I001資訊安全管理制度

B04-101 B04 101
資訊安全管理制度(ISMS)
資訊安全管理制度 (ISMS)簡介 簡介

資訊安全之基本概念
ISMS之簡介
ISMS建置實例與未來動向
結論
課程大綱

第一章 資訊安全之基本概念

資訊安全概念

何謂資訊? 何謂資訊
以任何形式存在,不論有形或無形,
使單位可以持續運作的有價資訊資產。

資訊的定義
資訊是一種資產,就像其他的重要企業資產一樣,
對組織具有價值,因此需要受到適當的保護。
資訊可以許多的形式存在,可以書寫或列印於紙上
,儲存在電子儲存媒體上,以郵寄或電子儲存傳輸
,顯示於影片上或在對話中說出。
不管資訊的形式是什麼,或者共用或儲存的方式是
什麼,都應該受到適當的保護。

何謂資訊安全?
何謂資訊安全
資訊安全可保護資訊免受多種威脅的攻擊,保證
業務持續性,將業務損失降至最少,同時將投資
回報和商機運用作最大限度地發揮。
資訊安全在保護企業的資訊資產:
–避免遭受各種威脅,
–確保企業永續經營,
–降低對企業之傷害,
–提昇企業投資報酬率及商機。

政府機關要保護什麼(1/2)
政府機關要保護什麼 (1/2)?
保護資料及公務機密
– 資料機密性:特別注意透過網路傳輸之資料保
護問題。
– 資料完整性:如電子公文、電子支付及電子採
購等應用系統必須特別注意。
– 資料可用性:如資料備援等。
保護資訊系統及網路等資訊資源

政府機關要保護什麼(2/2)
政府機關要保護什麼 (2/2)?
保護政府的聲譽
– 民眾對政府的信心可能因資安事件而動搖
– 政府的網站可能被利用來作為犯罪的起源地
– 政府的郵件伺服器可能成為大量垃圾郵件分送的對象
– 政府的網站可能會被冒用者製造很多嚴重的問題
– 政府的網站可能被民眾認為是不可信賴的

資訊安全管理系統

資訊安全管理系統
ISMS (Information Security Management System)
是一套有系統地分析和管理資訊安全風險的方法。
要達到 100% 的資訊安全是一種過高的期望,資訊
安全管理的目標是透過控制方法,把資訊風險降低
到可接受的程度內。

資訊安全管理系統的重要性
表達提供安全營運環境的決心與承諾。
定義使用資訊與資訊系統的規範。
擘劃資訊安全架構。
為管理階層與全體員工溝通之依據。

對內
資訊安全管理系統的目標
– 企業具備安全管理能力
– 建立「安全等級」資訊管理制度
– 為資訊架設一套安全防護機制
對外
– 防範病毒及駭客入侵
– 於遭受攻擊時,系統仍可維持正常運作能力

資訊安全管理制度的相關標準
CNS 17799 & CNS 17800
BS 7799 (ISO/IEC 17799)
– BS 7799-1 : 2000
– BS 7799-2 : 2002
Information Technology Baseline Protection Manual
COBIT
ISO/IEC 13335 (GMITS)
ISO 13569
AS/NZS 4360:1999 Risk Management

我國政府相關規定
行政院及所屬各機關資訊安全管理要點
行政院有訂定 「行政院及所屬各機關資訊安
全管理規範 」 ,供全國政府機關 (構) 參考
施行。
建立我國通資訊基礎建設安全機制計畫(94-97
年)

第二章 ISMS之簡介 ISMS之簡介

ISO/IEC 17799/BS 7799簡介 7799簡介

ISO/IEC 17799 / BS 7799 之沿革
1993
1995
1998
1999
2000
2002
2005/6
2005~2006
英國貿工部(Department of Trade and Industry, DTI)發展
BS7799 標準頒行(Part 1)
BS7799 標準頒行(Part 2)
BS7799 Part 1 & Part 2
BS7799 Part 1 => ISO/IEC 17799
BS7799 標準頒行(Part 2)
ISO/IEC 17799 : 2005 標準頒行
ISO/IEC 27001 標準將頒行

ISO/IEC 17799 與 BS7799-2:2002
BS7799 2:2002
ISO/IEC 17799:2005
─ 施行細則
─ 參考文件
─ 完整的最佳資訊安全管理範例
BS7799-2:2002
─ 以ISO/IEC 17799為基礎
─ 規範建立執行和文件化資訊安全管理系統的要求
─ 驗證標準
─ 2005年底或2006年初將會有新版本(ISO/IEC 27001)

ISO/IEC 17799 基本資訊
資訊技術-資訊安全管理實施要則:
(Information Technology-Code of practice
for information security management)
− 為一參考文件
− 提供完整的資訊安全控管機制說明
− 最好的資訊安全實施範例
− 涵括 11 大安全控管目標
− 非審查與驗證的憑藉
現以ISO/IEC 17799:2005年版為基準

BS 7799-2 7799 2 基本資訊
資訊安全管理系統-需求規範與使用指導原則:
(Information Security Management Systems -
Specification with Guidance for Use)
說明以『計劃-執行-檢查-行動』建置資訊安全
管理系統的需求規範
描述根據個別公司(或單位)的需求而實施安全控管
的需求規範
現以BS7799-2:2002年版為基準。
2005年底或2006年初將會有新版本(ISO/IEC 27001)

流程方法(1/2)
流程方法 (1/2)
流程:
一項活動若用到資源且受到管理,以便將輸入轉換
成輸出,就可稱為流程。
流程方法(Process Approach):
組織內流程系統的應用及流程之制訂、互動關係、
管理作業等,便可稱為流程方法。

流程方法(2/2)
流程方法 (2/2)
流程方法鼓勵使用者強調下列事項之重要性:
– 瞭解商業資訊之安全需求,以及制訂政策及資訊
安全目標之必要性。
– 在符合管理組織整體業務風險之情況下,進行執
行及操作管制措施之作業。
– 監控、審核資訊安全管理系統之效能及成果
– 以客觀測量方式持續改進

ISMS 運作模式

ISMS之建立與管理
ISMS之建立與管理

分析與評價威脅、
脆弱點及衝擊
鑑別與評價現存及
規劃的安控機制
鑑別與評價資產
(依存關係)
評估與計算風險等
級
ISMS 之建立(1/2)
之建立 (1/2)
制定範圍
決定可接受
風險等級
是
監督、審查與
稽核
計劃、關發與執
行安控機制
選取安控機制
& 擬定SOA
否
符合可接受風險等級
(殘餘風險)

ISMS 之建立(2/2)
之建立 (2/2)
建置 ISMS 之首要任務即為制定認證的範圍。
決定了認證範圍後,針對其範圍開始做進一步資
產鑑別與盤點。
當列出了所有資產清單後,才能對所有資產一一
做風險評鑑。

風險評鑑

ISMS 之建立
風險評鑑結果計算出每一項資產的風險等級,以及
評估該資產之風險等級是否可以被接受。
0:如可接受,將該資產列入後續 ISMS 監控,審查與稽核
的範圍。
Х:如不能接受,將選取相關安控機制或訂定新風險處理程
序,以期將該資產之風險等級降低至可以接受的程度。
持續監控,審查與稽核,使所有資產都能維持在可
接受的風險等級內。

ISMS 之實施及操作
研擬風險處理計畫
實施風險處理計畫
實施控制措施
實施訓練與認知計畫
作業管理
資源管理
實施安全事件程序及控制措施

監控(隨時)
審查(定期)
ISMS 之監控及審查
審查殘餘可接受風險
內部稽核
管理階層審查
紀錄

實施 ISMS 改進活動。
ISMS 之持續改善
採取適當矯正及預防措施。
與相關單位就結果與各項措施進行溝通並取得同意。
確保各項改進措施達到預期目標。

ISO/IEC 17799:2005內容簡介
17799:2005內容簡介

何謂控制領域?
何謂控制領域
一個組織的資訊安全不是光是只有網路安全而已,
它還包括了資產安全,人員安全,實體安全等等各
種不同的領域。
ISO/IEC 17799 : 2005 將資訊安全控制領域分成
11 大項,其中有 44 項控制目標,再細分成 135
個控制項目。

ISO/IEC 17799 : 2005 控制領域(1/8)
控制領域 (1/8)
ISO/IEC 17799 : 2005 編排從 0 至 15 共 16
個章節
由 0 至 4 章分別為:
0.介紹 (Introduction)
1.範圍 (Scope)
2.名詞定義 (Terms and Definitions)
3.標準架構 (Structure of This Standard)
4.風險評估與處理 (Risk Assessment and Treatment)
第 5 章開始才是正式的安全控制領域項目

ISO/IEC 17799 : 2005 控制領域(2/8)
控制領域 (2/8)
安全政策 (5. Security Policy)
– 建立資訊安全政策
– 確保建立各項資訊安全目標及計畫
– 提供管理階層方向及目標來全力支援組織之資訊安全
政策
– 向組織傳達符合資訊安全目標與遵守資訊安全政策的
重要性、在法律要求下之權責以及持續改進之需求。

ISO/IEC 17799 : 2005 控制領域(3/8)
控制領域 (3/8)
資訊安全的組織與管理 (6. Organizing
Information Security)
主要目的是要求管理階層提供充份資源以發展
、實施、操作及維護 ISMS
資產管理 (7. Asset Management)
進行資產管理主要是來自組織的需求考量,尤其需要涵蓋的
重要關鍵有資產的所有權、資產一般認可的使用範圍以及資
產的目錄清單、資訊資產分類、資訊資產的管理等等 。

ISO/IEC 17799 : 2005 控制領域(4/8)
控制領域 (4/8)
人力資源安全 (8. Human Resources Security)
涵蓋了人力資源雇用前 、雇用期間 及雇用結束或職務改變
三個階段的安全注意事項
實體與環境安全 (9. Physical and Environmental
Security)
提供實體與環境安全需要注意的事項

ISO/IEC 17799 : 2005 控制領域(5/8)
控制領域 (5/8)
通訊與作業管理 (10. Communication and
Operation Management)
– 提供通訊與作業管理需要注意的事項
– 包含第三方服務交付的管理 (Third party service
delivery management),其中特別強調了組織應該要監督
檢視第三方提供的服務、對於第三方服務的變動進行管
理。
– 有針對惡意程式碼撰寫相關指引,教導如何防禦惡意程式
碼、如何檢視軟體偵測惡意程式碼以及如何檢查網站
等。
– 特別提供電子商務相關安全注意事項

ISO/IEC 17799 : 2005 控制領域(6/8)
控制領域 (6/8)
存取控制 (11. Access Control)
– 提供存取控制方面需要注意的安全事項。
– 在多項存取安全控制項目做了更改,以符合快速演進之系
統網路存取技術及機制的安全需求。
資訊系統的取得、發展及維護 (12. Information
Systems Acquisition, Development and
Maintenance)
– 提供資訊系統的取得、發展及維護方面需要注意的安全事
項。
– 在資料輸入、輸出檢查和記錄,密碼控制,金鑰管理以及
弱點管理等均有增加或修正,以符合日益複雜之網路環境
需求。

ISO/IEC 17799 : 2005 控制領域(7/8)
控制領域 (7/8)
資訊安全事故管理 (13. Information Security
Incident Management)
在過去資安事故管理都比較偏向事故或災害發生後的改
正行動,現在則是從風險評估的角度,針對可能發生之
資安事故來進行辨識、分析與反應。未來則希望能更一
步做到對於資安事故的預防 。

ISO/IEC 17799 : 2005 控制領域(8/8)
控制領域 (8/8)
企業持續運作管理 (14. Business Continuity
Management)
提供企業持續運作管理需要注意之事項
遵循事項 (15. Compliance)
提供對於法律,安全政策,標準,技術以及稽核需要遵循
及注意的事項。

第三章 ISMS建置實例與未來動向
ISMS建置實例與未來動向

ISMS 推動建置案例:
推動建置案例
國家資通安全會報技術服務中心

技術服務中心 ISMS 推動流程

技術服務中心 ISMS 推動組織
‧審查及核定一二階
文件
‧召開管理審查會議
‧核定風險審查結果
‧核定可提升整體資
訊安 全的提議
資訊安全指導
委員會
資訊安全管理代表
內部稽核小組 資訊安全小組 文件管制小組
‧稽查各種安控
機制
‧提出稽核報告
及相關建議事項
‧文件制訂、修訂
與廢止
‧執行風險審查
‧執行安全檢查
‧觀念宣導
‧執行風險審查
‧報告執行成果並
提改善措施
‧審核稽核報告與
執行結果
‧觀念宣導…..
‧核定之文件登
錄、發行、保
存等相關管理
工作

技術服務中心 ISMS 具體控管措施
人員管理
簽立保密合約
資安教育訓練
懲戒管理……
門禁管理
保全監視系統
員工配掛識別證
二道門禁管制
設備管理
發電機、UPS
個人電腦管理
設備攜出管理
設備使用權限管理
環境與實體設備管理
訪客管理
訪客登記
訪客配掛識別証
訪客不得至辦公區
系統管理
限制軟體複製
軟體使用管制
網路防護
病毒防護
密碼管理
備援系統….

技術服務中心 ISMS 文件體系
三階文件
HOW
四階文件
evidence
一階文件
WHY
二階文件
WHAT
安全
政策
程 序
辦法, 規範,流
程
紀 錄
1. 資訊安全手冊
2. 資訊安全政策
3. 適用性聲明
1. 文件與記錄管理程序
2. 資訊處理程序
3. 設備管理與維護程序
4. 智慧財產權管理程序
5. 系統監督程序
6. 風險管理程序
機房管理辦法等共十五項
7. 意外事件處理程序
8. 設備在外地使用程序
9. 惡意程式碼控制程序
10. 使用者登錄程序
11. 應用系統變更管理程序
依各辦法及流程執行所產生之各項資
訊記錄,詳略

技術服務中心 ISMS 建立期程
工作項目 \ 月份 4 5 6 7 8 9 10 11 12
先期作業
BS7799進階教育訓練
訂定資訊安全政策
資訊安全風險評估
確立風險管理目標及安控方式
建立系統文件及發行
系統宣導/實施/累積紀錄
內部稽核
認證申請
外部專家預審
正式驗證
建置期間 91 年 4 月至 12 月共計 9 個月
原規劃進度
實際進度

技術服務中心申請 BS 7799 認證流程
未通過
4週內
選擇認證公司並提出申請
預評 (Pre-Assessment)
缺失修正
第一階段認證 (Desktop Review)
缺失修正
第二階段認證
(Full Audit)
通過
選擇性(Optional)
45天內
‧持續檢查:每六個月
‧重新認證:每三年

ISO/IEC 17799/BS 7799
未來動向

ISO/IEC 17799 未來動向
ISO 未來將仿照 ISO 9000 系列標準編號的精神,將所有資訊安全
管理系統的標準,由 27000 開始編號,包括:
ISO 27000 原則與字彙 “Principles and vocabulary" (發
展中)
ISO 27001 ISMS 必備條件 “Requirements"
(根據 BS 7799-2 發展而來)
ISO 27002 (從 2007 年以後,ISO/IEC 17799 : 2005 將被重
新編號
成為 27002,這段期間仍將維持大家習慣的 17799 編號)
ISO 27003 ISMS 風險管理 “Risk management" (發展中)
ISO 27004 ISMS 公制與衡量 “Metrics and measurement"
(預計 2007/8 完成)
ISO 27005 ISMS 施行指導方針 “Implementation
guidelines"(預計 2007/8 完成)
ISO 27006 – 27010 (保留未來發展用)

由 BS7799-2:2002
BS7799 2:2002 到 ISO/IEC 27001 的空窗期(1/2)
的空窗期 (1/2)
由於 ISO/IEC 27001 的 FDIS 是由 BSI 彙總提出,P-D-C-A
的精神, 與風險管理 (Risk Management) 的內涵完全未更
動。
– 風險管理 (方法要更明確, 與多項控制結合)
– 控制選項 (只是選擇項目變多了)
BSI 預計在 ISO/IEC 17799 : 2005 公告後兩個月內提出 BS
7799-2 : 2005 作因應 (與 ISO/IEC 27001 非常相近)
ISO/IEC 27001 預計於 2005 年底或 2006 年初頒行

由 BS7799-2:2002
BS7799 2:2002 到 ISO/IEC 27001 的空窗期(2/2)
的空窗期 (2/2)
將制定 BS7799 Part 2 : 2005 代替 2002 年版。
BS7799-2 : 2002 認證, 在受證期限內依然有效。
– 預計 1 年半 (轉換期) 內都還有效 (例如 2005/9 公告,
2006/12/31 前舊版都有效)。
– 但在定期稽核 (Period Review) 中, 認證單位會出具觀察事項建議
轉版。
– 至轉換效期限截止時之審查, 將要求一定要遵循 BS7799-2 : 2005 或
如果 ISO/IEC 27001 已公告, 則務必遵循。否則將為重大缺失 (Major
Non-Conformity,亦即為失去BS7799 認證)。
自 BS7799-2 : 2005 公告後,新申請之認證應將不再核發
BS7799-2 : 2002 之認證。
由 BS7799-2 : 2005 轉至 ISO/IEC 27001 狀況亦同

ISO/IEC 17799:2005與ISO/IEC 17799:2005 ISO/IEC 27001之影響
27001之影響
在 ISO/IEC 17799 : 2005 與 ISO/IEC 27001 公告
後,Lead Auditor 之課程教材會修訂。
既有之 Lead Auditor 會需要上轉版課程
認證的影響將不會是即時,也沒有立刻失效的問題。
– 國內某些顧問公司宣告認證失效,僅為之宣傳手法。
– 與其他標準亦無取代之關係
認證之轉版,將視風險分析後, 控制項目之實作與
遵循,可能是目前能確定的最大差距。

第四章 結論

結論
成功推行 ISMS 的關鍵要素
安全政策要能反映企業的目標
執行的方法要配合公司的文化
管理階層的承諾與支持
充分的了解安全需求、風險評估及風險管理
將安全觀念有效的推廣傳達至每位管理者及員工
將資訊安全政策及標準的指導原則讓所有員工及合作
夥伴了解
提供適當的教育訓練
一個廣泛及穩定之審查制度,借以評估資訊安全管理
的執行效能並提供改善建議。