《资讯安全管理概述19P》由会员分享,可在线阅读,更多相关《资讯安全管理概述19P(19页珍藏版)》请在金锄头文库上搜索。
1、 資訊安全資訊安全管理概述管理概述10-1 資訊安全管理歷史回顧資訊安全管理歷史回顧與現狀與現狀10-2 資訊安全的重要性資訊安全的重要性10-3 如何確保資訊安全如何確保資訊安全10-1資訊安全管理歷史回顧與現狀資訊安全管理歷史回顧與現狀uu完美的安全性根本不存在。在這個不確定的世界,任何事都可能發生,911 事件就是一項證明。從這些事件中,我們得到的教訓之一,就是:必須正視確實管理企業風險的需要。美國政府對 911 事件的反應之一,就是立刻採取新的立法及規章作為保護措施。 10-1-1 資訊安全管理歷史回顧資訊安全管理歷史回顧uu為建立虛擬世界之通資訊安全需求,近十年來先進國家政府正全面推
2、動之通資訊產品安全驗證、通資訊系統安全管理認證(稽核)與通資訊系統危機處理三大通資訊安全工作。uu1995年英國率先推出了BS7799資訊安全管理標準,並於2000年被國際標準化組織認可為國際標準ISO/IEC17799標準。10-1-2 資訊安全管理現狀資訊安全管理現狀 uu1988年11月,全世界第一個電腦緊急事件處理小組(Computer Emergency Reponse Team,,簡稱CERT)正式成立,各個先進國家之政府、民間、學術、工商團體亦紛紛成立CERT。為了加強國際間CERT的合作,1990年更成立了一個CERT的國際組織FIRST(Forum of Incident R
3、esponse and Security Teams),我國之台灣網路危機處理中心(Taiwan CERT,簡稱TWCERT)亦於1998年成立,提供通資訊安全信息共享等服務工作。 10-2 資訊安全的重要性資訊安全的重要性uu隨著電腦運用的普及與網際網路的蓬勃發展,已帶給人類急速而巨大的衝擊,也改變了人類生活模式。然而隨著資訊便利而來的則是令人擔憂的資訊安全問題,因此,我們必須做好資訊安全防護措施,唯有在確保資訊安全之前提下享受資訊便利,才是面對資訊世紀來臨的正確態度,進而迎接未來更大的挑戰與衝擊。 10-2-1 資訊安全的基本概念資訊安全的基本概念uu資訊安全(Information se
4、curity)是指資訊的保密性(Confidentiality)。完整性(Integrity)和可用性(Availability)的保持。 uu不同類型的資訊及資產在資訊安全的保密性、完整性及可用性方面所關注的重點各不相同。 10-2-2 資訊安全的重要性資訊安全的重要性uu 1資訊安全就是國家安全資訊安全就是國家安全 uu 2資訊安全是組織持續發展的需要資訊安全是組織持續發展的需要 uu 3資訊安全是保護個人隱私與財產的需要資訊安全是保護個人隱私與財產的需要 10-2-3 美國聯邦政府美國聯邦政府HIPAA 法案法案uuHIPAAHIPAA內容大致上可分為內容大致上可分為以以下四大類:下四大
5、類:o o管理程序管理程序(Administrative procedure) (Administrative procedure) o o實體防護實體防護(Physical safeguards) (Physical safeguards) o o技術安全服務技術安全服務(Technical security services) (Technical security services) o o技術安全機制技術安全機制(Technical security mechanisms)(Technical security mechanisms)10-2-4 網路犯罪網路犯罪uu網路犯罪是指利用網
6、路之特性,以網路及連結在網路上的電腦系統作為犯罪場所或作為犯罪客體的犯罪行為。 常見的網路犯罪型態 uu1.竊取電腦記錄uu2.散播電腦病毒uu3.網路販賣盜版光碟uu4.洩漏祕密uu5.拆閱他人電子文件uu6.網路色情uu7.網路恐嚇uu8.網路誹謗uu9.網路詐欺uu10.網路入侵10-2-5 組織資訊安全的要求組織資訊安全的要求uu企業組織在進行安全控制之前應清楚認識資訊安全要求,主要來自三個方面。 1法律法規與合約要求 2風險評估的結果 3企業的原則、目標與要求 10-3 如何確保資訊安全如何確保資訊安全uu資訊安全的目標是透過一整體規劃之解決方案來確保企業所有資訊系統與業務之安全與正
7、常運作。實務上,ISMS利用風險分析管理工具,結合企業資產列表、威脅來源的調查分析及系統安全弱點評估等結果,綜合評估影響企業整體的因素,以訂定適當的資訊安全政策與資訊安全作業準則來降低潛在的風險危機。 10-3-1 風險分析的安全管理方法風險分析的安全管理方法uu資訊安全管理利用風險分析管理工具,結合企業資產列表、威脅來源的調查分析及系統安全弱點評估等結果,綜合評估影響企業整體的因素,以訂定適當的資訊安全政策與資訊安全作業準則來降低潛在的風險危機。 1.傳統管理模式的弊端與技術工具傳統管理模式的弊端與技術工具的局限性的局限性 uu雖然許多企業組織對資訊安全做了大量的工作,但是傳統管理方式導致的
8、結果是不能從根本上避免、降低各類風險,也不能降低資訊安全故障導致的損失。uu資訊安全來自“三分技術,七分管理”,必須注重資訊安全管理。 2.資訊安全的起點資訊安全的起點 uu可以用基本的法律要求,作為實施資訊安全起點的指導原則。uu從法律角度來看一個組織的基本控制包括:知識產權保護、組織記錄保護、資料保護及個人隱私保護。uu對資訊安全最為常見的最佳控制慣例包括:資訊安全政策文件、資訊安全職責的劃分、資訊安全教育及培訓、報告安全事故和商務持續性管理。3資訊安全管理模型資訊安全管理模型uu1.Plan(策劃):根據風險評估、法律法規要求和組織之商務運作要求來確定控制目標與控制方式。uu2.Do(實
9、施):實施組織所選擇的控制目標與控制方式。uu3.Check(檢查):進行有關政策、程序、標準與法律法規的符合性檢查,對存在的問題採取措施予以改進。uu4.Action(行動):對政策與資訊安全管理體系進行評價,尋求改進的機會,採取行動措施。資訊安全管理PDCA持續改進模式 10-3-2 BS7799發展歷史與展望發展歷史與展望uuBS7799標準於1993年由英國貿易工業部提出,於1995年英國首次出版BS7799-l 。uu1998年英國公佈標準的第二部分BS7799-2資訊安全管理體系規範,它規定資訊安全管理體系要求與資訊安全控制要求 uu2000年12月,BS7799-1:1999資訊
10、安全管理實施細則通過了國際標準化組織ISO的認可,正式成為國際標準ISO/IEC 17799-l;2000(資訊技術資訊安全管理實施細則)。 10-3-3 資訊安全管理體系的作用資訊安全管理體系的作用uu(1 1)強化員工的資訊安全意識,規範組織資訊安)強化員工的資訊安全意識,規範組織資訊安全行為。全行為。uu(2 2)對組織的關鍵資訊資產進行全面系統的保護,)對組織的關鍵資訊資產進行全面系統的保護,維持競爭優勢。維持競爭優勢。uu(3 3)在資訊系統受到侵襲時,確保業務持續開展)在資訊系統受到侵襲時,確保業務持續開展並將損失降到最低程度。並將損失降到最低程度。uu(4 4)使組織的生意夥伴和客戶對組織充滿信心。)使組織的生意夥伴和客戶對組織充滿信心。uu(5 5)如果通過體系認證,顯示體系符合標準,證)如果通過體系認證,顯示體系符合標準,證明組織有能力保障重要資訊。明組織有能力保障重要資訊。uu(6 6)促使管理層堅持貫徹資訊安全體系。)促使管理層堅持貫徹資訊安全體系。
