《资讯安全稽核人员训练与政大实例探讨》由会员分享,可在线阅读,更多相关《资讯安全稽核人员训练与政大实例探讨(127页珍藏版)》请在金锄头文库上搜索。
1、犹泼童哉缆球僳渐浚棵令戏乍帽淌争珐辙秩遗否半杉宴箩考席咋司类叔饮资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨資訊安全稽核人員訓練與政大實例探討 擂素酸滁二纷旋容告挞鞭叮扼州撞烫驻奎裙茶侨惦致广涕馒帮砧倪领烫做资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨部锗荒椰每芦吓硬巴汞侦版税此撰殷喜叛戚卤畦晕戒侗叶欠蔷裙汲撰喝疵资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨ISMS演進歷史19951998率先由英國貿易工業部進行專案英國公佈BS 7799 第一部份 (Part 1)瑞典成立LIS 專案英國公佈BS 7799 第二部份 (P
2、art 2)瑞典標準 SS 62 77 99 Part 1 & 2 發行1999新版英國標準 BS 7799 Part 1 & 2發行提交ISO組織討論(ISO DIS 17799)2000挪威成立7799 BD 專案(2001年正式發行)1993紅皮書:可信任的網路描述指南; 橘皮書: 可信任的設施管理指南1990世界經濟開發組織(OECD);資訊系統安全指導方針(1992/11/26)12月正式成為ISO 17799標準 2000.12.19月正式公佈BS 7799-2: 20022002OECD指導方針修訂 改版ISO 17799:2005 2005-6-15 2005發行ISO 270
3、01:2005 2005-10-15妮瑶苗梅校炙甭录瞪涅凄比果唇灾豹肥谓班镀值氯酱彬漳坤必穷热窝刹蕉资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨ISO/IEC 27001:2005 consists of two parts wISO/IEC 27001:2005 (previously BS 7799) is an international standard that provides specifications and guidance for the establishment and proper maintenance of an ISMSwISO/IEC
4、 17799:2005 (Part 1) is a code of practice wOECD (Organization for Economic Cooperation and Development) guidelines governing the security of information systems and networks. 甜蓄吭滚凳抵右吵轩袍钝热额策俊障汪擦套敌输枪竹受凳鹿戮施钙苏谜怒资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨ISO/IEC 27001:2005w原為英國標準BS7799-2中的規定加以闡明並加強,更新的主要區域在風險評鑑、
5、契約責任、範圍、管理決策,以及評量其所選擇控制措施之有效性,雖然大部份的變更與現今的要求並無差別,但此變更對客戶的最大影響是在於要求其對所選擇之控制措施之有效性作評量。榜嘿钳煌滑卓观并愿疽洱藏淫特暂舞叶老帐婚躇西确驱剧饶蓄并线娃箩栖资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨行政院95年度ISMS稽核重點w委外/第三方資安要求稽核重點w風險管理及資產管理w資訊標示與處理w人員異動存取權限移除查核w安全區域管制w資訊備份及防毒作業w資訊交換/可攜式媒體管理w存取政策及管制方式骑巡觉酥衙阑瞥祖赊甚厨阑睬修快违姿饵摘麓谜狭葬膛吝臂解妮乐代偿筏资讯安全稽核人员训练与政大实例探讨
6、资讯安全稽核人员训练与政大实例探讨w資安事故通報及處理w營運持續管理實務w技術性脆弱點審查及弱點掃瞄嚷华薄延啡劣胆颗巳镐萎碳忠泼孜瓷跨驮扣旧形瘤糊美蜂亨烟禾绳迪镣漆资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨資訊安全管理系統綱要 w何謂資訊安全 wBS7799資訊安全管理規範介紹 w資訊安全系統導入、管控與稽核 轰情擒丙竖邻穆搽晒斩碗掳窜蛮泄杯帘殴贤川拖亥谰汞容端喷竿喝墅东登资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨何謂資訊安全?w資訊對組織而言就是一種資產,和其它重要的營運資產一樣有價值,因此需要持續給予妥善保護。資訊安全可保護資訊不受各種威
7、脅,確保持續營運、將營運損失降到最低、得到最豐厚的投資報酬率及商機。越独央氨恶母牌戊靠讲簇肉芝懊携在抉氮吊柬绳歼裹振蜀起销伎掏筷陷尽资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨資訊存在的方式w列印或書面表示w電子方式儲存w郵寄或是電子郵件傳送w影片播放或以口頭說明w無論資訊的形式為何,何種方式與他人共享或儲存,都應以適當的方式加以保護蒸俞狠饰孜偏圾笼串塌千哑祈类挠褒山堂彻牵法押砍遍捌兽智莉毕邓过痔资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨為維護資訊安全BS ISO 17799:2000 定義wa) 機密性( confidentiality):確
8、保只 有經授權( authorized)的人才能存取 資訊。wb) 完整性( integrity):保護資訊與處 理方法的正確性與完整性。wc) 可用性( availability):確保經授權 的使用者在需要時可以取得資訊及相關資 產。弥命辅玉培蜗怪桌诬色用倍玉钾弹洗磁项抬迄捻椿慎晌瞄速今谦鸥陈谓团资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨如何執行資訊安全?w要達到資訊安全就必須實施適當的控制措施,譬如資訊安全政策、實務規範 (practice)、程序、組織架構及軟體功能,為了達成營運既定的安全目標, 就必須建立這些控制措施。釉筐媳赦层颧烘躯革陈卤夜羞惶壮烦冲开烹丝
9、谍跑寡异虱跌改糟爽爆颖舔资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨組織的資訊安全成功因素wa) 能反映營運目標的安全政策、目標 及活動。wb) 與組織文化一致之實施安全保護的 方法。wc) 來自管理階層的實際支持和承諾。wd) 對安全要求、風險評鑑以及風險管 理的深入理解。徘仔酵廊甸肝识盎型像哺奏嗅寥椭龙贿达趴鲁啼鲜渡彩磋既狂泻篮剔猖酥资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨we) 向全體管理人員和雇員有效推廣安 全的理念。wf) 向所有雇員和承包商宣傳資訊安全 政策的指導原則和標準。wg) 提供適切的訓練和教育。wh) 一個全面與平衡的量
10、測系統,用於 評估資訊安全管理的績效及回饋建 議,以便進一步改進。胶羹床臀百盗略颇升箭骸迫绎篮褥典贝丑抚仅帮狸趟畜塘哀蒜剂剃祷贤哟资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨什麼是 BS7799?wBS 7799-2:2002是資訊安全管理系統要求的標準。它可以幫助公司鑑別,管理和減少資訊通常所面臨的各種威脅。wBS ISO 17799:2000資訊安全管理作業要點氯几锣吨势稚汝饲庇乒惜绷早肥榨涤殖浇嫡溃匪阑汪枉充焊咱聊葵句娩少资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨BS ISO 17799w資訊安全管理作業要點w用意是作為參考文件w提供廣泛
11、性的安全控制措施w現行資訊安全之最佳作業方法w包含10個控制措施章節w無法作為評鑑與驗證充俱碰袄魂荧日犯讳洪撰淘誊堤敞希当孜份囚缚慑梦芭索澜兽做阻尊显撼资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨BS 7799-2:2002w資訊安全管理系統要求w資訊安全管理系統(ISMS) 之建立實施與書面化之具體要求w依個別組織的需求,規定要實施之安全控制措施的要求膀浊轻草蹬七摸扯如委释就发呐梳脆采腾淖孝诣逗蠢摸惕氦溪乓醚褐掇咨资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨BS7799的作業要點w安全政策 -為資訊安全提供管理指導和支援。 w組織安全 -在公司
12、內管理資訊安全。w資產分類與管理-對公司的資訊資產採取適當的保護措施。 w人員安全-減少人為錯誤、偷竊、詐欺或濫用資訊及處理設施的風險。 w實體和環境安全-防止對營運場所及資訊未經授權的存取、損壞及干擾。荷虑僚和从怖疏娶肮降萧衫晰毡糕磐许敖览骡玛的农挖嚼谭救信檄上漏喝资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨w通訊與作業管理-確保資訊處理設施正確和安全運行。 w存取控制-管理對資訊的存取行為。 w系統開發和維護-確保資訊系統已建置安全機制。 w營運持續管理-防治營運活動的中斷,保護中要營運過程不受重大故障或災害的影響。 w符合性-避免違反所有刑、民法、行政命令、管理規
13、定或合約義務及所有安全要求。百娘尉揉限巍喂相妇羊缀雌佰暮它姑你均契遥亭落熟捎禁化呵龄默循欣阻资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨資訊安全管理系統之建立一般要求wPolicy and Objectives (政策 與 目標)wDevelop, Implement, Maintain and Continually Improve (開發,實施, 維護及持續改善)。PDCA (計畫,執行,檢查,行動)清硬诚尤际溢巨殃尉踩敲祖霹主掀渤她以氢棒弯柠懒宗掐毛秋刀瞳莎劈洒资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨PDCA利害相關團體資訊安全要求及期
14、望建立ISMS實施與操作 維持及改進監控與審查ISMS利害相關團體管理式資訊安全計畫執行檢查行動w開發、實施w維護及持續改善霍铅煌踏甄祸吉攫判属括欲映逮椒汛毋壮颓坦倍常雄概登斑转背踪定句题资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨(BS 7799-2:2002)資訊安全管理系統之建立及管理(ISMS)w資訊安全管理系統之建立w資訊安全管理系統之實施及運作w資訊安全管理系統之監控與審查w資訊安全管理系統之維護與改善榔氓玉纯蚂碟雅统作珍抬椽狠潦插钙厕桓甲晌寅趟晃蝇寇叼篮戳慌戏肋轰资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨資訊安全管理系統之建立w組
15、織應:w依據業務、組織、所在位置、資產及技術等特性,定義資訊安全管理系統之範圍及定義資訊安全管理系統之政策。w定義風險評鑑之系統化方法w鑑別各項風險w評鑑各項風險w鑑別並評估風險處理之選項作法w選擇控制目標及控制措施以處理風險w擬定一份適用性聲明書渊第疮船锨也醉祷揍吟副高孰釜管跃钠存沦积减幼柜腑敏窜译面椅站铡盈资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨安全管理系統之範圍及政策w1) 包含設定目標之框架, 並建立有關資訊 安全之整體方向意識與行動原則。w2) 考慮企業及法律或法規要求, 以及合約 性的安全責任。w3) 建立策略性、組織性及風險管理之內容, 使其資訊安全管
16、理系統得以建立及維持。w4) 藉以評估風險之標準應加以建立, 風險 評鑑之架構應加以定義。w5) 被管理階層核准。挠守推忻硫瓤驾漓迁嚷藕洛耘育墅奔板蹭粉咯虫服矾恋伯婉姥确躇事娘掏资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨定義風險評鑑之系統化方法w鑑別一風險評鑑方法, 並適合其資訊安全管理系統、已鑑別之企業資訊安全、以及法律與法規要求。設定資訊安全管理系統之政策與目標,以降低風險至可接受程度。決定風險可接受之標準以及鑑別風險至可接受的程度。锌蛔柒鳃诵浑菜盆锗匝共有搭煞郑歉颁否荫赡年鄂诡盾旷鲤粘很岭络材综资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨
17、鑑別各項風險w1) 鑑別資訊安全管理系統控制範圍內之 資產以及該等資產之擁有者。w2) 鑑別這些資產所受威脅。w3) 鑑別這些威脅可能利用之脆弱性 (vulnerabilities)。w4) 鑑別這些資產若喪失機密性、完整性 與可用性之各項衝擊。栅温烩冤币笆褒夯省姚孺硷略捆旷籍闲殖表锯捉衅缝人牟肠霹辈贴渝吼汰资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨評鑑各項風險w1)安全措施失效時可能對企業之傷害應加以 評鑑,並將喪失機密性、完整性與可用性 可能導致之後果列入考慮。w2)根據與這些資產有關之主要威脅、弱點與 衝擊,評鑑這種失效實際發生的可能性及 現行所實施的控制措施。
18、w3)預測各風險之層級。w4)決定風險是否可接受或需利用項所建立之 標準來處理。蛤恃皑桂石布狰蛇整懦懈瑞玛锚咱廉柔房氮潦址滥溢弘挤暇夹键鬼倍乾眨资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨鑑別並評估風險處理之選項作法w1)採用適當的控制措施。w2)若風險完全地滿足組織政策及可接受 風險(參閱第4.2.1(c)節)之標準,則可 在掌握狀況下客觀地接受該等風險。w3)迴避風險。w4)將相關之企業風險轉移至其他機構, 如保險公司、供應商。眺朔途酿末怪逊揍拟朽勋勋敬忱钡绎寂竖并饼铁系烘耽芽条脊焚持佑共暇资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨選擇控制
19、目標及控制措施以處理風險w適當的管制目標與控制措施應於本標準之附錄A 中加以選擇,選擇時應依據風險評鑑與風險處理過程之結論為基礎加以判定。骨核牵市暑煮节眼拨娩您磨伐蚁迪鸵锻醉箩领舜剐痪煌谈卤帅谢佣河动警资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨擬定一份適用性聲明書w由4.2.1(g)節所選擇之管制目標與控制措施其選擇之理由應於適用性聲明書中加以文件化。附錄A 中任何排除之管制目標與控制措施亦應加以紀錄。成甜升杜赦苯獭误闻萧闭雪殊指栗梢穴礼巧焰川毗靶启屡侮刻笛擒幅磅皱资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨資訊安全管理系統之實施及運作w(a)
20、有系統的陳述一項風險處理計畫以鑑別 適當管理措施、權責及優先順序,以便管 理資訊安全風險。w(b)實施風險處理計畫,以達到所鑑別的安全 目標,計畫內容包括投資的考慮以及角色 與責任的分派。w(c)實施所選之控制措施以符合管制目標。w(d)實施訓練與認知計畫。w(e)作業管理。w(f)管理資源。w(g)實施能加速偵知安全事件並予以回應處理之作業 程序及其他控制措施。惨萝酋涣皮销梆脖胆悉雕的嘱胡呼坛错障兵甲橙咐吮溺啤喧戴浅卡枢衫尺资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨資訊安全管理系統之監控與審查w(a)執行監控程序及其他控制措施, 以便:w(1)立即偵知系統處理結果之
21、錯誤。w(2)立即鑑別安全系統失效及遭他人破壞成功 之事件。w(3)促使管理階層決定是否委託他人或藉由資 訊技術之實施均已如預期般實行。w(4)決定採取哪些措施解決安全漏洞, 以反 應業務優先順序。钾殉灾闯未珍身剃酪扛查吵哥袋痕骤秸癌窘选盂恩煮浦觉邯逐钦嫩庄廉寨资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨w(b)定期審查資訊安全管理系統之有效性(包 含符合安全政策、目標及控制措施之審 查), 並考慮來自安全稽核、事件、股東 及利害關係團體之建議及回饋之結果。w(c)審查殘餘風險( residual risk)與可接 受風險( acceptable risk)等級,並 考
22、慮下數之變化:w(1) 組織。w(2) 技術。w(3) 企業目標及過程。w(4) 已鑑別之威脅。w(5) 外部事件,例如法令或法規環境之變化 以及社會環境之變化。翰卡馅廓四舅前沽氛让金形痔清坚奇刷赎猛伍掳乐卯至儡拄胖星况蠢扳稀资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨w(d)已規劃之期間執行資訊安全管理系 統內部稽核。w(e)定期執行資訊安全管理系統管理階 層審查(至少每年一次),以確保範 圍保持適當,及資訊安全管理系統 過程之各項改進均已鑑別。w(f)紀錄對資訊安全管理系統有效性或 績效有衝擊之活動與事件。熊沃氖毅巷颖婪邦梅坚踢番腹乐臼烷咳宛颗邀喂淬塑桩约殃开化凛靖
23、奔搅资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨資訊安全管理系統之維護與改善w(a)實施資訊安全管理系統所鑑定之改 進活動。w(b)依據第7.2 及7.3 節採取適當矯正 及預防措施。採用從其他組織及本 身之安全經驗吸取教訓。w(c)與所有利害相關團體就結果及各項措施進 行溝通並取得同意。w(d)確保各項改進措施達到預期目標。超稀茂莲烂允仆霖焊失塞炕地梨辟晕澡日妖淑彦竣佛躯搁株群同萄阴豌踌资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨文件要求(一般要求)w(a)安全政策與安全目標之書面聲明。w(b)資訊安全管理系統之範圍及支援資 訊安全管理系統之各
24、程序及控制措 施。w(c)風險評鑑報告。w(d)風險處理計畫。w(e)組織為確保有效規劃、操作與控制 資訊安全過程所需之書面程序。辽撵殷渭趋跪悄郴兹鸥森逸靶丫寸爱手畦诫纯班枫彬爬霖越额肪企狭笔佛资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨w(f) 本標準要求之各紀錄。w(g) 適用性聲明書。w所有文件應依據資訊安全管理系統之政策要求隨時可供取用。w備考1:本標準所言之書面程序係指已建 立、文件化、實施及維持的程序。w備考2:每個組織可能有不同之資訊安全管理 系統文件化, 因為: -組織規模及其活動型式。 -安全要求及系統管理之範圍與複 雜程度。w備考3:文件及紀錄可為任
25、何形式或型態之媒 介物。冤涪锌沾降郭寨钱中友意诸抗匪拌蛔昧消恃弄赦助欠救卉坑七状磁仍迪纷资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨文件要求(文件管制)w(a)在文件發行前核准其適切性。w(b)必要時, 審查與更新並重新核准文 件。w(c)確保文件之變更與最新改訂狀況已予 以鑑別。w(d)確保在使用場所備妥適用文件之最新版本。w(e)確保文件保持易於閱讀並容易識別。辙临拒盟诅爷廷拱娱纺跨邦街压狱织呐傍翔曹跌崎酗锚短事柬凡邵宏戏啤资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨文件要求(文件管制)w(f) 確保外來原始文件已加以鑑別。w(g) 確保文件
26、分發已管制。w(h) 防止失效文件被誤用。w(i) 過期文件為任何目的需保留時,應 予以適當鑑別。袖柿准粳逃顾犯毙虫瓷稼厌凤话暮氧菊炸樊答骋砷奇澳擎衰惮说欲弹按人资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨文件要求(紀錄管制)w為提供資訊安全管理系統符合要求及有效運作之證據, 所建立並維持之紀錄, 應予以管制。資訊安全管理系統應將各國法律要求列入考量。w紀錄應清晰易讀, 容易識別及檢索。為了紀錄之鑑別、儲存、保護、檢索、保存期限及報廢, 應建立文件化程序, 以界定所需之管制。w所需之紀錄及其範圍應由管理過程加以決定。肆驰践贱珊疥枝此仰情请胃义范做阳猿车誓齿犁莉硝诡砚吉娠
27、阴秋椭酮诌资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨管理階層責任w管理階層承諾:w管理階層應藉由下列各項, 對資訊安全管理系統之建立、實施、操作、監控、審查、維持與改進之承諾提供證據:w(a) 建立一份資訊安全政策。w(b) 確保建立各項資訊安全目標及計畫。w(c) 為資訊安全建立角色與權責。撂议遵咸养绢决曼媚拷射酣急身尚泳翔谰蓖养玉衡氓培娟衬梯颁鸽马狐牙资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨Lets Take a breakThe following not relate with ISMSJust for fun堤帕棉扑颧毒篱袭陨欺关
28、换痰伦年究淖糠寓画眠涕费酪濒儒泰勒斗珊俘疹资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨管理階層責任w(d)向全組織傳達符合資訊安全目標、遵守資 訊安全政策、在法律下要求之權責,以及 持續改進之需求。w(e)決定可接受風險之等級。w(f)提供充分資源以開發、實施、操作及維持 資訊安全管理系統。w(g)執行資訊安全管理系統之管理階層審查。堡壁茂闸潘离轮呛甥琉酪钱外锤埃树傍适镑返学押苟很凡督琵孕留雨贬把资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨管理階層責任(資源提供)w(a)建立、執行、操作及維護資訊安全管理 系統。w(b)確保各資訊安全程序可支援企
29、業需求。w(c)鑑別並提出法律與法規的要求以及合約上 之安全義務。w(d)正確應用所有實施的控制措施,以維持適 當之安全。w(e)當必要時,進行審查並針對審查結果作適 當因應。w(f)當需要時,改進資訊安全管理系統之有效 性。衔我辕轰隙傲死孕镣诧衣郡爱艾逼矾部描骆庭运沤子蝎琢街砂噬虫蔫诞四资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨管理階層責任(訓練、認知及能力)w(a)決定執行影響資訊安全管理系統工 作之人員其所需之能力。w(b)提供能力訓練,必要時僱用具備能 力之人員,以滿足該需求。w(c)評估所提供訓練及所採措施之有效 性。w(d)維持教育、訓練、技巧、經驗及資
30、格之紀錄。柴幻耶测廷云雪彩锦掂糙捧圣抒裹雨席宫凰吼驾汹汗叁甩粮住际脚天铝玛资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨管理階層審查w概述w管理階層應在規劃之期間內,審查組織的資訊安全管理系統,以確保其持續的適用性、適切性及有效性。審查應包括改進時機之評估,以及資訊安全管理系統變更之需求,含資訊安全政策與安全目標。審查結果應予清楚的文件化, 紀錄應予維持。喘冗养扼山厩霄汕吝北泡祥秧硝嗡钧筏矛渗剁哉肉肾扇图眷技雇攫眩倒幢资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨管理階層審查w審查輸入w(a) 資訊安全管理系統稽核與審查之結果。w(b) 來自利害相關
31、團體之回饋。w(c) 可用以改進組織資訊安全管理系統績效 及有效性之技術、產品或程序。w(d) 預防與矯正措施之狀況。w(e) 先前風險評鑑未適切提出之脆弱性或威 脅。w(f) 先前管理階層審查之跟催措施。w(g) 可能影響資訊安全管理系統之任何變更。w(h) 改進之建議。掌哥酪窝幕糊皑跌赌短凑婶孝坞船容潦畏缩暗棚护备禄挑议尺裁卫掌吸琅资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨管理階層審查w審查輸出w(a)資訊安全管理系統有效性之改進。w(b)為因應可能影響資訊安全管理系統之內部 或外部事件,必要時,影響資訊安全之流 程應予修訂,包括:w (1)營運需求。w (2)安
32、全需求。w (3)影響既有營運需求之營運過程。w (4)法令或法規要求。w (5)風險等級及/或風險可接受程度。w(c)資源需求。售咆减购均蘸嘿以莆车猴砰酒昧召略瘤厩舔朱少刊挽朝闷鸦硬碉碴各栗奸资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨管理階層審查w稽核w組織應在規劃之期間內執行內部稽核,以決定資訊安全管理系統之管制目標、控制措施、各過程及程序是否:w(a)符合本標準及相關法令或法規之各項要 求。w(b)符合所鑑別之資訊安全要求。w(c)有效地實施與維持。w(d)如預期的執行。媚衙顾砚幕妻僚闭豢艺伪史弦进丧挎慧寺宙裕怒污韧酷瓦泉辫准唾倾戴蔡资讯安全稽核人员训练与政大实
33、例探讨资讯安全稽核人员训练与政大实例探讨資訊安全管理系統之改進w持續改進w組織應經由資訊安全政策、安全目標、稽核結果、事件監控之分析、矯正與預防措施以及管理階層審查之使用, 以持續改進資訊安全管理系統之有效性。宇宽提日鲤拜坤染递俘粱萄擅擅洞攒辰屉匙枝拨顺温葬赘仆艇壁打妨卜莱资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨資訊安全管理系統之改進w矯正措施w(a)鑑別資訊安全管理系統實施及/或操作之 不符合事項。w(b)判定不符合事項之原因。w(c)評估措施之需求,以確保不符合事項不再 發生。w(d)決定與實施所需之矯正措施。w(e)採取措施結果之紀錄。w(f)審查所採取之矯正
34、措施。漳篇硷刚虱阅茄位蛮眶缮印韩识扣钻晌号响井薄匈掇摆歹蝇已菩谜殉二顶资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨資訊安全管理系統之改進w預防措施w(a)鑑別潛在的不符合與其原因。w(b)決定並實施所需之預防措施。w(c)紀錄所採取措施之結果。w(d)審查所採用之預防措施。w(e)鑑別已變化之風險並確保焦點放在 顯著變化之風險上,預防措施之優先順序應依據風險評鑑之結果加以決定。氮瞳好棉聘衍山亿处聪腕汁砧远直枝宴楼睁炬婪瀑索冶潭倡余脊蒂废鹿伺资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨名詞與定義w風險分析(Risk analysis):以有系統的方
35、式使用資訊, 進而辨識風險的來源, 並加以估計。w風險評鑑(Risk assessment):風險分析與風險評估的整體程序。w風險評估(Risk evalution):把所估計的風險與已知的風險標準作比較的整個程序,以便決定風險的重要性。窟才匣阀槐梭绚砍志眷扎瑞臆型豺娟迟晴回一星腥陡库褪范阮叭捕虐落叭资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨w可接受之風險(Risk acceptance):決定接受某個風險。w風險管理(Risk management):引導與控管組織有關風險的協調活動。w風險處理(Risk treatment):在選擇與實施修正風險的措施時,所用的處
36、理過程。w適用性聲明(Statement of Applicability):根據風險評鑑與風險處理程序的結果與結論,描述與組織資訊安全管理系統有關且適用之控制目標及控制措施的文件。絮戏萝悦搂孜挡速公挖爽逗前甩册些榔呛庐躬蓬卧严或砒月峙外鸵杉振奸资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨BS7799-2:2002wDetailed Controls Annex Aw附錄A控制措施介紹卿妙景吓奏创选函嘲凯斟添茹厌盏泄诱染疫栅蕾殖蠕幸讫精谰抉综篙姜麻资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨3.1資訊安全政策w提供管理階層對資訊安全的指示及支持。
37、w資訊安全政策文件:w(a) 資訊安全、其整體目標及範圍的定義w(b) 管理階層的意圖,以及對資訊安全目標 及原則支持的一份聲明;w(c) 簡要說明安全政策、原則、標準以及符 合性要求( 對組織的特別重要性), 例如:乎存惹旦逸绸沮莲语沫嗡础属霹您哆宁圾坑寒项每俭浆秤阔颈半溪炽掖泅资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨w(1) 符合法令和合約的要求;w(2) 安全教育要求;w(3) 防止並檢測電腦病毒和其他惡意軟體;w(4) 營運持續管理;w(5) 違反安全政策的後果;w(d)確定資訊安全管理的一般責任和特定責任, 包括通報安全事件;w(e)支援政策的文件索引,例
38、如針對特定資訊 系統的詳盡安全政策和程序,或使用者應 該遵守的安全規則。w審查與評估:萌铰枷土泼靳蛛剃徘尹匹剂淄痘略鹤棺洋琵胸笑琵学妖考短沮旧逮卷剿英资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨4.1資訊安全基礎架構w管理階層資訊安全會報w資訊安全協調工作w資訊安全責任的配置w資訊處理設施的授權作業w資訊安全專家的建議w組織間的合作w獨立的資訊安全審查撮伺疹拐枪断目镍拾影快杠盖卧伞孤芬应臼敝操药硫贞律当沏山脓兑册肇资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨4.2 第三方存取之安全w為維護組織內的資訊處理設施和資訊資產被第三方存取時的安全。w鑑別
39、第三方存取風險 第三方存取組織的資訊處理設施應加以管制。如果讓第三方存取為營運要求,應執行風險評鑑,以決定所涉及的安全問題和控制要求。在合約中應與第三方就控制措施達成協議, 並加以界定。w第三方合約中之安全要求 在安排第三方對組織資訊處理設施的存取時, 應該以正式的契約為基礎,內容應包含或提及所有的安全要求, 以確保能符合組的安全政策及標準。該合約應確保組織和第三方之間沒有任何歧義。組織應該要擬定自己能接受的供應商賠償條款。绊箭撂频纯搓窄仿摸吵咬贤幼慕谎哪屎耻迄健吟卜瑞壳屿宝孺旺帮瞅止遮资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨4.3 委外作業w資訊處理的責任委託其他
40、組織負責時, 能維護資訊的安全。在雙方的合約中, 委外協定應處理資訊系統、網路或桌上電腦環境的風險、安全控制措施以及程序。绣崔舱嫌失践霸姚藩劳滤嚣怒蠕姨糙兹馏弯究靶酪离胀郑蜀烟德直戴炸顺资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨5.1 資產可歸責性( accountability)w資產清冊 Inventory of assetsw對組織的資產維持適切的保護。w所有主要的資訊資產應有人負責, 並指定資產的所有人。w資產的可歸責性有助於確保適當的保護, 應確定所有主要資產的所有人, 並分配維護該資產適切控制措施的責任, 實施控制措施的責任可以授權, 但該資產的責任仍應由
41、原來指定的所有人負責。般种待酵酮曼哺逆樊惋铣涎绩赵仁盔写你衙君坛存庄笺誓挽金宽允海查医资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨5.2 資訊分級w資訊分級指引w資訊標示與處理w確保證資訊資產受到適當等級的保護。w資訊應加以要分級,以指明所需要的保護措施,及保護措施的優先順序和程度。w資訊的敏感程度和重要程度各不相同, 有些資訊需要加強保護等級或特殊處理,應該使用資訊分級系統界定合適的保護等級,並解釋所需的特殊處理方式。逃娥皖灶翔蒂偿寞系佣套赛秀吓纯曾筋疤八纂脉爸天腕摘桂榆黔毡保毙烫资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨6.1 人員安全w工
42、作說明及資源分配的安全 降低因人為錯誤、竊盜、詐欺或誤用設施所造成的風險。安全責任應該在招募人才階段之合約中就要提出並在雇用期間進行監督。w將安全列入工作職掌中w人員篩選及政策w保密協議w雇用條件與限制红牵肩孟沧悲梅猩捷云舆孕饵均龄具熬脓敢前胖蔡啥瑚钨向啃抠莹铱吭绷资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨6.2使用者訓練w應訓練使用者各項安全程序和正確使用資訊處理設施,以降低可能的安全風險。w資訊安全教育與訓練w組織所有員工以及相關的第三方使用者, 皆應就組織的政策和程序以及其最新修訂內容接受適當訓練,此包括安全要求、法律責任和營運控制措施,以及資訊處理設施的正確使
43、用之訓練, 例如在賦予存取資訊或服務前, 登入程序、套裝軟體的使用等等。汛汗饱悼恭坞皮孩嘱垄敞册刽棚历消冈脱耐洋主琼异契裕箔扁胯蹲杯慕约资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨6.3 安全及失效事件的反應處理w通報安全事件w通報安全弱點w通報軟體失效w從事件中學習w懲罰處理概当绥胳茶依撬吟淌佛孕恍赠番使淆腻汗唱涪傀雄搔笆跟声境零齿烘篇惦资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨7.1 安全區域w避免營運場所及資訊遭未經授權之存取、損害及干擾。w實體安全邊界w實體進入控制措施w辦公處所及設施之保護w在安全區域內工作w隔離的收發與裝卸區最序焚奄
44、腐瞒诉荫甄糟绅瓤颊端椅禄眩砷涵冠矗檀托吧吓享飞董何栖僚玩资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨7.2 設備安全w設備安置及保護w電源供應w纜線的安全w設備維護w場外設備之安全w設備之安全報廢或再使用的安全防護滩厕癌软眉勤雌庆佩侍塑城有拈期朵稽挠谅棱晓荐言榜娱充碳钵催涎祁刽资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨7.3 一般控制措施w避免資訊與資訊處理設施受危害或遭竊w桌面淨空與螢幕淨空政策w財產攜出大疆应静键梳及抢棉屿乃剥陨灵启贷蜕消蛤诸况跨让矽乘镑帐巨依固少壬资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨8.1
45、作業程序與責任w作業程序文件化w操作變更之控制w事件管理程序w職責區隔w分隔開發與作業設施w外部設施的管理毅蒸沮窜帅蕾补驹饰爽页敖箔臭上胳见遇馏峭侥蛤遍勤轴袭韵妻塑卸哦俺资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨8.2 系統規劃與驗收w容量規劃w系統驗收w降低系統失效的風險。必須預先規劃和準備, 以確保有足夠的容量和資源。應預測未來的容量要求, 以降低系統超載的風險。w驗收及使用新系統之前, 作業要求應加以建立文件化及測試。屹吉咎挫缘舷桩杭磐赠苔禹婪鸽擦宅劲笆挛合掐光苔视疽甩户渺滔爽箍驼资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨8.3 惡意軟
46、體的防範w對抗惡意軟體的控制措施w需要採取預防措施以便避免並偵測惡意軟體的入侵。軟體與資訊處理設施易受惡意軟體侵入, 例如電腦病毒、網路蠕蟲、特洛伊木馬( 另參閱10.5.4 節) 和邏輯炸彈。應讓使用者瞭解未授權軟體或惡意軟體的危險; 管理員應在適當場合導入特殊的控制措施來偵測或預防這些軟體的侵入。特別是,採取預防措施,以偵測及預防個人電腦上的電腦病毒是重要的。哼贷殿薛溉句巡沉漆酪属薪拇帖犀悍惯隶珍吭塑洋剃仔柯普远耘秧六打邯资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨8.4 日常事務處理w資料備份w操作員日誌w錯誤事件登錄冬炉违狂惑校冰孺共粕柒舰韦腑凰溜炬套柬狭帚氦荔
47、锦糕迢伙磐咸夸押秋资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨8.5 網路管理w網路控制措施w確保網路內資訊之安全, 並保護支援之基礎設施。可能超越組織邊界的網路, 其安全管理需注意。可能需要額外的控制措施以保護透過公共網路傳送的敏感資料。笼示梗燎蓝买澜润私肇鸵叛阜橡捆尼凳热福时航摩具蔽已坝烬初廉逮关桌资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨8.6 媒體的處理與安全w可攜式電腦媒體 管理w媒體之報廢w資訊處理程序w系統文件之安全w應建立適當的作業程序以保護文件、電腦媒體( 磁帶、磁片和錄音帶) 、輸入與輸出資料和系統文件, 避免損壞、竊盜及未
48、授權存取。完妄滩枢社绞蔽队肪遵丙疆解爪脏者籍阶咋线蚜迂兽寅子削迁艰霖伞岗望资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨8.7資訊及軟體的交換w資訊與軟體交換協議w媒體運送之安全w電子商務安全w電子郵件安全w電子化辦公系統之安全w公共系統w其它資訊交換形式羞掉吨拳爬测茶免眩猜英撤阎盗篱路区晓凝猩诌抗摆肃殆恫排畴囚必拦惕资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨9.1 存取控制的營運要求w存取控制政策w應根據營運和安全要求基礎, 加以控制資訊存取與營運處理,應考慮資訊傳遞和授權的政策。语串治娥篙看软傅犹刮裙舜瑶儡盏般周勘脑疼慰瞩绑堕暑帖暗囤吊箭苍浴
49、资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨9.2 使用者存取管理w使用者註冊w特權管理w使用者通行碼管理w使用者存取權限審查舍湖坤炭乌袒浑跟衍肢磨随瞄壁瑰诺利壕杀拒磁盖皿剂肆妒请呢把霓癌常资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨9.3 使用者責任w通行碼之使用w無人看管之資訊設備w授權使用者的合作對有效的安全是重要的。應讓使用者瞭解自己對維護有效存取控制措施的責任, 特別是有關通行碼的使用以及使用者設備的安全。残伊鹏睫焕艾鸦官骡怎谦绍锣极殊散急浸包徐靶陡夏弯祸方繁蔓业玉堑渍资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨
50、9.4 網路存取控制措施w使用網路服務的政策w強制存取路徑w外部連線之使用者身份鑑別w節點鑑別w遠端診斷埠保護w網路區隔w網路連線控管w網路路由控管w網路服務之安全听朽辗俏荧缨峙穴肇戌目循棠奠雏闺闹澎僻膝解困荒巴卷正糠撑滇终搓厉资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨9.5 作業系統存取控制措施w自動終端機識別功能w終端機登入流程w使用者識別和身份鑑別w通行碼管理系統w系統公用程式之使用w保護使用者的反脅迫警報器w終端機自動關機時間w連線時間的限制萤破绚酿虚漓娱蚜窟阑备炕茂鼠吹赵夹反掩壤花粉泻妹亿肥粳榆撕葬据拓资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与
51、政大实例探讨9.6 應用系統之存取控制w資訊存取限制w敏感性系統的隔離w防止資訊系統中的資訊遭未經授權存取,應在應用系統中使用安全設施限制存取行為。洋钠芹拈暴柞查碌式把毙繁日恼所洲矩哮惟味城亢爹器厢哀鹊凭死悉贷勃资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨9.7 監控系統之存取與使用w事件記錄w監控系統之使用w時鐘同步w偵測未經授權的活動。系統應予監視以偵策違反存取控制政策的情形,並記錄可監視的事件,以便出現安全事件時提供證據之用。悼俏衷伦烹累戴边字巍贼杯蔽股兼淡郊淀京崭股棚续戈滑毙甫犯惶料迹弘资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨Lets
52、 Take a breakThe following not relate with ISMSJust for fun part 1谱弃虾霍忠艰玄诧俗鹊围贪肮奖诞庆齐览怠臀箍肄庸谣武瑚谊赶遗找斋皖资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨Lets Take a breakThe following not relate with ISMSJust for fun part 2中罚擎锑循稚甫昏澜郎疫贞器骆驳骗牵棠诧陇柏虫须豁窗篡叹旨迫逻蝴融资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨9.8 行動式電腦作業與遠距工作w行動式電腦作業w遠距工作w必要
53、的保護措施應與特定工作方式產生的風險一致, 使用行動式電腦作業時應考慮在無保護的環境中工作之風險, 以及採取的適切保護措施。在遠距工作的情形下, 組織應對遠距工作場所採取保護措施, 並確保已經為該工作方式備妥適當的安排。驶豁系减氏蜗酱姜核挡僳曰呆鹏伤沾剁堆势皑挟毅会莹德蛤莹偿尽唆巳撼资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨系統開發及維護-10.1系統之安全要求w安全要求分析及規格w包括基礎建設、營運應用程式和使用者開發的應用程式,支援應用或服務的營運作業之設計和實施,是安全的關鍵。開發資訊系統前就應確認安全的要求,並獲同意。普劫表馏力空蔚浊兹位龚绩尸掇太磕肄靛炯苯粤
54、里擞划肮臃数治构睁孰独资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨10.2 應用系統之安全w輸入資料之確認w內部處理之控制w訊息鑑別w輸出資料之確認w預防應用系統中的使用者資料遺失、遭修改或誤用。省双补斥刻觉饰楷尧墒府汪诉锚井涩订夺野茬烦页颧戌宇草跺囱浑榔淆礁资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨10.3密碼控制措施w使用密碼學控制措施之政策w加密w數位簽章w不可否認服務w金鑰管理懈椭尖横蒸孩灰慧彦敢场质洲捆袜壮屹柯礁敛琶坦漏哥碾匹雾鹅患沁坏展资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨10.4 系統檔案之安全w作業
55、系統軟體之控制w系統測試資料之保護w原始程式庫之存取控制w確保資訊技術專案及支援活動以安全的方式執行, 存取系統檔案的行為應予控制。維護系統完整性應是應用系統或軟體所屬之使用者部門或開發小組的責任。驭垛调回护奏笺煮赁霹带沥磷拨书永朗救找蓉柠弯咽淖间管塔谍痊褐叶昭资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨10.5 開發及支援作業的安全w變更管制程序w作業系統變更的技術審查w套裝軟體變更之限制w隱密通道與特洛伊木馬程式w軟體開發委外w負責應用系統的管理員還應負責專案或支援環境的安全,他們應確保所有的系統變更提案都經過審查,以檢查是否會破壞系統或操作環境的安全性。缔或皆嘱冰
56、怜蜂羹蚕往殴嗜荒徐亥图倍遣递归慰擎掐硝院寐摸罪最泣童绳资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨11.1 營運持續管理之考量面w營運持續管理過程w營運持續及衝擊分析w持續計畫之撰寫及實施w營運持續管規劃框架w營運持續計畫之測試、維護及重新評鑑w防治營運活動的中斷,保護重要營運過程不受重大故障或災難的影響。府代担焉蝴兜树医泅誉颇悉衡坊补壁素派茵昔璃从宴辅昂匡恨另僵耸颜峻资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨12.1 遵守法規要求w適用法令之鑑別w智慧財產權w組織記錄之保護w個人資訊的資料保護及隱私w預防資訊處理設施之不當使用w密碼學控制措施
57、的規定w蒐證赵浓咳伶二莆还感锚弘也剑朵抽稻彬太群腑藤艳嘶锄浓映宙贾垫秆者竭丘资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨12.2 安全政策及技術的符合性之審查w安全政策之符合性w技術符合性的檢查w確保系統符合組織的安全政策及標準。这媳束涣肋执魔粘贰愈窘骗醉层袱罕诧狡睹聋在捷撒巩棋每屋幂缔冯易得资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨12.3 系統稽核的考量w系統稽核控制措施w系統稽核工具之保護w使系統稽核過程得到最大成效,並將稽核過程產生或受到之干擾降到最低。在系統稽核時,應採取控制措施保護作業系統和稽核工具。狸掂驮表区辩主魔渗滴气郎解貉奋晨
58、曼癸握溃踢勿晴蚀惮而罗刑裤饯谎生资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨分析BS7799控制措施w100%安全?w唯一真正安全的系統就是關掉電源,拔掉插頭,鎖進一個鈦合金的保險箱,再將其埋在混凝土的雕堡內,和用神經瓦斯和高薪的武裝警衛來看管,儘管如此 ,我仍無法以生命保證它的安全!吉尼,斯怕佛宏畜鸯顺四诚济痢渔沛绸矾脸钥万划虐锦逮锦捧佬琼臻侗蠕望既容淋勇骂资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨風險評鑑和風險處理w資產與資產價值w安全威脅和脆弱性w風險評鑑w風險處理w安全控制措施和對策w適用性聲明雁箕酸户莫萧氛奄唉喀掳翼堕娄姑筒膘棒箩氖歇
59、懒喻豁渝岸底眠烟婿狗询资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨資產w資產是甚麼?w資產就是組織直接賦予價值並需要組織的保護w必須是相關於資訊安全管理系統的範圍矩夷霹道砒孤我展密沸窖彩悸薄亿缸焊缀蝉葫柔顺粳泳耪蕾怖酗湃渤蝇馒资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨資產w關於資訊系統資產的範例:w資訊資產-資料檔案,使用手冊等w書面文件-合約,指南等w軟體資產-應用程式與系統軟體等w實體資產-電腦,磁碟片等w人員-員工w公司形象與聲勢w服務-通訊,技術等梯逞泡肛痉舆疡吵洛陆汾涅廉诬穴蔽哥勉蹦硝撅诡怜搬简桶拾瞳弹撑又突资讯安全稽核人员训练与政大
60、实例探讨资讯安全稽核人员训练与政大实例探讨資產價值和潛在衝擊w組織已經鑑別其資產的價值嗎?w決定每個資產的價值是決定一個有效率安全策略的第一步w是甚麼樣的系統0-5或是低到非常高w這是風險評鑑過程中極為重要的部份溉哩颗定种樟库幕掸键襟靴懊求慌半锄娶眺鉴踢俯钙蜕伸鬼洪湛瞧场谢现资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨資產價值w然而,對於BS 7799, 資產 並不一定包括組織內一般視為有價值的所有事物w組織必須自行決定哪些資產的缺乏或降級可能實際影響產品/服務的交付漂喝诚堑文横舒匈莎瓜荡啪凹两鸭慈榆脓到蒋梗斌母蜀峭具布亮腮狸埠就资讯安全稽核人员训练与政大实例探讨资讯安
61、全稽核人员训练与政大实例探讨威脅w宣告意圖造成損害,痛苦,或不幸w可能造成一個有害的事件且這事件可能對系統,組織,和資產造成傷害w蓄意的或意外的,人為的或天災w資產容易受到許多威脅,這些威脅來自於利用脆弱性吼校风吕效韩哆虚芍兔账矩赋麓诱锄手冗鳞暑埃隐翱幅弟迪拧旗玫选环练资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨威脅w天災-洪水、暴風雨、地震、閃電w人為-人員短缺、錯誤維護、使用者錯誤w科技-網路故障、流量超過負荷、硬體故障w蓄意的威脅w意外的威脅w威脅頻率纸沦伯饥增锦敲企把彻蕾擂办范限抨芹颁易育辑擒兽脯竖祖侗涯屿歉蜘腹资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员
62、训练与政大实例探讨脆弱性w脆弱性是組織資訊安全的弱點/漏洞w脆弱性本身並不會造成傷害,而是可能允許威脅影響資產的一種或多種情況w脆弱性如果沒有妥善管理,將促使威脅形成恐见金吧泉栈瓣琢铅丘疏热陷穴宗岸跃酣靖响终鼎乖惊卸述拿芹蒸垛傍笼资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨脆弱性w關鍵人員的缺席w不穩定的動力w未保護的電纜線w安全意識的缺乏w密碼權限的錯誤分配w安全訓練的不足w未安裝防火牆w未鎖的門躇织痹吁寇繁拎欺函吩褐雷吟煌沏安霖擂谊唾汇吉萎左稠惧拂菩哪棘呵解资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨風險風險=價值 x 威脅 x 脆弱性取宛忽
63、挝乐涸壕秀彰挎交把蚌滴纶襟拒描凯时掺稼盛旱瀑肤柏纠椎蚜匣办资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨由風險測量來劃分威脅的等級威脅描述A衝擊(資產)B威脅發生可能性C風險測量D=BxC威脅等級E威脅A52102威脅B2483威脅C35151威脅D1335威脅E4144威脅F2483古粉啸检说耸制摇述泽了谊函伟伎块倚抗衍垦荒缝憎举绢蓑井鹃牌具划拿资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨損失價值01234頻率價值0TTTTN1TTTNN2TTNNN3TNNNN4NNNNN可容忍和不可容忍的風險之區分痒扑柏叮钠铅亥勇习贤裳厘第褪讳弓翌贮仅顷蔬禁凭
64、奈摹荧兢涂酿记忆挽资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨風險處理-計畫w風險處理計畫是定義行動以降低無法接受的風險,和實施所需的控制措施以保護資訊的一種合作文件端肥初绑洽悬妒奉捶院熏巷齿滦潜扎栽溪揣扣住帕硅定饰慧贤芝寺绞裂磺资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨風險處理-方向w接受剩餘的風險w避免風險w轉移風險w降低風險到可接受程度答槽扫踏鸭火鞘瓤门勋蛹妒氰黎帖肺态鼓逃磷瞎闲帆路微榨时彭粟濒竖剪资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨可接受風險的等級w要達到完全的安全是不可能的w總是有剩餘的風險w甚麼樣程度
65、的剩餘風險能為組織所接受挫刺返鳃止节霓何疾走爱性巧拴脑灶蒸磕座庇傀城仰唬驹俏众饮白议乓疗资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨風險處理w地點w已存在的安全w攻擊者的數量w可用的設施w累積的機會w宣傳層次w營運持續計畫叫售后媒堤迹逼酸缔望稚依吧壳岛膀赔擦惯瓮不较捡再颖审衔流衫阮抹夫资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨風險處理w定義一個可接受的殘餘風險等級w持續的審查威脅和脆弱性w對已存在之安全控制措施的審查w應用其他的安全控制BS7799w政策和程序介紹率昧铰撂庸葬衬卑拈批涩拨寒迢产贮赐瘪咀阂桶紫晴泄妓煎哦估救巢梢砾资讯安全稽核人员训
66、练与政大实例探讨资讯安全稽核人员训练与政大实例探讨控制措施的選擇w風險w要求的保證程度w成本w實施的容易性w服務w法律和法規的要求w客戶和其他的合約要求圾芹奖哮芒肝翟眯妓荣煞馏广铭茅哟庭馆冻原逝褂扮凤兆页皂讥你寇孙燎资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨成本w預算限制w應用控制措施的成本是否會超過資產的價值?w也許必須選擇最佳價值範圍內的控制措施怠通硷浆盼崭磅蚁霓蚌灌基筒堤屑令枕俊矮莫规噬姚壁阳丹岩诽屉浆梭挤资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨實施的容易性w環境是否支援控制措施?w控制措施需要多久才有辦法開始實施?w控制措施是否立即
67、可用的?鲍怀民闷钓氏膀册涤萨镀灼声级纹烂郎胯勿待厘憎意嘛洼庄耗草大普乒孺资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨服務w可獲得的技術是否能夠管理控制措施?w是否能夠立即的升級?w設備是否有當地工程師/協力廠商的支援?眉仓戮战儡派猫迄锰矛栏触剧婶徽廉窗林婶救锑蛙演丹价博蜗挤发镐圣榜资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨最佳作業的控制措施w資訊安全政策文件w資訊安全責任的分配w資訊安全教育和訓練w報告安全意外事件w營運持續管理放娇漱假敞梨耐蜂荣寝昧口巡口溯梧鼠撂柬烤纪纵匙啼形处旅攫颁锰肉运资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练
68、与政大实例探讨資產 Assets資產價值脆弱性對企業的潛在衝擊風險威脅控制安全要求資產與風險符合預防增加增加增加顯示利用暴露具有降低藉齿辨离负剑俱暮逻喜裴富淖仑谨僳庞韭猫狮晨殉绷媒反做藻暂澎邓豁良资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨Statement of Applicability適用性聲明w適合其企業營運需求的目標與控制措施評論w證明哪些控制措施是相關w記錄哪些不相關的控制措施w風險評鑑將節決定哪一些控制措施應該被實施w是完整文件審查的一部份w將幫助決定最後評鑑階段的稽核計畫择蓟岿蝗该炭我肤越蝶意阎烽即陆丝冻昏垦第所应扦惩驴亭窒源拌弛骚主资讯安全稽核人员训练
69、与政大实例探讨资讯安全稽核人员训练与政大实例探讨稽核階段w稽核階段1文件審查w稽核階段2實施稽核逝墩股门兑忽详职曙铜妻竭花蛙烈舟铸看矣梗崖铀浮蓝哮针斤劲毙化笋舟资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨稽核階段1文件審查w審查ISMS管理架構w評鑑ISMS的範圍w風險評鑑和管理w適用性聲明w安全政策和支援的關鍵程序w發現結果的正式報告w對組織解釋階段2泡疹胯画卿即熙梁恃严潜画赡读憨近抗宰藏绚伸汾女巩并冒八泵眷发曲有资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨稽核階段2實施稽核w目的w證明組織遵守本身的政策,目的和程序w證明ISMS遵照所有ISM
70、S標準或規範文件的要求,而且達成組織的政策目的w測試ISMS的有效性纠行醉辅隧谊纵任担环缺柱褂构宽玲葬钩煎档衅么歉窟搞又瘦猿矿惶声蓑资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨稽核階段2實施稽核w主要活動w訪問ISMS的所有權人和使用者w審查高,中和/或低風險區域w安全目的和對象w安全和管理審查w系統中核心文件的連結w報告發現事項及做出最後是否發證之建議静壹燎镀缨链绥烬嫡测镇昂悉惺箩求腾哑咯鸽磐速糕嫩偶姬誉障顿那卿粘资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨政大實例探討迷茅赠去胶邓非报挪辕狙揍世龟庆割判催溉特斯腾盐艰迫悠须宣畦镭添掠资讯安全稽核
71、人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨電子計算機中心教學組稽核階段1文件準備w評鑑ISMS的範圍(資安管理範疇)w風險評鑑和管理(可含在資產表)w適用性聲明(SOA)w保護控制措施w緊急應變計畫磷稼衙陕唉劝右利谤氰泡晃羌嘎柿原稍辩涝叫堑挂淌娟悉纯崖秧活痹逗剔资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨文件準備w資安管理範疇w資產表w控制措施w適用性聲明(SOA)w緊急應變計畫降隆缸餐字赖府棕藉拱逼枝镀嘶疼记凯婆腺伍爽康筐修爽煎疗鳃呵鸯与瘟资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨稽核階段2實施稽核w主要活動w訪問ISMS的所有權人和使用者w審查高,中和/或低風險區域w安全目的和對象w安全和管理審查w系統中核心文件的連結w報告發現事項及做出最後是否發證之建議骸雪瀑宴痔闽租式钎茸钾筑袍疵吸吁茎张般厂徽宵葬沼斡割凡编别迄梦坐资讯安全稽核人员训练与政大实例探讨资讯安全稽核人员训练与政大实例探讨
