《资讯安全稽核人员训练与政大实例探讨》由会员分享,可在线阅读,更多相关《资讯安全稽核人员训练与政大实例探讨(127页珍藏版)》请在金锄头文库上搜索。
1、资讯安全稽核人员训资讯安全稽核人员训练与政大实例探讨练与政大实例探讨ISMS演進歷史19951998率先由英國貿易工業部進行專案英國公佈BS 7799 第一部份 (Part 1)瑞典成立LIS 專案英國公佈BS 7799 第二部份 (Part 2)瑞典標準 SS 62 77 99 Part 1 & 2 發行1999新版英國標準 BS 7799 Part 1 & 2發行提交ISO組織討論(ISO DIS 17799)2000挪威成立7799 BD 專案(2001年正式發行)1993紅皮書:可信任的網路描述指南; 橘皮書: 可信任的設施管理指南1990世界經濟開發組織(OECD);資訊系統安全指導
2、方針(1992/11/26)12月正式成為ISO 17799標準 2000.12.19月正式公佈BS 7799-2: 20022002OECD指導方針修訂 改版ISO 17799:2005 2005-6-15 2005發行ISO 27001:2005 2005-10-15ISO/IEC 27001:2005 consists of two parts wISO/IEC 27001:2005 (previously BS 7799) is an international standard that provides specifications and guidance for the est
3、ablishment and proper maintenance of an ISMSwISO/IEC 17799:2005 (Part 1) is a code of practice wOECD (Organization for Economic Cooperation and Development) guidelines governing the security of information systems and networks. ISO/IEC 27001:2005w原為英國標準BS7799-2中的規定加以闡明並加強,更新的主要區域在風險評鑑、契約責任、範圍、管理決策,以
4、及評量其所選擇控制措施之有效性,雖然大部份的變更與現今的要求並無差別,但此變更對客戶的最大影響是在於要求其對所選擇之控制措施之有效性作評量。行政院95年度ISMS稽核重點w委外/第三方資安要求稽核重點w風險管理及資產管理w資訊標示與處理w人員異動存取權限移除查核w安全區域管制w資訊備份及防毒作業w資訊交換/可攜式媒體管理w存取政策及管制方式w資安事故通報及處理w營運持續管理實務w技術性脆弱點審查及弱點掃瞄資訊安全管理系統綱要 w何謂資訊安全 wBS7799資訊安全管理規範介紹 w資訊安全系統導入、管控與稽核 何謂資訊安全?w資訊對組織而言就是一種資產,和其它重要的營運資產一樣有價值,因此需要持
5、續給予妥善保護。資訊安全可保護資訊不受各種威脅,確保持續營運、將營運損失降到最低、得到最豐厚的投資報酬率及商機。資訊存在的方式w列印或書面表示w電子方式儲存w郵寄或是電子郵件傳送w影片播放或以口頭說明w無論資訊的形式為何,何種方式與他人共享或儲存,都應以適當的方式加以保護為維護資訊安全BS ISO 17799:2000 定義wa)機密性(confidentiality):確保只有經授權(authorized)的人才能存取資訊。wb)完整性(integrity):保護資訊與處理方法的正確性與完整性。wc)可用性(availability):確保經授權的使用者在需要時可以取得資訊及相關資產。如何執
6、行資訊安全?w要達到資訊安全就必須實施適當的控制措施,譬如資訊安全政策、實務規範(practice)、程序、組織架構及軟體功能,為了達成營運既定的安全目標,就必須建立這些控制措施。組織的資訊安全成功因素wa)能反映營運目標的安全政策、目標及活動。wb)與組織文化一致之實施安全保護的方法。wc)來自管理階層的實際支持和承諾。wd)對安全要求、風險評鑑以及風險管理的深入理解。we)向全體管理人員和雇員有效推廣安全的理念。wf)向所有雇員和承包商宣傳資訊安全政策的指導原則和標準。wg)提供適切的訓練和教育。wh)一個全面與平衡的量測系統,用於評估資訊安全管理的績效及回饋建議,以便進一步改進。什麼是
7、BS7799?wBS 7799-2:2002是資訊安全管理系統要求的標準。它可以幫助公司鑑別,管理和減少資訊通常所面臨的各種威脅。wBS ISO 17799:2000資訊安全管理作業要點BS ISO 17799w資訊安全管理作業要點w用意是作為參考文件w提供廣泛性的安全控制措施w現行資訊安全之最佳作業方法w包含10個控制措施章節w無法作為評鑑與驗證BS 7799-2:2002w資訊安全管理系統要求w資訊安全管理系統(ISMS) 之建立實施與書面化之具體要求w依個別組織的需求,規定要實施之安全控制措施的要求BS7799的作業要點w安全政策-為資訊安全提供管理指導和支援。w組織安全-在公司內管理資
8、訊安全。w資產分類與管理-對公司的資訊資產採取適當的保護措施。w人員安全-減少人為錯誤、偷竊、詐欺或濫用資訊及處理設施的風險。w實體和環境安全-防止對營運場所及資訊未經授權的存取、損壞及干擾。w通訊與作業管理-確保資訊處理設施正確和安全運行。w存取控制-管理對資訊的存取行為。w系統開發和維護-確保資訊系統已建置安全機制。w營運持續管理-防治營運活動的中斷,保護中要營運過程不受重大故障或災害的影響。w符合性-避免違反所有刑、民法、行政命令、管理規定或合約義務及所有安全要求。資訊安全管理系統之建立一般要求wPolicy and Objectives (政策與目標)wDevelop, Impleme
9、nt, Maintain and Continually Improve (開發,實施,維護及持續改善)。wPDCA (計畫,執行,檢查,行動)PDCA利害相關團體資訊安全要求及期望建立ISMS實施與操作 維持及改進監控與審查ISMS利害相關團體管理式資訊安全計畫執行檢查行動w開發、實施w維護及持續改善(BS 7799-2:2002)資訊安全管理系統之建立及管理(ISMS)w資訊安全管理系統之建立w資訊安全管理系統之實施及運作w資訊安全管理系統之監控與審查w資訊安全管理系統之維護與改善資訊安全管理系統之建立w組織應:w依據業務、組織、所在位置、資產及技術等特性,定義資訊安全管理系統之範圍及定義
10、資訊安全管理系統之政策。w定義風險評鑑之系統化方法w鑑別各項風險w評鑑各項風險w鑑別並評估風險處理之選項作法w選擇控制目標及控制措施以處理風險w擬定一份適用性聲明書安全管理系統之範圍及政策w1)包含設定目標之框架,並建立有關資訊安全之整體方向意識與行動原則。w2)考慮企業及法律或法規要求,以及合約性的安全責任。w3)建立策略性、組織性及風險管理之內容,使其資訊安全管理系統得以建立及維持。w4)藉以評估風險之標準應加以建立,風險評鑑之架構應加以定義。w5)被管理階層核准。定義風險評鑑之系統化方法w鑑別一風險評鑑方法,並適合其資訊安全管理系統、已鑑別之企業資訊安全、以及法律與法規要求。設定資訊安全
11、管理系統之政策與目標,以降低風險至可接受程度。決定風險可接受之標準以及鑑別風險至可接受的程度。鑑別各項風險w1)鑑別資訊安全管理系統控制範圍內之資產以及該等資產之擁有者。w2)鑑別這些資產所受威脅。w3)鑑別這些威脅可能利用之脆弱性(vulnerabilities)。w4)鑑別這些資產若喪失機密性、完整性與可用性之各項衝擊。評鑑各項風險w1)安全措施失效時可能對企業之傷害應加以評鑑,並將喪失機密性、完整性與可用性可能導致之後果列入考慮。w2)根據與這些資產有關之主要威脅、弱點與衝擊,評鑑這種失效實際發生的可能性及現行所實施的控制措施。w3)預測各風險之層級。w4)決定風險是否可接受或需利用項所
12、建立之標準來處理。鑑別並評估風險處理之選項作法w1)採用適當的控制措施。w2)若風險完全地滿足組織政策及可接受風險(參閱第4.2.1(c)節)之標準,則可在掌握狀況下客觀地接受該等風險。w3)迴避風險。w4)將相關之企業風險轉移至其他機構,如保險公司、供應商。選擇控制目標及控制措施以處理風險w適當的管制目標與控制措施應於本標準之附錄A中加以選擇,選擇時應依據風險評鑑與風險處理過程之結論為基礎加以判定。擬定一份適用性聲明書w由4.2.1(g)節所選擇之管制目標與控制措施其選擇之理由應於適用性聲明書中加以文件化。附錄A中任何排除之管制目標與控制措施亦應加以紀錄。資訊安全管理系統之實施及運作w(a)
13、有系統的陳述一項風險處理計畫以鑑別適當管理措施、權責及優先順序,以便管理資訊安全風險。w(b)實施風險處理計畫,以達到所鑑別的安全目標,計畫內容包括投資的考慮以及角色與責任的分派。w(c)實施所選之控制措施以符合管制目標。w(d)實施訓練與認知計畫。w(e)作業管理。w(f)管理資源。w(g)實施能加速偵知安全事件並予以回應處理之作業程序及其他控制措施。資訊安全管理系統之監控與審查w(a)執行監控程序及其他控制措施,以便:w(1)立即偵知系統處理結果之錯誤。w(2)立即鑑別安全系統失效及遭他人破壞成功之事件。w(3)促使管理階層決定是否委託他人或藉由資訊技術之實施均已如預期般實行。w(4)決定
14、採取哪些措施解決安全漏洞,以反應業務優先順序。w(b)定期審查資訊安全管理系統之有效性(包含符合安全政策、目標及控制措施之審查),並考慮來自安全稽核、事件、股東及利害關係團體之建議及回饋之結果。w(c)審查殘餘風險(residualrisk)與可接受風險(acceptablerisk)等級,並考慮下數之變化:w(1)組織。w(2)技術。w(3)企業目標及過程。w(4)已鑑別之威脅。w(5)外部事件,例如法令或法規環境之變化以及社會環境之變化。w(d)已規劃之期間執行資訊安全管理系統內部稽核。w(e)定期執行資訊安全管理系統管理階層審查(至少每年一次),以確保範圍保持適當,及資訊安全管理系統過程
15、之各項改進均已鑑別。w(f)紀錄對資訊安全管理系統有效性或績效有衝擊之活動與事件。資訊安全管理系統之維護與改善w(a)實施資訊安全管理系統所鑑定之改進活動。w(b)依據第7.2及7.3節採取適當矯正及預防措施。採用從其他組織及本身之安全經驗吸取教訓。w(c)與所有利害相關團體就結果及各項措施進行溝通並取得同意。w(d)確保各項改進措施達到預期目標。文件要求(一般要求)w(a)安全政策與安全目標之書面聲明。w(b)資訊安全管理系統之範圍及支援資訊安全管理系統之各程序及控制措施。w(c)風險評鑑報告。w(d)風險處理計畫。w(e)組織為確保有效規劃、操作與控制資訊安全過程所需之書面程序。w(f)本
16、標準要求之各紀錄。w(g)適用性聲明書。w所有文件應依據資訊安全管理系統之政策要求隨時可供取用。w備考1:本標準所言之書面程序係指已建立、文件化、實施及維持的程序。w備考2:每個組織可能有不同之資訊安全管理系統文件化,因為:-組織規模及其活動型式。-安全要求及系統管理之範圍與複雜程度。w備考3:文件及紀錄可為任何形式或型態之媒介物。文件要求(文件管制)w(a)在文件發行前核准其適切性。w(b)必要時,審查與更新並重新核准文件。w(c)確保文件之變更與最新改訂狀況已予以鑑別。w(d)確保在使用場所備妥適用文件之最新版本。w(e)確保文件保持易於閱讀並容易識別。文件要求(文件管制)w(f)確保外來
17、原始文件已加以鑑別。w(g)確保文件分發已管制。w(h)防止失效文件被誤用。w(i)過期文件為任何目的需保留時,應予以適當鑑別。文件要求(紀錄管制)w為提供資訊安全管理系統符合要求及有效運作之證據,所建立並維持之紀錄,應予以管制。資訊安全管理系統應將各國法律要求列入考量。w紀錄應清晰易讀,容易識別及檢索。為了紀錄之鑑別、儲存、保護、檢索、保存期限及報廢,應建立文件化程序,以界定所需之管制。w所需之紀錄及其範圍應由管理過程加以決定。管理階層責任w管理階層承諾:w管理階層應藉由下列各項,對資訊安全管理系統之建立、實施、操作、監控、審查、維持與改進之承諾提供證據:w(a)建立一份資訊安全政策。w(b
18、)確保建立各項資訊安全目標及計畫。w(c)為資訊安全建立角色與權責。Lets Take a breakThe following not relate with ISMSJust for fun管理階層責任w(d)向全組織傳達符合資訊安全目標、遵守資訊安全政策、在法律下要求之權責,以及持續改進之需求。w(e)決定可接受風險之等級。w(f)提供充分資源以開發、實施、操作及維持資訊安全管理系統。w(g)執行資訊安全管理系統之管理階層審查。管理階層責任(資源提供)w(a)建立、執行、操作及維護資訊安全管理系統。w(b)確保各資訊安全程序可支援企業需求。w(c)鑑別並提出法律與法規的要求以及合約上之安
19、全義務。w(d)正確應用所有實施的控制措施,以維持適當之安全。w(e)當必要時,進行審查並針對審查結果作適當因應。w(f)當需要時,改進資訊安全管理系統之有效性。管理階層責任(訓練、認知及能力)w(a)決定執行影響資訊安全管理系統工作之人員其所需之能力。w(b)提供能力訓練,必要時僱用具備能力之人員,以滿足該需求。w(c)評估所提供訓練及所採措施之有效性。w(d)維持教育、訓練、技巧、經驗及資格之紀錄。管理階層審查w概述w管理階層應在規劃之期間內,審查組織的資訊安全管理系統,以確保其持續的適用性、適切性及有效性。審查應包括改進時機之評估,以及資訊安全管理系統變更之需求,含資訊安全政策與安全目標
20、。審查結果應予清楚的文件化,紀錄應予維持。管理階層審查w審查輸入w(a)資訊安全管理系統稽核與審查之結果。w(b)來自利害相關團體之回饋。w(c)可用以改進組織資訊安全管理系統績效及有效性之技術、產品或程序。w(d)預防與矯正措施之狀況。w(e)先前風險評鑑未適切提出之脆弱性或威脅。w(f)先前管理階層審查之跟催措施。w(g)可能影響資訊安全管理系統之任何變更。w(h)改進之建議。管理階層審查w審查輸出w(a)資訊安全管理系統有效性之改進。w(b)為因應可能影響資訊安全管理系統之內部或外部事件,必要時,影響資訊安全之流程應予修訂,包括:w(1)營運需求。w(2)安全需求。w(3)影響既有營運需
21、求之營運過程。w(4)法令或法規要求。w(5)風險等級及/或風險可接受程度。w(c)資源需求。管理階層審查w稽核w組織應在規劃之期間內執行內部稽核,以決定資訊安全管理系統之管制目標、控制措施、各過程及程序是否:w(a)符合本標準及相關法令或法規之各項要求。w(b)符合所鑑別之資訊安全要求。w(c)有效地實施與維持。w(d)如預期的執行。資訊安全管理系統之改進w持續改進w組織應經由資訊安全政策、安全目標、稽核結果、事件監控之分析、矯正與預防措施以及管理階層審查之使用,以持續改進資訊安全管理系統之有效性。資訊安全管理系統之改進w矯正措施w(a)鑑別資訊安全管理系統實施及/或操作之不符合事項。w(b
22、)判定不符合事項之原因。w(c)評估措施之需求,以確保不符合事項不再發生。w(d)決定與實施所需之矯正措施。w(e)採取措施結果之紀錄。w(f)審查所採取之矯正措施。資訊安全管理系統之改進w預防措施w(a)鑑別潛在的不符合與其原因。w(b)決定並實施所需之預防措施。w(c)紀錄所採取措施之結果。w(d)審查所採用之預防措施。w(e)鑑別已變化之風險並確保焦點放在顯著變化之風險上,預防措施之優先順序應依據風險評鑑之結果加以決定。名詞與定義w風險分析(Riskanalysis):以有系統的方式使用資訊,進而辨識風險的來源,並加以估計。w風險評鑑(Riskassessment):風險分析與風險評估的
23、整體程序。w風險評估(Riskevalution):把所估計的風險與已知的風險標準作比較的整個程序,以便決定風險的重要性。w可接受之風險(Riskacceptance):決定接受某個風險。w風險管理(Riskmanagement):引導與控管組織有關風險的協調活動。w風險處理(Risktreatment):在選擇與實施修正風險的措施時,所用的處理過程。w適用性聲明(StatementofApplicability):根據風險評鑑與風險處理程序的結果與結論,描述與組織資訊安全管理系統有關且適用之控制目標及控制措施的文件。BS7799-2:2002wDetailed Controls Annex
24、Aw附錄A控制措施介紹3.1資訊安全政策w提供管理階層對資訊安全的指示及支持。w資訊安全政策文件:w(a)資訊安全、其整體目標及範圍的定義w(b)管理階層的意圖,以及對資訊安全目標及原則支持的一份聲明;w(c)簡要說明安全政策、原則、標準以及符合性要求(對組織的特別重要性),例如:w(1)符合法令和合約的要求;w(2)安全教育要求;w(3)防止並檢測電腦病毒和其他惡意軟體;w(4)營運持續管理;w(5)違反安全政策的後果;w(d)確定資訊安全管理的一般責任和特定責任,包括通報安全事件;w(e)支援政策的文件索引,例如針對特定資訊系統的詳盡安全政策和程序,或使用者應該遵守的安全規則。w審查與評估
25、:4.1資訊安全基礎架構w管理階層資訊安全會報w資訊安全協調工作w資訊安全責任的配置w資訊處理設施的授權作業w資訊安全專家的建議w組織間的合作w獨立的資訊安全審查4.2第三方存取之安全w為維護組織內的資訊處理設施和資訊資產被第三方存取時的安全。w鑑別第三方存取風險 第三方存取組織的資訊處理設施應加以管制。如果讓第三方存取為營運要求,應執行風險評鑑,以決定所涉及的安全問題和控制要求。在合約中應與第三方就控制措施達成協議,並加以界定。w第三方合約中之安全要求 在安排第三方對組織資訊處理設施的存取時,應該以正式的契約為基礎,內容應包含或提及所有的安全要求,以確保能符合組的安全政策及標準。該合約應確保
26、組織和第三方之間沒有任何歧義。組織應該要擬定自己能接受的供應商賠償條款。4.3委外作業w資訊處理的責任委託其他組織負責時,能維護資訊的安全。在雙方的合約中,委外協定應處理資訊系統、網路或桌上電腦環境的風險、安全控制措施以及程序。5.1資產可歸責性(accountability)w資產清冊 Inventory of assetsw對組織的資產維持適切的保護。w所有主要的資訊資產應有人負責,並指定資產的所有人。w資產的可歸責性有助於確保適當的保護,應確定所有主要資產的所有人,並分配維護該資產適切控制措施的責任,實施控制措施的責任可以授權,但該資產的責任仍應由原來指定的所有人負責。5.2資訊分級w資
27、訊分級指引w資訊標示與處理w確保證資訊資產受到適當等級的保護。w資訊應加以要分級,以指明所需要的保護措施,及保護措施的優先順序和程度。w資訊的敏感程度和重要程度各不相同,有些資訊需要加強保護等級或特殊處理,應該使用資訊分級系統界定合適的保護等級,並解釋所需的特殊處理方式。6.1人員安全w工作說明及資源分配的安全 降低因人為錯誤、竊盜、詐欺或誤用設施所造成的風險。安全責任應該在招募人才階段之合約中就要提出並在雇用期間進行監督。w將安全列入工作職掌中w人員篩選及政策w保密協議w雇用條件與限制6.2使用者訓練w應訓練使用者各項安全程序和正確使用資訊處理設施,以降低可能的安全風險。w資訊安全教育與訓練
28、w組織所有員工以及相關的第三方使用者,皆應就組織的政策和程序以及其最新修訂內容接受適當訓練,此包括安全要求、法律責任和營運控制措施,以及資訊處理設施的正確使用之訓練,例如在賦予存取資訊或服務前,登入程序、套裝軟體的使用等等。6.3安全及失效事件的反應處理w通報安全事件w通報安全弱點w通報軟體失效w從事件中學習w懲罰處理7.1安全區域w避免營運場所及資訊遭未經授權之存取、損害及干擾。w實體安全邊界w實體進入控制措施w辦公處所及設施之保護w在安全區域內工作w隔離的收發與裝卸區7.2設備安全w設備安置及保護w電源供應w纜線的安全w設備維護w場外設備之安全w設備之安全報廢或再使用的安全防護7.3一般控
29、制措施w避免資訊與資訊處理設施受危害或遭竊w桌面淨空與螢幕淨空政策w財產攜出8.1作業程序與責任w作業程序文件化w操作變更之控制w事件管理程序w職責區隔w分隔開發與作業設施w外部設施的管理8.2系統規劃與驗收w容量規劃w系統驗收w降低系統失效的風險。必須預先規劃和準備,以確保有足夠的容量和資源。應預測未來的容量要求,以降低系統超載的風險。w驗收及使用新系統之前,作業要求應加以建立文件化及測試。8.3惡意軟體的防範w對抗惡意軟體的控制措施w需要採取預防措施以便避免並偵測惡意軟體的入侵。軟體與資訊處理設施易受惡意軟體侵入,例如電腦病毒、網路蠕蟲、特洛伊木馬(另參閱10.5.4節)和邏輯炸彈。應讓使
30、用者瞭解未授權軟體或惡意軟體的危險;管理員應在適當場合導入特殊的控制措施來偵測或預防這些軟體的侵入。特別是,採取預防措施,以偵測及預防個人電腦上的電腦病毒是重要的。8.4日常事務處理w資料備份w操作員日誌w錯誤事件登錄8.5網路管理w網路控制措施w確保網路內資訊之安全,並保護支援之基礎設施。可能超越組織邊界的網路,其安全管理需注意。可能需要額外的控制措施以保護透過公共網路傳送的敏感資料。8.6媒體的處理與安全w可攜式電腦媒體 管理w媒體之報廢w資訊處理程序w系統文件之安全w應建立適當的作業程序以保護文件、電腦媒體(磁帶、磁片和錄音帶)、輸入與輸出資料和系統文件,避免損壞、竊盜及未授權存取。8.
31、7資訊及軟體的交換w資訊與軟體交換協議w媒體運送之安全w電子商務安全w電子郵件安全w電子化辦公系統之安全w公共系統w其它資訊交換形式9.1存取控制的營運要求w存取控制政策w應根據營運和安全要求基礎,加以控制資訊存取與營運處理,應考慮資訊傳遞和授權的政策。9.2使用者存取管理w使用者註冊w特權管理w使用者通行碼管理w使用者存取權限審查9.3使用者責任w通行碼之使用w無人看管之資訊設備w授權使用者的合作對有效的安全是重要的。應讓使用者瞭解自己對維護有效存取控制措施的責任,特別是有關通行碼的使用以及使用者設備的安全。9.4網路存取控制措施w使用網路服務的政策w強制存取路徑w外部連線之使用者身份鑑別w
32、節點鑑別w遠端診斷埠保護w網路區隔w網路連線控管w網路路由控管w網路服務之安全9.5作業系統存取控制措施w自動終端機識別功能w終端機登入流程w使用者識別和身份鑑別w通行碼管理系統w系統公用程式之使用w保護使用者的反脅迫警報器w終端機自動關機時間w連線時間的限制9.6應用系統之存取控制w資訊存取限制w敏感性系統的隔離w防止資訊系統中的資訊遭未經授權存取,應在應用系統中使用安全設施限制存取行為。9.7監控系統之存取與使用w事件記錄w監控系統之使用w時鐘同步w偵測未經授權的活動。系統應予監視以偵策違反存取控制政策的情形,並記錄可監視的事件,以便出現安全事件時提供證據之用。Lets Take a br
33、eakThe following not relate with ISMSJust for fun part 1Lets Take a breakThe following not relate with ISMSJust for fun part 29.8行動式電腦作業與遠距工作w行動式電腦作業w遠距工作w必要的保護措施應與特定工作方式產生的風險一致,使用行動式電腦作業時應考慮在無保護的環境中工作之風險,以及採取的適切保護措施。在遠距工作的情形下,組織應對遠距工作場所採取保護措施,並確保已經為該工作方式備妥適當的安排。系統開發及維護-10.1系統之安全要求w安全要求分析及規格w包括基礎建設、
34、營運應用程式和使用者開發的應用程式,支援應用或服務的營運作業之設計和實施,是安全的關鍵。開發資訊系統前就應確認安全的要求,並獲同意。10.2應用系統之安全w輸入資料之確認w內部處理之控制w訊息鑑別w輸出資料之確認w預防應用系統中的使用者資料遺失、遭修改或誤用。10.3密碼控制措施w使用密碼學控制措施之政策w加密w數位簽章w不可否認服務w金鑰管理10.4系統檔案之安全w作業系統軟體之控制w系統測試資料之保護w原始程式庫之存取控制w確保資訊技術專案及支援活動以安全的方式執行,存取系統檔案的行為應予控制。維護系統完整性應是應用系統或軟體所屬之使用者部門或開發小組的責任。10.5開發及支援作業的安全w
35、變更管制程序w作業系統變更的技術審查w套裝軟體變更之限制w隱密通道與特洛伊木馬程式w軟體開發委外w負責應用系統的管理員還應負責專案或支援環境的安全,他們應確保所有的系統變更提案都經過審查,以檢查是否會破壞系統或操作環境的安全性。11.1營運持續管理之考量面w營運持續管理過程w營運持續及衝擊分析w持續計畫之撰寫及實施w營運持續管規劃框架w營運持續計畫之測試、維護及重新評鑑w防治營運活動的中斷,保護重要營運過程不受重大故障或災難的影響。12.1遵守法規要求w適用法令之鑑別w智慧財產權w組織記錄之保護w個人資訊的資料保護及隱私w預防資訊處理設施之不當使用w密碼學控制措施的規定w蒐證12.2安全政策及
36、技術的符合性之審查w安全政策之符合性w技術符合性的檢查w確保系統符合組織的安全政策及標準。12.3系統稽核的考量w系統稽核控制措施w系統稽核工具之保護w使系統稽核過程得到最大成效,並將稽核過程產生或受到之干擾降到最低。在系統稽核時,應採取控制措施保護作業系統和稽核工具。分析BS7799控制措施w100%安全?w唯一真正安全的系統就是關掉電源,拔掉插頭,鎖進一個鈦合金的保險箱,再將其埋在混凝土的雕堡內,和用神經瓦斯和高薪的武裝警衛來看管,儘管如此,我仍無法以生命保證它的安全!吉尼,斯怕佛風險評鑑和風險處理w資產與資產價值w安全威脅和脆弱性w風險評鑑w風險處理w安全控制措施和對策w適用性聲明資產w
37、資產是甚麼?w資產就是組織直接賦予價值並需要組織的保護w必須是相關於資訊安全管理系統的範圍資產w關於資訊系統資產的範例:w資訊資產-資料檔案,使用手冊等w書面文件-合約,指南等w軟體資產-應用程式與系統軟體等w實體資產-電腦,磁碟片等w人員-員工w公司形象與聲勢w服務-通訊,技術等資產價值和潛在衝擊w組織已經鑑別其資產的價值嗎?w決定每個資產的價值是決定一個有效率安全策略的第一步w是甚麼樣的系統0-5或是低到非常高w這是風險評鑑過程中極為重要的部份資產價值w然而,對於BS 7799, 資產 並不一定包括組織內一般視為有價值的所有事物w組織必須自行決定哪些資產的缺乏或降級可能實際影響產品/服務的
38、交付威脅w宣告意圖造成損害,痛苦,或不幸w可能造成一個有害的事件且這事件可能對系統,組織,和資產造成傷害w蓄意的或意外的,人為的或天災w資產容易受到許多威脅,這些威脅來自於利用脆弱性威脅w天災-洪水、暴風雨、地震、閃電w人為-人員短缺、錯誤維護、使用者錯誤w科技-網路故障、流量超過負荷、硬體故障w蓄意的威脅w意外的威脅w威脅頻率脆弱性w脆弱性是組織資訊安全的弱點/漏洞w脆弱性本身並不會造成傷害,而是可能允許威脅影響資產的一種或多種情況w脆弱性如果沒有妥善管理,將促使威脅形成脆弱性w關鍵人員的缺席w不穩定的動力w未保護的電纜線w安全意識的缺乏w密碼權限的錯誤分配w安全訓練的不足w未安裝防火牆w未
39、鎖的門風險風險=價值 x 威脅 x 脆弱性由風險測量來劃分威脅的等級威脅描述A衝擊(資產)B威脅發生可能性C風險測量D=BxC威脅等級E威脅A52102威脅B2483威脅C35151威脅D1335威脅E4144威脅F2483損失價值01234頻率價值0TTTTN1TTTNN2TTNNN3TNNNN4NNNNN可容忍和不可容忍的風險之區分風險處理-計畫w風險處理計畫是定義行動以降低無法接受的風險,和實施所需的控制措施以保護資訊的一種合作文件風險處理-方向w接受剩餘的風險w避免風險w轉移風險w降低風險到可接受程度可接受風險的等級w要達到完全的安全是不可能的w總是有剩餘的風險w甚麼樣程度的剩餘風險能
40、為組織所接受風險處理w地點w已存在的安全w攻擊者的數量w可用的設施w累積的機會w宣傳層次w營運持續計畫風險處理w定義一個可接受的殘餘風險等級w持續的審查威脅和脆弱性w對已存在之安全控制措施的審查w應用其他的安全控制BS7799w政策和程序介紹控制措施的選擇w風險w要求的保證程度w成本w實施的容易性w服務w法律和法規的要求w客戶和其他的合約要求成本w預算限制w應用控制措施的成本是否會超過資產的價值?w也許必須選擇最佳價值範圍內的控制措施實施的容易性w環境是否支援控制措施?w控制措施需要多久才有辦法開始實施?w控制措施是否立即可用的?服務w可獲得的技術是否能夠管理控制措施?w是否能夠立即的升級?w
41、設備是否有當地工程師/協力廠商的支援?最佳作業的控制措施w資訊安全政策文件w資訊安全責任的分配w資訊安全教育和訓練w報告安全意外事件w營運持續管理資產 Assets資產價值脆弱性對企業的潛在衝擊風險威脅控制安全要求資產與風險符合預防增加增加增加顯示利用暴露具有降低Statement of Applicability適用性聲明w適合其企業營運需求的目標與控制措施評論w證明哪些控制措施是相關w記錄哪些不相關的控制措施w風險評鑑將節決定哪一些控制措施應該被實施w是完整文件審查的一部份w將幫助決定最後評鑑階段的稽核計畫稽核階段w稽核階段1文件審查w稽核階段2實施稽核稽核階段1文件審查w審查ISMS管理
42、架構w評鑑ISMS的範圍w風險評鑑和管理w適用性聲明w安全政策和支援的關鍵程序w發現結果的正式報告w對組織解釋階段2稽核階段2實施稽核w目的w證明組織遵守本身的政策,目的和程序w證明ISMS遵照所有ISMS標準或規範文件的要求,而且達成組織的政策目的w測試ISMS的有效性稽核階段2實施稽核w主要活動w訪問ISMS的所有權人和使用者w審查高,中和/或低風險區域w安全目的和對象w安全和管理審查w系統中核心文件的連結w報告發現事項及做出最後是否發證之建議政大實例探討電子計算機中心教學組稽核階段1文件準備w評鑑ISMS的範圍(資安管理範疇)w風險評鑑和管理(可含在資產表)w適用性聲明(SOA)w保護控制措施w緊急應變計畫文件準備w資安管理範疇w資產表w控制措施w適用性聲明(SOA)w緊急應變計畫稽核階段2實施稽核w主要活動w訪問ISMS的所有權人和使用者w審查高,中和/或低風險區域w安全目的和對象w安全和管理審查w系統中核心文件的連結w報告發現事項及做出最後是否發證之建議
