资安管理系统经验分享

《资安管理系统经验分享》由会员分享，可在线阅读，更多相关《资安管理系统经验分享（45页珍藏版）》请在金锄头文库上搜索。

1、靜宜大學 導入ISO 27001:2005 資安管理系統經驗分享,計算機及通訊中心張鳳伶florapu.edu.tw,2,大綱,前言 靜宜大學計算機及通訊中心組織及執掌 導入ISO 27001:2005 經驗分享 ISO 27001:2005 V.S BS7799 資訊安全推動組織及管理權責 如何導入ISMS機制 導入甘苦談 認證後之持續運作與改善 執行ISMS的具體效益 教育體系資通安全管理規範 Q&A,3,前言,資訊安全管理(Information Security Management System，簡稱ISMS)對學校的重要性 ISMS推動作業之依據：行政院於94年7月21日核定政府機

2、關（構）資訊安全責任等級分級作業施行計畫,4,前言（一）,資訊安全管理(Information Security Management System，簡稱ISMS)對學校的重要性網路的快速發展，改變了既有的業務處理模式，不單是業界，學校單位也感受到此股新興力量，許多行政工作藉由網路無遠弗屆的特性，加速了程序的進行，提升了整體的效率。此時此刻，正是為各級學校單位量身訂作規範的時機，如此才能確保各個行政程序的安全性。 -摘錄自教育體系資通安全管理規範,5,前言（二）,ISMS推動作業依據：行政院於94年7月21日核定政府機關（構）資訊安全責任等級分級作業施行計畫訓練資訊安全責任分級包含本所屬機關及

3、各公私立學校區分： A 級：教育部、台大醫院、成大醫院 B 級：大學、區域網路中心、縣(市)教育網路中心 C 級：學院、專科學校部屬館所 D 級：高中職、國中小學,6,靜宜大學計算機及通訊中心組織及執掌,靜宜大學計通中心合作團隊 靜宜大學計通中心組織 靜宜大學計通中心各組業務,7,靜宜大學計通中心合作團隊,8,靜宜大學計通中心組織圖,9,靜宜大學計通中心各組業務,行政教學組(6人) 主要工作項目： 遠距教學 教學平台 多媒體教學支援 數位內容 電腦教室軟硬體設備管理 全校電腦軟硬維修 網路通訊組(4人) 主要工作項目： 校園電腦網路骨幹與主機規劃、維護及使用者網點故障排除 維護對外電腦網路之正

4、常運作 電話通訊系統 衛星電視系統 系統支援組(2人) 主要工作項目： 中心各主機及入口網站之設定、管理、維護及相關業務 全校校園IC卡應用及門禁系統規劃 軟體開發組(7人) 主要工作項目： 校務與師生服務系統開發與建置 校務資料庫系統維護,10,導入ISO 27001:2005 經驗分享,ISO 27001:2005 V.S BS7799 資訊安全推動組織及管理權責 如何導入ISMS機制 導入甘苦談,11,ISO 27001:2005 V.S BS7799,什麼是BS7799? BS7799 是一套資訊安全防護機制的規範 Information Security Management Sys

5、tems ( 簡稱 ISMS) ，由英國標準協會 (British Standards Institute ，簡稱 BSI) 制訂並在 1995 頒布，期望透過 BS7799 這套計畫能夠有效建構資訊安全防護機制。一家企業只要能夠做到 BS7799 的要求並且通過獨立稽核機構的評鑑，便可獲頒 BS7799 資訊安全認證。什麼是 ISO27001 ? 和 BS7799 差別在哪? BS7799 的 Part I2000 年被採納為 ISO17799:2000 ，並在 2005 年修定成 ISO 17799:2005；只是一個 implementation guidanceBS7799 Part

6、II 2005 年被採納為 ISO 27001 國際標準，並於 2005 年 10 月正式出版發行； ISO 27001 則是一套完整的驗證標準,12,ISO 27001:2005 V.S BS7799(續),ISO27001:2005 的內容 總共分成 11 個領域、 39 個控制目標、 133 個控制要點。 11 個領域包括 A.1 Security Policy A.2 organization of information security A.3 Asset management A.4 Human resources security A.5 Physical and enviro

7、nmental security A.6 Communications and operations management A.7 Access control A.8 Information systems acquisition, development and maintenance A.8 Information security incident management A.10 Business continuity management A.11 Compliance,13,資訊安全推動組織及管理權責,14,資訊安全推動組織及管理權責(續),管理權責資訊安全推動委員會 建立資訊安全

8、管理制度並推動資訊安全相關事宜。召集人(由中心主任擔任) 負責召集資訊安全管理審查會議，並追蹤其決議事項。 督導本中心風險評鑑作業。 督導本中心持續營運計畫之修訂與演練。資訊安全稽核小組(5人) 執行資訊安全管理之內部稽核作業。資訊安全工作小組(10人) 評估人員進用之安全性。 辦理資訊安全教育訓練。 資訊資產之安全需求研議、使用管理及保護等事項。 程序及規範書草擬,15,資訊安全推動組織及管理權責(續),管理事項如下： 資訊安全政策制定及評估 組織的資訊安全與分工 資產管理 人力資源的安全 實體與環境安全 通訊與作業管理 存取控制 資訊系統取得、開發及維護 資訊安全事故管理 營運持續管理 遵

9、循性,16,如何導入ISMS機制,步驟一：制訂政策 步驟二：定義ISMS範圍 步驟三：進行風險評鑑 步驟四：進行風險管理 步驟五：制訂程序規範、及參考相關法規,17,如何導入ISMS機制（續）,步驟六：資安設備建置、實體環境改善 步驟七：災害演練營運計畫演練 認證程序 稽查時注意事項,18,步驟一：制訂政策,管理階層對資訊安全的指示及支持 政策文件應經管理階層核准、發行，宣導至中心所有員工 政策應定期審查，如有影響變更時，應確保其適切性。確保本校資訊服務永續提供及完整資訊的合法存取,19,步驟二：定義ISMS範圍,定義ISMS實施與認證範圍全機關？ 部門？ 工作場所？ 應用系統？選擇重要核心業

10、務計算機及通訊中心所提供的 網路骨幹管理、伺服器主機管理、校務系統資料庫管理、 電子郵件服務管理及全球資訊網服務管理之資訊安全管理 系統。場地為計中1F及各學院校園骨幹設備機房、異地備 份場所。,組織核心業務必須納入 切割介面必須清楚明確 排除項目必須說明理由,20,步驟三：進行風險評鑑,風險評鑑程序 資訊資產鑑別 文件類：電子類文件、紙本類文件。 軟體類：商用軟體、內部發展軟體。 人員類：內部人員、外部人員。 實體類：一般硬體、電訊、電腦媒體、電腦保護設施。 服務類：內部服務、外部服務、基礎架構、一般公共設施、建築、建築保護設施。 資訊資產評價（機密性、完整性、可用性、適法性） 弱點評鑑 威

11、脅評鑑 風險計算,21,步驟四：進行風險管理,風險處理方向 避免風險、轉移風險、降低風險到可接受程度、接受剩餘的風險對各項風險選擇控制目標、措施及方法，製作資訊安全防護計畫，彙整為適用性聲明 成本、實施的容易性、要求的程度、服務、法律和法規的要求 制止、偵測、預防、限制 矯正、回覆、監控、宣導資訊安全工作小組，確定控制目標、措施、資源分配等。,22,步驟五：制訂程序規範及參考相關法規,1.中心資訊安全政策2.資訊安全管理手冊(一階文件1份,二階文件16份,三階文件12份) 資訊安全政策 資訊安全組織規程 資訊安全管理手冊 人事安全管理程序 資訊安全文件暨紀錄管理程序 資訊資產管理程序 資訊風險

12、評鑑與管理程序 資訊安全管理適用性聲明書 網路安全管理程序 資訊存取控制程序 實體安全管理程序 資訊作業委外管理程序,23,步驟五：制訂程序規範及參考相關法規(續）,資訊應用系統安全管理程序 資訊業務持續營運管理程序 資訊安全事件通報程序 資訊安全稽核程序 資訊安全矯正及預防措施程序 電腦主機房管理作業規範 電腦病毒防治管理規範 弱點管理作業規範 網路安全管理作業規範 防火牆建置與管理作業規範,24,步驟五：制訂程序規範及參考相關法規(續）,電子郵件管理作業規範 主機與伺服器安全管理作業規範 備份管理作業規範 資料交換作業規範 資料庫管理作業規範 資訊設備與媒體管理作業規範 資訊業務災害回復作

13、業規範 3. ISO 27001:2005 4.行政院及所屬各機關資訊安全管理要點 5.智慧財產權 6.電腦處理個人資料保護法 7.其他,25,步驟六：資安設備建置、實體環境改善,資安設備建置 防火牆、 入侵偵測系統、 防毒主機（已建置） 實體環境改善新建置：印表室門禁主機房區門禁已建置：主機與Console台區分、線路及電源整理、主機上機架、消防、監視、保全、空調系統、出入口門禁,26,步驟七：災害演練營運計畫演練,災害演練(火災地震停電) ，半年擇一演練 營運計畫演練 網路骨幹服務持續計畫 電子郵件系統服務持續計畫 校務行政系統資料庫持續計畫 全球資訊網服務持續計畫,27,認證程序,輔導公

14、司跟驗證公司必須是不同 各階文件完備後內部稽核 預評(非必需) 文件審查 正評主要缺失、 次要缺失、觀察事項改善,28,稽查時注意事項,所有表單皆須填寫，否則須說明原因：未有事件發生或其它因素 內稽前表單需有1個月以上紀錄 表單間之關連性 進門借臨時卡時間不得晚於進主機房時間備份時間與維修記錄卡時間是否相同 調閱監視系統記錄與主機房進入登記表人數是否吻合,29,稽查時注意事項(續),內部人員（含工讀生）及維護廠商（公司及個人）的保密切結書 桌面淨空 印表機列出文件儘速取回 資訊資產標示及分級保管 實機抽查但由系統管理員操作 個人電腦(含工讀生電腦) ：Windows update、防毒軟體、螢

15、幕保護程式 主機：使用者帳號及權限是否因人員異動即時變更、系統記錄檔 通報方式實際操作:EX：國家資通安全會報技服中心 教育訓練如何評估其有效性,30,導入甘苦談,首長的明確支持與公開宣示 主管明確表示做到底的決心 ISMS不是安裝一個自動化系統，而是訂定規章與制度，從管理角度而非從技術層面切入 程序與規範的制定，雖然有範本，學術單位與其他業界不同，仍須依校內實際運作狀況調整 導入ISMS資訊安全管理制度，比與原有管理方法要求更嚴謹。在改變過程中，便利與安全的拉鋸戰，需不斷討論與協調 由工作小組成員依本身負責業務性質草擬34個程序或規範，每一程序或規範草擬人每週需花費48小時,31,導入甘苦談

16、(續),部分程序或規範內容需跨組討論，或有爭議之處需諮詢顧問，每週需花費48小時 各項審查後工作小組需指定承辦人員、覆核人員並列書面追蹤表，交予中心主任。每次需花費24小時 ISMS推動必須有充分授權之專案負責人依據追蹤表跟催進度及與顧問密切聯繫 工作小組成員由中心現有人力擔任，除例行業務外，在導入至認證期間半年內（95年9月至96年3月） ，工作負擔加重 主管及計中所有同仁的共同參與，不只有工作小組及稽核小組參與 顧問專業的說服力與影響力是不可缺少的助力,32,導入甘苦談(續),因內稽外稽文件審查預評皆須修正程序及規範，文管人員負荷沈重。96年4月國內已有ISMS管理工具上市，可減輕這方面負擔 亦可運用ISMS管理系統輔助 風險評鑑重置與比較 個人化資安稽核清單與線上稽核 自動化適用性聲明書分析與產出 宣導資訊安全的重要及資訊安全認知技術稽核教育訓練,33,認證後之持續運作與改善,