资讯安全管理政策与审查.ppt

《资讯安全管理政策与审查.ppt》由会员分享，可在线阅读，更多相关《资讯安全管理政策与审查.ppt（94页珍藏版）》请在金锄头文库上搜索。

1、5-1,資訊安全管理,委辦單位：教育部顧問室資通安全聯盟 執行單位：淡江大學資訊管理學系,5-2,課程模組大綱,Module 1：資訊安全管理概論 Module 2：資訊安全風險 Module 3：先期規劃 Module 4：風險評鑑 Module 5：資訊安全政策 Module 6：資訊安全管理組織 Module 7：資產管理 Module 8：人力資源管理 Module 9：實體與環境安全管理,5-3,Module 10：通信與作業管理 Module 11：存取控制 Module 12：資訊系統的取得、開發及維護 Module 13：資安事故管理 Module 14：營運持續管理 Modu

2、le 15：法令、政策、標準、及技術的符合性 Module 16：內部稽核 Module 17：管理審查 Module 18：持續改進,5-4,Module 5：資訊安全政策,5-5,學習目的,本模組目的在於學習資訊安全政策之基本概念、資安政策之實施要點，以及資安政策之範例等。 本模組的重點是瞭解什麼是資訊安全政策，以及資安政策之實施要點，包括：資安政策文件內容、資安政策之公布傳達，以及資安政策之審查等。並透過某公司與某大學資訊中心IDC機房ISMS政策之範例，具體瞭解資安政策。,5-6,Module 5：資訊安全政策,Module 5-1：概述 Module 5-2：實施要點 Module

3、5-3：範例 參考文獻 習題,5-7,Module 5-1：概述,5-8,Module 5-1：概述,資安政策（Information Security Policy）是組織建置資安管理制度不可或缺的重要元素。 資安政策是管理階層依照組織營運要求（如：保護公司資產、保護客戶資訊、）、相關法律、法規（如：個人資料保護法、智慧財產權、組織營業秘密保護法、）與客戶合約要求，對組織資安管理提出執行方向與支持承諾。,Module 5-1,5-9,如同組織的經營願景與方向，管理階層必須設定並提出與營運目標一致之明確資安政策指示。 經由溝通與發布至整個組織，展現對資訊安全的支持與承諾。當組織訂有明確的資安政

4、策後，所有同仁將可清楚認知資安責任。 只要落實政策要求，將可達成資安管理目標，提供交易夥伴信心，增加商業機會及營運競爭力。,Module 5-1,5-10,Module 5-2：實施要點,5-11,Module 5-2：實施要點,資安政策文件應陳述管理階層的承諾，提出組織管理資訊安全的作法，由管理階層核准，並公布傳達給所有員工與相關外部團體。,Module 5-2,5-12,一、資安政策文件內容,資安政策文件一般包括下列事項的具體陳述：（可參閱例5-1） 資安政策目的及範圍： 闡述資安政策之目的，明確界定資安範圍，強調保護資訊之安全制度重要性。,Module 5-2,5-13,管理階層意向的聲

5、明： 資安政策應能明確看出管理階層之資安態度及期望。除其展現支持與營運策略目標一致的資安目的及原則外，並應適當提供資源，表達對資安之支持與承諾。,Module 5-2-一,5-14,資安目標： 說明組織所設定的資安目標，以建立組織整體意識及關於資訊安全之各項行動原則。資安目標宜具體量化，以利審查資安活動之有效性及適切性。如：年度資安事件數量、重要資訊系統之可用率，或資訊處理之正確率等。,Module 5-2-一,5-15,風險評鑑與風險管理的結構： 說明組織如何運用風險評鑑方法對風險進行評估，及如何設定各項控制目標與控制措施，對風險進行處理及管理。有關風險評鑑及風險處理，請參閱Module 4

6、。,Module 5-2-一,5-16,資安責任： 界定資安管理的一般與特定責任，資安政策尚應包括核准、審查及評估安全政策之管理責任。 例如：最高管理階層負有核准、審查之責，各管理階層負有評估、修正之責，所有同仁負有遵循責任等。,Module 5-2-一,5-17,法令法規遵循性(Compliance)： 考量營運與法律或法規要求，以及合約的安全義務，簡要說明安全政策、原則、標準以及對組織特別重要之遵循性要求。 遵循法律、法規及合約要求。 安全教育、訓練及認知要求。 營運持續管理（Business Continuity Management, BCM）。 違反資訊安全政策的後果。,Module

7、 5-2-一,5-18,政策支援文件： 資安政策可能會需要其他支援補充文件。 例如：針對特定資訊系統所展開的細部安全政策和程序，或使用者應遵循的安全規則，可能包括可攜式媒體政策、網路使用政策或通行碼使用政策等。相關的政策文件應考慮針對預期之使用者，以其方便取得及易於瞭解的形式，向整個組織的使用者傳達。,Module 5-2-一,5-19,其他注意事項： 資安政策可視為一般管理政策文件的一部分。 若資安政策散布至組織外，應注意避免揭露組織敏感性資訊。,Module 5-2-一,5-20,二、資安政策之公布傳達,資安政策制定後，應透過適當方式公布及傳達至所有相關組織及人員（包括外部團體及第三方使用

8、者），以使同仁清楚瞭解政策內容，有效落實安全要求。,Module 5-2,5-21,政策公布及傳達方式，可考慮組織特性及文化而定，可參考下列作法： 張貼公告。 以電子形式傳遞給所有人員週知（例如：電子郵件）。 政令宣導方式。 管理會議中宣達。,Module 5-2-二,5-22,教育訓練方式（須著重於訓練之有效性）。 主動告知模式（例如：外部人員或訪客，於到訪時主動告知資安政策，並要求遵循配合）。 合約或協議形式（例如：委外合約中提及資安政策相關要求）。,Module 5-2-二,5-23,傳達及溝通方式之重點，在使相關人員能夠意識其資安責任，任何形式的傳達溝通，應避免流於形式，而應著重效果。

9、 特別值得注意的是，如何使外部團體或人員（包括：委外廠商、第三方使用者或訪客等）瞭解組織的資安政策及要求，傳達方式應考慮其可行性及有效性。 例如：在訪客會客櫃台處公告相關資安政策及要求，並由接待人員提醒訪客遵守。,Module 5-2-二,5-24,三、資安政策之審查,資安政策攸關資安管理之成敗，故必須確保其一貫性並適用於整個組織。 資安政策應於規劃期間或當發生重大變更時進行審查，以確保其持續的適用性、充分性及有效性。,Module 5-2,5-25,例如：組織可定期於年度管理階層審查會議中，審查資安政策是否持續適用，或討論是否須作任何調整修改。 或當組織發生重大變更時，如：組織策略、規模、地

10、點、高階管理人員、產品、技術或服務等營運內容改變時，立即進行不定期審查。,Module 5-2-三,5-26,資安政策審查應包括評估組織資安及管理方法之改進空間，以因應組織環境、營運環境、法律條件或技術環境的改變。資安政策審查應與管理審查結果方向一致。 有關管理審查，將詳細說明於Module 17。,Module 5-2-三,5-27,Module 5-3：範例一 - XX 公司資訊安全政策,5-28,Module 5-3：範例一 - XX 公司資訊安全政策,目的(Objective) 此文件說明” XX公司資訊安全管理系統” 之資安政策，係依據資訊安全管理標準ISO 27001：2005（C

11、NS 27001）制定，並依此作為執行資訊安全管理系統之方向。,Module 5-3,5-29,範圍(Scope) 本資訊安全管理系統適用於本公司全部範圍及所有業務，包括全體員工、往來廠商、約聘人員及廠商委派支援本公司之工作人員等所有相關資訊資產。,Module 5-3-一,5-30,資安政策聲明(Information Security Policy Statement) 資訊安全 人人有責,Module 5-3-一,5-31,本公司將確保: 服務過程，安全無虞 服務資訊，精準正確 服務結果，迅速及時 為保護本公司的相關資訊資產，包括實體軟硬體設施、資料、資訊等安全，免於因外在的威脅或內部人

12、員不當的管理遭受洩密、破壞或遺失等風險，特制訂本政策，以供全體同仁共同遵循。,Module 5-3-一,5-32,安全目標(Security Objective) 零資安事件 帳務處理之正確率99.95% 帳務資訊系統之可用率99.97%,Module 5-3-一,5-33,責任(Responsibilities) 本公司高階主管應適時覆核、修訂本政策，以確保該政策符合現行需求。 資訊安全管理人員應透過適當程序落實本政策之要求。 全體員工、約聘人員及簽約廠商都有責任遵循本安全政策。 全體員工都有責任透過適當回報系統，回報所發現的資訊安全意外事故或資訊安全弱點。 任何危及資訊安全的行為，都應訴諸

13、適當的懲罰程序或法律行動。 相關的資訊安全措施或規範應符合現行法令的要求。,Module 5-3-一,5-34,本公司成立資安委員會，依資安政策及資安管理手冊相關要求，負責管理本公司資訊安全，其組織職責如下： 主席（資訊安全管理代表）： 總經理。負責安全政策制定，定期主持安全管理會報、。 召集人（資訊安全管理代表代理人）： 副總經理。負責。 委員（各部門主管）： 業務部經理：XXX。負責。 研發部經理：XXX。負責。 資訊部經理：XXX。負責。,Module 5-3-一,5-35,風險評鑑(Risk Assessment) 本公司依據已鑑別之企業資訊安全以及法律與法規要求，特制定適合本資訊安全

14、管理系統之系統化風險評鑑方法。並設定資訊安全管理系統之政策與目標，以降低風險至可接受程度。詳細作業程序參考下列文件: 風險評鑑程序 文件參考資料 RA 011 資產鑑別作業辦法 文件參考資料 AI 111 資產清單 記錄編號 AL 001 風險評鑑報告 記錄編號 RA 001,Module 5-3-一,5-36,風險處理與管理(Risk Treatment & Management) 控制措施作業辦法 文件參考資料 00113 風險管理程序 文件參考資料 RM 001 安全會報總結報告,Module 5-3-一,5-37,適用性聲明(Statement of Applicability) 文件

15、參考資料 00110,Module 5-3-一,5-38,參考文件(References) 資安組織程序 參考編號 XXXX 資產管理程序 參考編號 XXXX 人員安全程序 參考編號 XXXX 實體安全程序 參考編號 XXXX 資訊備份程序 參考編號 XXXX 存取管制程序 參考編號 XXXX 系統開發程序 參考編號 XXXX 事故管理程序 參考編號 XXXX 營運持續程序 參考編號 XXXX 風險評鑑程序 參考編號 XXXX 風險管理程序 參考編號 XXXX 文件管制程序 參考編號 XXXX ,Module 5-3-一,5-39,Module 5-3：範例二 XX大學資訊中心IDC機房ISM

16、S政策,5-40,目標 範圍 權責 管理原則 要求事項 參考文件 附件,Module 5-3：範例二 XX大學資訊中心IDC機房ISMS政策,Module 5-3,5-41,目標 XX大學資訊中心IDC（Internet Data Center, 網際網路數據中心）機房乃提供本校校級伺服器集中管理之機房，其資訊的品質及資訊安全是資訊中心的命脈，因此資訊中心的資訊安全管理系統(Information Security Management Systems, ISMS)之首要目標，在於確保IDC持續運作之安全性、穩定性及備份的機密性、完整性及可用性，尤以機房實體安全是IDC安全管理的重點。,Module 5-3-二,5-42,範圍 ISMS範圍：位於XX大學XX大樓的資訊中心IDC機房實體安全及資料備份與復原。 此範圍為資訊中心之命脈。基於安全需求，由資訊中心先行推動ISMS，至於其他資訊系統、網路，因涉及全校各單位(教職員生)，尚須多方面溝通協調及配合，將視協商情況逐