《资讯安全稽核人员训练与政大实例探讨ppt培训课件》由会员分享,可在线阅读,更多相关《资讯安全稽核人员训练与政大实例探讨ppt培训课件(127页珍藏版)》请在金锄头文库上搜索。
1、資訊安全稽核人員訓練與政大實例探討,ISMS演進歷史,ISO/IEC 27001:2005 consists of two parts,ISO/IEC 27001:2005 (previously BS 7799) is an international standard that provides specifications and guidance for the establishment and proper maintenance of an ISMS ISO/IEC 17799:2005 (Part 1) is a “code of practice“ OECD (Organiz
2、ation for Economic Cooperation and Development) guidelines governing the security of information systems and networks.,ISO/IEC 27001:2005,原為英國標準BS7799-2中的規定加以闡明並加強,更新的主要區域在風險評鑑、契約責任、範圍、管理決策,以及評量其所選擇控制措施之有效性,雖然大部份的變更與現今的要求並無差別,但此變更對客戶的最大影響是在於要求其對所選擇之控制措施之有效性作評量。,行政院95年度ISMS稽核重點,委外/第三方資安要求稽核重點 風險管理及資產
3、管理 資訊標示與處理 人員異動存取權限移除查核 安全區域管制 資訊備份及防毒作業 資訊交換/可攜式媒體管理 存取政策及管制方式,資安事故通報及處理 營運持續管理實務 技術性脆弱點審查及弱點掃瞄,資訊安全管理系統綱要,何謂資訊安全 BS7799資訊安全管理規範介紹 資訊安全系統導入、管控與稽核,何謂資訊安全?,資訊對組織而言就是一種資產,和其它重要的營運資產一樣有價值,因此需要持續給予妥善保護。資訊安全可保護資訊不受各種威脅,確保持續營運、將營運損失降到最低、得到最豐厚的投資報酬率及商機。,資訊存在的方式,列印或書面表示 電子方式儲存 郵寄或是電子郵件傳送 影片播放或以口頭說明 無論資訊的形式為
4、何,何種方式與他人共享或儲存,都應以適當的方式加以保護,為維護資訊安全BS ISO 17799:2000 定義,a) 機密性( confidentiality):確保只有經授權( authorized)的人才能存取資訊。 b) 完整性( integrity):保護資訊與處理方法的正確性與完整性。 c) 可用性( availability):確保經授權的使用者在需要時可以取得資訊及相關資產。,如何執行資訊安全?,要達到資訊安全就必須實施適當的控制措施,譬如資訊安全政策、實務規範(practice)、程序、組織架構及軟體功能,為了達成營運既定的安全目標, 就必須建立這些控制措施。,組織的資訊安全成
5、功因素,a) 能反映營運目標的安全政策、目標及活動。 b) 與組織文化一致之實施安全保護的方法。 c) 來自管理階層的實際支持和承諾。 d) 對安全要求、風險評鑑以及風險管理的深入理解。,e) 向全體管理人員和雇員有效推廣安全的理念。 f) 向所有雇員和承包商宣傳資訊安全政策的指導原則和標準。 g) 提供適切的訓練和教育。 h) 一個全面與平衡的量測系統,用於評估資訊安全管理的績效及回饋建議,以便進一步改進。,什麼是 BS7799?,BS 7799-2:2002是資訊安全管理系統要求的標準。它可以幫助公司鑑別,管理和減少資訊通常所面臨的各種威脅。 BS ISO 17799:2000資訊安全管理
6、作業要點,BS ISO 17799,資訊安全管理作業要點 用意是作為參考文件 提供廣泛性的安全控制措施 現行資訊安全之最佳作業方法 包含10個控制措施章節 無法作為評鑑與驗證,BS 7799-2:2002,資訊安全管理系統要求 資訊安全管理系統(ISMS) 之建立實施與書面化之具體要求 依個別組織的需求,規定要實施之安全控制措施的要求,BS7799的作業要點,安全政策 -為資訊安全提供管理指導和支援。 組織安全 -在公司內管理資訊安全。 資產分類與管理-對公司的資訊資產採取適當的保護措施。 人員安全-減少人為錯誤、偷竊、詐欺或濫用資訊及處理設施的風險。 實體和環境安全-防止對營運場所及資訊未經
7、授權的存取、損壞及干擾。,通訊與作業管理-確保資訊處理設施正確和安全運行。 存取控制-管理對資訊的存取行為。 系統開發和維護-確保資訊系統已建置安全機制。 營運持續管理-防治營運活動的中斷,保護中要營運過程不受重大故障或災害的影響。 符合性-避免違反所有刑、民法、行政命令、管理規定或合約義務及所有安全要求。,資訊安全管理系統之 建立一般要求,Policy and Objectives (政策 與 目標) Develop, Implement, Maintain and Continually Improve (開發,實施,維護及持續改善)。 PDCA (計畫,執行,檢查,行動),PDCA,利害
8、相 關團體 資訊安全 要求及期望,建立ISMS,實施與 操作,維持及 改進,監控與審查ISMS,利害相 關團體 管理式 資訊安全,計畫,執行,檢查,行動,開發、實施 維護及持續改善,(BS 7799-2:2002)資訊安全管理系統之建立及管理(ISMS),資訊安全管理系統之建立 資訊安全管理系統之實施及運作 資訊安全管理系統之監控與審查 資訊安全管理系統之維護與改善,資訊安全管理系統之建立,組織應: 依據業務、組織、所在位置、資產及技術等特性,定義資訊安全管理系統之範圍及定義資訊安全管理系統之政策。 定義風險評鑑之系統化方法 鑑別各項風險 評鑑各項風險 鑑別並評估風險處理之選項作法 選擇控制目
9、標及控制措施以處理風險 擬定一份適用性聲明書,安全管理系統之範圍及政策,1) 包含設定目標之框架, 並建立有關資訊安全之整體方向意識與行動原則。 2) 考慮企業及法律或法規要求, 以及合約性的安全責任。 3) 建立策略性、組織性及風險管理之內容,使其資訊安全管理系統得以建立及維持。 4) 藉以評估風險之標準應加以建立, 風險評鑑之架構應加以定義。 5) 被管理階層核准。,定義風險評鑑之系統化方法,鑑別一風險評鑑方法, 並適合其資訊安全管理系統、已鑑別之企業資訊安全、以及法律與法規要求。設定資訊安全管理系統之政策與目標,以降低風險至可接受程度。決定風險可接受之標準以及鑑別風險至可接受的程度。,鑑
10、別各項風險,1) 鑑別資訊安全管理系統控制範圍內之資產以及該等資產之擁有者。 2) 鑑別這些資產所受威脅。 3) 鑑別這些威脅可能利用之脆弱性(vulnerabilities)。 4) 鑑別這些資產若喪失機密性、完整性與可用性之各項衝擊。,評鑑各項風險,1)安全措施失效時可能對企業之傷害應加以評鑑,並將喪失機密性、完整性與可用性可能導致之後果列入考慮。 2)根據與這些資產有關之主要威脅、弱點與衝擊,評鑑這種失效實際發生的可能性及現行所實施的控制措施。 3)預測各風險之層級。 4)決定風險是否可接受或需利用項所建立之標準來處理。,鑑別並評估風險處理之選項作法,1)採用適當的控制措施。 2)若風險
11、完全地滿足組織政策及可接受風險(參閱第4.2.1(c)節)之標準,則可在掌握狀況下客觀地接受該等風險。 3)迴避風險。 4)將相關之企業風險轉移至其他機構,如保險公司、供應商。,選擇控制目標及控制措施以處理風險,適當的管制目標與控制措施應於本標準之附錄A 中加以選擇,選擇時應依據風險評鑑與風險處理過程之結論為基礎加以判定。,擬定一份適用性聲明書,由4.2.1(g)節所選擇之管制目標與控制措施其選擇之理由應於適用性聲明書中加以文件化。附錄A 中任何排除之管制目標與控制措施亦應加以紀錄。,資訊安全管理系統之實施及運作,(a)有系統的陳述一項風險處理計畫以鑑別適當管理措施、權責及優先順序,以便管理資
12、訊安全風險。 (b)實施風險處理計畫,以達到所鑑別的安全目標,計畫內容包括投資的考慮以及角色與責任的分派。 (c)實施所選之控制措施以符合管制目標。 (d)實施訓練與認知計畫。 (e)作業管理。 (f)管理資源。 (g)實施能加速偵知安全事件並予以回應處理之作業程序及其他控制措施。,資訊安全管理系統之監控與審查,(a)執行監控程序及其他控制措施, 以便: (1)立即偵知系統處理結果之錯誤。 (2)立即鑑別安全系統失效及遭他人破壞成功之事件。 (3)促使管理階層決定是否委託他人或藉由資訊技術之實施均已如預期般實行。 (4)決定採取哪些措施解決安全漏洞, 以反應業務優先順序。,(b)定期審查資訊安
13、全管理系統之有效性(包含符合安全政策、目標及控制措施之審查), 並考慮來自安全稽核、事件、股東及利害關係團體之建議及回饋之結果。 (c)審查殘餘風險( residual risk)與可接受風險( acceptable risk)等級,並考慮下數之變化: (1) 組織。 (2) 技術。 (3) 企業目標及過程。 (4) 已鑑別之威脅。 (5) 外部事件,例如法令或法規環境之變化以及社會環境之變化。,(d)已規劃之期間執行資訊安全管理系統內部稽核。 (e)定期執行資訊安全管理系統管理階層審查(至少每年一次),以確保範圍保持適當,及資訊安全管理系統過程之各項改進均已鑑別。 (f)紀錄對資訊安全管理系
14、統有效性或績效有衝擊之活動與事件。,資訊安全管理系統之維護與改善,(a)實施資訊安全管理系統所鑑定之改進活動。 (b)依據第7.2 及7.3 節採取適當矯正及預防措施。採用從其他組織及本身之安全經驗吸取教訓。 (c)與所有利害相關團體就結果及各項措施進行溝通並取得同意。 (d)確保各項改進措施達到預期目標。,文件要求(一般要求),(a)安全政策與安全目標之書面聲明。 (b)資訊安全管理系統之範圍及支援資訊安全管理系統之各程序及控制措施。 (c)風險評鑑報告。 (d)風險處理計畫。 (e)組織為確保有效規劃、操作與控制資訊安全過程所需之書面程序。,(f) 本標準要求之各紀錄。 (g) 適用性聲明
15、書。 所有文件應依據資訊安全管理系統之政策要求隨時可供取用。 備考1:本標準所言之書面程序係指已建立、文件化、實施及維持的程序。 備考2:每個組織可能有不同之資訊安全管理系統文件化, 因為:-組織規模及其活動型式。-安全要求及系統管理之範圍與複雜程度。 備考3:文件及紀錄可為任何形式或型態之媒介物。,文件要求(文件管制),(a)在文件發行前核准其適切性。 (b)必要時, 審查與更新並重新核准文件。 (c)確保文件之變更與最新改訂狀況已予以鑑別。 (d)確保在使用場所備妥適用文件之最新版本。 (e)確保文件保持易於閱讀並容易識別。,文件要求(文件管制),(f) 確保外來原始文件已加以鑑別。 (g
16、) 確保文件分發已管制。 (h) 防止失效文件被誤用。 (i) 過期文件為任何目的需保留時,應予以適當鑑別。,文件要求(紀錄管制),為提供資訊安全管理系統符合要求及有效運作之證據, 所建立並維持之紀錄, 應予以管制。資訊安全管理系統應將各國法律要求列入考量。 紀錄應清晰易讀, 容易識別及檢索。為了紀錄之鑑別、儲存、保護、檢索、保存期限及報廢, 應建立文件化程序, 以界定所需之管制。 所需之紀錄及其範圍應由管理過程加以決定。,管理階層責任,管理階層承諾: 管理階層應藉由下列各項, 對資訊安全管理系統之建立、實施、操作、監控、審查、維持與改進之承諾提供證據: (a) 建立一份資訊安全政策。 (b) 確保建立各項資訊安全目標及計畫。 (c) 為資訊安全建立角色與權責。,Lets Take a break,The following not relate with ISMS Just for fun,管理階層責任,(d)向全組織傳達符合資訊安全目標、遵守資訊安全政策、在法律下要求之權責,以及持續改進之需求。 (e)決定可接受風險之等級。 (f)提供充分資源以開發、實施、操作及維持資訊安全管理系統。 (g)執行資訊安全管理系統之管理階層審查。,
