a) 機密性( confidentiality):確保只有經授權( authorized)的人才能存取資訊。 w b) 完整性( integrity):保護資訊與處理方法的正確性與完整性。 w c) 可用性( availability):確保經授權的使用者在需要時可以取得資訊及相關資產。如何執行資訊安全?w 要達到資訊安全就必須實施適當的控制 措施,譬如資訊安全政策、實務規範(practice)、程序、組織架構
6、及軟體 功能,為了達成營運既定的安全目標, 就必須建立這些控制措施。組織的資訊安全成功因素w a) 能反映營運目標的安全政策、目標及活動。 w b) 與組織文化一致之實施安全保護的方法。 w c) 來自管理階層的實際支持和承諾。 w d) 對安全要求、風險評鑑以及風險管理的深入理解。w e) 向全體管理人員和雇員有效推廣安全的理念。 w f) 向所有雇員和承包商宣傳資訊安全政策的指導原則和標準。 w g) 提供適切的訓練和教育。 w h) 一個全面與平衡的量測系統,用於評估資訊安全管理的績效及回饋建議,以便進一步改進。什麼是 BS7799?w BS 7799-2:2002是資訊安全管理系統要
7、求的標準。它可以幫助公司鑑別,管理 和減少資訊通常所面臨的各種威脅。 w BS ISO 17799:2000資訊安全管理作業 要點BS ISO 17799w 資訊安全管理作業要點 w 用意是作為參考文件 w 提供廣泛性的安全控制措施 w 現行資訊安全之最佳作業方法 w 包含10個控制措施章節 w 無法作為評鑑與驗證BS 7799-2:2002w 資訊安全管理系統要求 w 資訊安全管理系統(ISMS) 之建立實施與 書面化之具體要求 w 依個別組織的需求,規定要實施之安全 控制措施的要求BS7799的作業要點w 安全政策 -為資訊安全提供管理指導和支援。 w 組織安全 -在公司內管理資訊安全。w
8、 資產分類與管理-對公司的資訊資產採取適當的保 護措施。 w 人員安全-減少人為錯誤、偷竊、詐欺或濫用資訊 及處理設施的風險。 w 實體和環境安全-防止對營運場所及資訊未經授權 的存取、損壞及干擾。w 通訊與作業管理-確保資訊處理設施正確和 安全運行。 w 存取控制-管理對資訊的存取行為。 w 系統開發和維護-確保資訊系統已建置安全 機制。 w 營運持續管理-防治營運活動的中斷,保護 中要營運過程不受重大故障或災害的影響。 w 符合性-避免違反所有刑、民法、行政命令 、管理規定或合約義務及所有安全要求。資訊安全管理系統之 建立一般要求w Policy and Objectives (政策 與
9、目標) w Develop, Implement, Maintain and Continually Improve (開發,實施,維護及持續改善)。 w PDCA (計畫,執行,檢查,行動)PDCA利害相 關團體 資訊安全 要求及期望建立ISMS實施與 操作維持及 改進監控與審查ISMS利害相 關團體 管理式 資訊安全計畫執行檢查行動w開發、實施w維護及持續改善(BS 7799-2:2002)資訊安全管 理系統之建立及管理(ISMS)w 資訊安全管理系統之建立 w 資訊安全管理系統之實施及運作 w 資訊安全管理系統之監控與審查 w 資訊安全管理系統之維護與改善資訊安全管理系統之建立w 組織應
10、: w 依據業務、組織、所在位置、資產及技術等 特性,定義資訊安全管理系統之範圍及定義 資訊安全管理系統之政策。 w 定義風險評鑑之系統化方法 w 鑑別各項風險 w 評鑑各項風險 w 鑑別並評估風險處理之選項作法 w 選擇控制目標及控制措施以處理風險 w 擬定一份適用性聲明書安全管理系統之範圍及政策w 1) 包含設定目標之框架, 並建立有關資訊安全之整體方向意識與行動原則。 w 2) 考慮企業及法律或法規要求, 以及合約性的安全責任。 w 3) 建立策略性、組織性及風險管理之內容,使其資訊安全管理系統得以建立及維持。 w 4) 藉以評估風險之標準應加以建立, 風險評鑑之架構應加以定義。 w 5
11、) 被管理階層核准。定義風險評鑑之系統化方法w 鑑別一風險評鑑方法, 並適合其資訊 安全管理系統、已鑑別之企業資訊安全 、以及法律與法規要求。設定資訊安全 管理系統之政策與目標,以降低風險至 可接受程度。決定風險可接受之標準以 及鑑別風險至可接受的程度。鑑別各項風險w 1) 鑑別資訊安全管理系統控制範圍內之資產以及該等資產之擁有者。 w 2) 鑑別這些資產所受威脅。 w 3) 鑑別這些威脅可能利用之脆弱性(vulnerabilities)。 w 4) 鑑別這些資產若喪失機密性、完整性與可用性之各項衝擊。評鑑各項風險w 1)安全措施失效時可能對企業之傷害應加以評鑑,並將喪失機密性、完整性與可用性
12、可能導致之後果列入考慮。 w 2)根據與這些資產有關之主要威脅、弱點與衝擊,評鑑這種失效實際發生的可能性及現行所實施的控制措施。 w 3)預測各風險之層級。 w 4)決定風險是否可接受或需利用項所建立之標準來處理。鑑別並評估風險處理之選項作 法w 1)採用適當的控制措施。 w 2)若風險完全地滿足組織政策及可接受風險(參閱第4.2.1(c)節)之標準,則可在掌握狀況下客觀地接受該等風險。 w 3)迴避風險。 w 4)將相關之企業風險轉移至其他機構,如保險公司、供應商。選擇控制目標及控制措施以處 理風險w 適當的管制目標與控制措施應於本標準 之附錄A 中加以選擇,選擇時應依據風 險評鑑與風險處理
13、過程之結論為基礎加 以判定。擬定一份適用性聲明書w 由4.2.1(g)節所選擇之管制目標與控制 措施其選擇之理由應於適用性聲明書中 加以文件化。附錄A 中任何排除之管制 目標與控制措施亦應加以紀錄。資訊安全管理系統之實施及運作w (a)有系統的陳述一項風險處理計畫以鑑別適當管理措施、權責及優先順序,以便管理資訊安全風險。 w (b)實施風險處理計畫,以達到所鑑別的安全目標,計畫內容包括投資的考慮以及角色與責任的分派。 w (c)實施所選之控制措施以符合管制目標。 w (d)實施訓練與認知計畫。 w (e)作業管理。 w (f)管理資源。 w (g)實施能加速偵知安全事件並予以回應處理之作業程序
14、及其他控制措施。資訊安全管理系統之監控與審查w (a)執行監控程序及其他控制措施, 以便: w (1)立即偵知系統處理結果之錯誤。 w (2)立即鑑別安全系統失效及遭他人破壞成功之事件。 w (3)促使管理階層決定是否委託他人或藉由資訊技術之實施均已如預期般實行。 w (4)決定採取哪些措施解決安全漏洞, 以反應業務優先順序。w (b)定期審查資訊安全管理系統之有效性(包含符合安全政策、目標及控制措施之審查), 並考慮來自安全稽核、事件、股東及利害關係團體之建議及回饋之結果。 w (c)審查殘餘風險( residual risk)與可接受風險( acceptable risk)等級,並考慮下數
15、之變化: w (1) 組織。 w (2) 技術。 w (3) 企業目標及過程。 w (4) 已鑑別之威脅。 w (5) 外部事件,例如法令或法規環境之變化以及社會環境之變化。w (d)已規劃之期間執行資訊安全管理系統內部稽核。 w (e)定期執行資訊安全管理系統管理階層審查(至少每年一次),以確保範圍保持適當,及資訊安全管理系統過程之各項改進均已鑑別。 w (f)紀錄對資訊安全管理系統有效性或績效有衝擊之活動與事件。資訊安全管理系統之維護與改善w (a)實施資訊安全管理系統所鑑定之改進活動。 w (b)依據第7.2 及7.3 節採取適當矯正及預防措施。採用從其他組織及本身之安全經驗吸取教訓。
16、w (c)與所有利害相關團體就結果及各項措施進行溝通並取得同意。 w (d)確保各項改進措施達到預期目標。文件要求(一般要求)w (a)安全政策與安全目標之書面聲明。 w (b)資訊安全管理系統之範圍及支援資訊安全管理系統之各程序及控制措施。 w (c)風險評鑑報告。 w (d)風險處理計畫。 w (e)組織為確保有效規劃、操作與控制資訊安全過程所需之書面程序。w (f) 本標準要求之各紀錄。 w (g) 適用性聲明書。 w 所有文件應依據資訊安全管理系統之政策要 求隨時可供取用。 w 備考1:本標準所言之書面程序係指已建立、文件化、實施及維持的程序。 w 備考2:每個組織可能有不同之資訊安全管理系統文件化, 因為:-組織規模及其活動型式。-安全要求及系統管理之範圍與複雜程度。 w 備考3:文件及紀錄可為任何形式或型態之媒介物。文件要求(文件管制)w (a)在文件發行前核准其適切性。 w (b)必要時, 審查與更新並重新核准文件。 w (c)確保文件之變更與最新改訂狀況已予以鑑別。 w (d)確保在使用場
