I001資訊安全管理制度
I001資訊安全管理制度
I001資訊安全管理制度
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
B04-101 B04 101<br />
資訊安全管理制度(ISMS)<br />
資訊安全管理制度 (ISMS)簡介 簡介
資訊安全之基本概念<br />
ISMS之簡介<br />
ISMS建置實例與未來動向<br />
結論<br />
課程大綱
第一章 資訊安全之基本概念
資訊安全概念
何謂資訊? 何謂資訊<br />
以任何形式存在,不論有形或無形,<br />
使單位可以持續運作的有價資訊資產。
資訊的定義<br />
資訊是一種資產,就像其他的重要企業資產一樣,<br />
對組織具有價值,因此需要受到適當的保護。<br />
資訊可以許多的形式存在,可以書寫或列印於紙上<br />
,儲存在電子儲存媒體上,以郵寄或電子儲存傳輸<br />
,顯示於影片上或在對話中說出。<br />
不管資訊的形式是什麼,或者共用或儲存的方式是<br />
什麼,都應該受到適當的保護。
何謂資訊安全?<br />
何謂資訊安全<br />
資訊安全可保護資訊免受多種威脅的攻擊,保證<br />
業務持續性,將業務損失降至最少,同時將投資<br />
回報和商機運用作最大限度地發揮。<br />
資訊安全在保護企業的資訊資產:<br />
–避免遭受各種威脅,<br />
–確保企業永續經營,<br />
–降低對企業之傷害,<br />
–提昇企業投資報酬率及商機。
政府機關要保護什麼(1/2)<br />
政府機關要保護什麼 (1/2)?<br />
保護資料及公務機密<br />
– 資料機密性:特別注意透過網路傳輸之資料保<br />
護問題。<br />
– 資料完整性:如電子公文、電子支付及電子採<br />
購等應用系統必須特別注意。<br />
– 資料可用性:如資料備援等。<br />
保護資訊系統及網路等資訊資源
政府機關要保護什麼(2/2)<br />
政府機關要保護什麼 (2/2)?<br />
保護政府的聲譽<br />
– 民眾對政府的信心可能因資安事件而動搖<br />
– 政府的網站可能被利用來作為犯罪的起源地<br />
– 政府的郵件伺服器可能成為大量垃圾郵件分送的對象<br />
– 政府的網站可能會被冒用者製造很多嚴重的問題<br />
– 政府的網站可能被民眾認為是不可信賴的
資訊安全管理系統
資訊安全管理系統<br />
ISMS (Information Security Management System)<br />
是一套有系統地分析和管理資訊安全風險的方法。<br />
要達到 100% 的資訊安全是一種過高的期望,資訊<br />
安全管理的目標是透過控制方法,把資訊風險降低<br />
到可接受的程度內。
資訊安全管理系統的重要性<br />
表達提供安全營運環境的決心與承諾。<br />
定義使用資訊與資訊系統的規範。<br />
擘劃資訊安全架構。<br />
為管理階層與全體員工溝通之依據。
對內<br />
資訊安全管理系統的目標<br />
– 企業具備安全管理能力<br />
– 建立「安全等級」資訊管理制度<br />
– 為資訊架設一套安全防護機制<br />
對外<br />
– 防範病毒及駭客入侵<br />
– 於遭受攻擊時,系統仍可維持正常運作能力
資訊安全管理制度的相關標準<br />
CNS 17799 & CNS 17800<br />
BS 7799 (ISO/IEC 17799)<br />
– BS 7799-1 : 2000<br />
– BS 7799-2 : 2002<br />
Information Technology Baseline Protection Manual<br />
COBIT<br />
ISO/IEC 13335 (GMITS)<br />
ISO 13569<br />
AS/NZS 4360:1999 Risk Management
我國政府相關規定<br />
行政院及所屬各機關資訊安全管理要點<br />
行政院有訂定 「行政院及所屬各機關資訊安<br />
全管理規範 」 ,供全國政府機關 (構) 參考<br />
施行。<br />
建立我國通資訊基礎建設安全機制計畫(94-97<br />
年)
第二章 ISMS之簡介 ISMS之簡介
ISO/IEC 17799/BS 7799簡介 7799簡介
ISO/IEC 17799 / BS 7799 之沿革<br />
1993<br />
1995<br />
1998<br />
1999<br />
2000<br />
2002<br />
2005/6<br />
2005~2006<br />
英國貿工部(Department of Trade and Industry, DTI)發展<br />
BS7799 標準頒行(Part 1)<br />
BS7799 標準頒行(Part 2)<br />
BS7799 Part 1 & Part 2<br />
BS7799 Part 1 => ISO/IEC 17799<br />
BS7799 標準頒行(Part 2)<br />
ISO/IEC 17799 : 2005 標準頒行<br />
ISO/IEC 27001 標準將頒行
ISO/IEC 17799 與 BS7799-2:2002<br />
BS7799 2:2002<br />
ISO/IEC 17799:2005<br />
─ 施行細則<br />
─ 參考文件<br />
─ 完整的最佳資訊安全管理範例<br />
BS7799-2:2002<br />
─ 以ISO/IEC 17799為基礎<br />
─ 規範建立執行和文件化資訊安全管理系統的要求<br />
─ 驗證標準<br />
─ 2005年底或2006年初將會有新版本(ISO/IEC 27001)
ISO/IEC 17799 基本資訊<br />
資訊技術-資訊安全管理實施要則:<br />
(Information Technology-Code of practice<br />
for information security management)<br />
− 為一參考文件<br />
− 提供完整的資訊安全控管機制說明<br />
− 最好的資訊安全實施範例<br />
− 涵括 11 大安全控管目標<br />
− 非審查與驗證的憑藉<br />
現以ISO/IEC 17799:2005年版為基準
BS 7799-2 7799 2 基本資訊<br />
資訊安全管理系統-需求規範與使用指導原則:<br />
(Information Security Management Systems -<br />
Specification with Guidance for Use)<br />
說明以『計劃-執行-檢查-行動』建置資訊安全<br />
管理系統的需求規範<br />
描述根據個別公司(或單位)的需求而實施安全控管<br />
的需求規範<br />
現以BS7799-2:2002年版為基準。<br />
2005年底或2006年初將會有新版本(ISO/IEC 27001)
流程方法(1/2)<br />
流程方法 (1/2)<br />
流程:<br />
一項活動若用到資源且受到管理,以便將輸入轉換<br />
成輸出,就可稱為流程。<br />
流程方法(Process Approach):<br />
組織內流程系統的應用及流程之制訂、互動關係、<br />
管理作業等,便可稱為流程方法。
流程方法(2/2)<br />
流程方法 (2/2)<br />
流程方法鼓勵使用者強調下列事項之重要性:<br />
– 瞭解商業資訊之安全需求,以及制訂政策及資訊<br />
安全目標之必要性。<br />
– 在符合管理組織整體業務風險之情況下,進行執<br />
行及操作管制措施之作業。<br />
– 監控、審核資訊安全管理系統之效能及成果<br />
– 以客觀測量方式持續改進
ISMS 運作模式
ISMS之建立與管理<br />
ISMS之建立與管理
分析與評價威脅、<br />
脆弱點及衝擊<br />
鑑別與評價現存及<br />
規劃的安控機制<br />
鑑別與評價資產<br />
(依存關係)<br />
評估與計算風險等<br />
級<br />
ISMS 之建立(1/2)<br />
之建立 (1/2)<br />
制定範圍<br />
決定可接受<br />
風險等級<br />
是<br />
監督、審查與<br />
稽核<br />
計劃、關發與執<br />
行安控機制<br />
選取安控機制<br />
& 擬定SOA<br />
否<br />
符合可接受風險等級<br />
(殘餘風險)
ISMS 之建立(2/2)<br />
之建立 (2/2)<br />
建置 ISMS 之首要任務即為制定認證的範圍。<br />
決定了認證範圍後,針對其範圍開始做進一步資<br />
產鑑別與盤點。<br />
當列出了所有資產清單後,才能對所有資產一一<br />
做風險評鑑。
風險評鑑
ISMS 之建立<br />
風險評鑑結果計算出每一項資產的風險等級,以及<br />
評估該資產之風險等級是否可以被接受。<br />
0:如可接受,將該資產列入後續 ISMS 監控,審查與稽核<br />
的範圍。<br />
Х:如不能接受,將選取相關安控機制或訂定新風險處理程<br />
序,以期將該資產之風險等級降低至可以接受的程度。<br />
持續監控,審查與稽核,使所有資產都能維持在可<br />
接受的風險等級內。
ISMS 之實施及操作<br />
研擬風險處理計畫<br />
實施風險處理計畫<br />
實施控制措施<br />
實施訓練與認知計畫<br />
作業管理<br />
資源管理<br />
實施安全事件程序及控制措施
監控(隨時)<br />
審查(定期)<br />
ISMS 之監控及審查<br />
審查殘餘可接受風險<br />
內部稽核<br />
管理階層審查<br />
紀錄
實施 ISMS 改進活動。<br />
ISMS 之持續改善<br />
採取適當矯正及預防措施。<br />
與相關單位就結果與各項措施進行溝通並取得同意。<br />
確保各項改進措施達到預期目標。
ISO/IEC 17799:2005內容簡介<br />
17799:2005內容簡介
何謂控制領域?<br />
何謂控制領域<br />
一個組織的資訊安全不是光是只有網路安全而已,<br />
它還包括了資產安全,人員安全,實體安全等等各<br />
種不同的領域。<br />
ISO/IEC 17799 : 2005 將資訊安全控制領域分成<br />
11 大項,其中有 44 項控制目標,再細分成 135<br />
個控制項目。
ISO/IEC 17799 : 2005 控制領域(1/8)<br />
控制領域 (1/8)<br />
ISO/IEC 17799 : 2005 編排從 0 至 15 共 16<br />
個章節<br />
由 0 至 4 章分別為:<br />
0.介紹 (Introduction)<br />
1.範圍 (Scope)<br />
2.名詞定義 (Terms and Definitions)<br />
3.標準架構 (Structure of This Standard)<br />
4.風險評估與處理 (Risk Assessment and Treatment)<br />
第 5 章開始才是正式的安全控制領域項目
ISO/IEC 17799 : 2005 控制領域(2/8)<br />
控制領域 (2/8)<br />
安全政策 (5. Security Policy)<br />
– 建立資訊安全政策<br />
– 確保建立各項資訊安全目標及計畫<br />
– 提供管理階層方向及目標來全力支援組織之資訊安全<br />
政策<br />
– 向組織傳達符合資訊安全目標與遵守資訊安全政策的<br />
重要性、在法律要求下之權責以及持續改進之需求。
ISO/IEC 17799 : 2005 控制領域(3/8)<br />
控制領域 (3/8)<br />
資訊安全的組織與管理 (6. Organizing<br />
Information Security)<br />
主要目的是要求管理階層提供充份資源以發展<br />
、實施、操作及維護 ISMS<br />
資產管理 (7. Asset Management)<br />
進行資產管理主要是來自組織的需求考量,尤其需要涵蓋的<br />
重要關鍵有資產的所有權、資產一般認可的使用範圍以及資<br />
產的目錄清單、資訊資產分類、資訊資產的管理等等 。
ISO/IEC 17799 : 2005 控制領域(4/8)<br />
控制領域 (4/8)<br />
人力資源安全 (8. Human Resources Security)<br />
涵蓋了人力資源雇用前 、雇用期間 及雇用結束或職務改變<br />
三個階段的安全注意事項<br />
實體與環境安全 (9. Physical and Environmental<br />
Security)<br />
提供實體與環境安全需要注意的事項
ISO/IEC 17799 : 2005 控制領域(5/8)<br />
控制領域 (5/8)<br />
通訊與作業管理 (10. Communication and<br />
Operation Management)<br />
– 提供通訊與作業管理需要注意的事項<br />
– 包含第三方服務交付的管理 (Third party service<br />
delivery management),其中特別強調了組織應該要監督<br />
檢視第三方提供的服務、對於第三方服務的變動進行管<br />
理。<br />
– 有針對惡意程式碼撰寫相關指引,教導如何防禦惡意程式<br />
碼、如何檢視軟體偵測惡意程式碼以及如何檢查網站<br />
等。<br />
– 特別提供電子商務相關安全注意事項
ISO/IEC 17799 : 2005 控制領域(6/8)<br />
控制領域 (6/8)<br />
存取控制 (11. Access Control)<br />
– 提供存取控制方面需要注意的安全事項。<br />
– 在多項存取安全控制項目做了更改,以符合快速演進之系<br />
統網路存取技術及機制的安全需求。<br />
資訊系統的取得、發展及維護 (12. Information<br />
Systems Acquisition, Development and<br />
Maintenance)<br />
– 提供資訊系統的取得、發展及維護方面需要注意的安全事<br />
項。<br />
– 在資料輸入、輸出檢查和記錄,密碼控制,金鑰管理以及<br />
弱點管理等均有增加或修正,以符合日益複雜之網路環境<br />
需求。
ISO/IEC 17799 : 2005 控制領域(7/8)<br />
控制領域 (7/8)<br />
資訊安全事故管理 (13. Information Security<br />
Incident Management)<br />
在過去資安事故管理都比較偏向事故或災害發生後的改<br />
正行動,現在則是從風險評估的角度,針對可能發生之<br />
資安事故來進行辨識、分析與反應。未來則希望能更一<br />
步做到對於資安事故的預防 。
ISO/IEC 17799 : 2005 控制領域(8/8)<br />
控制領域 (8/8)<br />
企業持續運作管理 (14. Business Continuity<br />
Management)<br />
提供企業持續運作管理需要注意之事項<br />
遵循事項 (15. Compliance)<br />
提供對於法律,安全政策,標準,技術以及稽核需要遵循<br />
及注意的事項。
第三章 ISMS建置實例與未來動向<br />
ISMS建置實例與未來動向
ISMS 推動建置案例:<br />
推動建置案例<br />
國家資通安全會報技術服務中心
技術服務中心 ISMS 推動流程
技術服務中心 ISMS 推動組織<br />
‧審查及核定一二階<br />
文件<br />
‧召開管理審查會議<br />
‧核定風險審查結果<br />
‧核定可提升整體資<br />
訊安 全的提議<br />
資訊安全指導<br />
委員會<br />
資訊安全管理代表<br />
內部稽核小組 資訊安全小組 文件管制小組<br />
‧稽查各種安控<br />
機制<br />
‧提出稽核報告<br />
及相關建議事項<br />
‧文件制訂、修訂<br />
與廢止<br />
‧執行風險審查<br />
‧執行安全檢查<br />
‧觀念宣導<br />
‧執行風險審查<br />
‧報告執行成果並<br />
提改善措施<br />
‧審核稽核報告與<br />
執行結果<br />
‧觀念宣導…..<br />
‧核定之文件登<br />
錄、發行、保<br />
存等相關管理<br />
工作
技術服務中心 ISMS 具體控管措施<br />
人員管理<br />
簽立保密合約<br />
資安教育訓練<br />
懲戒管理……<br />
門禁管理<br />
保全監視系統<br />
員工配掛識別證<br />
二道門禁管制<br />
設備管理<br />
發電機、UPS<br />
個人電腦管理<br />
設備攜出管理<br />
設備使用權限管理<br />
環境與實體設備管理<br />
訪客管理<br />
訪客登記<br />
訪客配掛識別証<br />
訪客不得至辦公區<br />
系統管理<br />
限制軟體複製<br />
軟體使用管制<br />
網路防護<br />
病毒防護<br />
密碼管理<br />
備援系統….
技術服務中心 ISMS 文件體系<br />
三階文件<br />
HOW<br />
四階文件<br />
evidence<br />
一階文件<br />
WHY<br />
二階文件<br />
WHAT<br />
安全<br />
政策<br />
程 序<br />
辦法, 規範,流<br />
程<br />
紀 錄<br />
1. 資訊安全手冊<br />
2. 資訊安全政策<br />
3. 適用性聲明<br />
1. 文件與記錄管理程序<br />
2. 資訊處理程序<br />
3. 設備管理與維護程序<br />
4. 智慧財產權管理程序<br />
5. 系統監督程序<br />
6. 風險管理程序<br />
機房管理辦法等共十五項<br />
7. 意外事件處理程序<br />
8. 設備在外地使用程序<br />
9. 惡意程式碼控制程序<br />
10. 使用者登錄程序<br />
11. 應用系統變更管理程序<br />
依各辦法及流程執行所產生之各項資<br />
訊記錄,詳略
技術服務中心 ISMS 建立期程<br />
工作項目 \ 月份 4 5 6 7 8 9 10 11 12<br />
先期作業<br />
BS7799進階教育訓練<br />
訂定資訊安全政策<br />
資訊安全風險評估<br />
確立風險管理目標及安控方式<br />
建立系統文件及發行<br />
系統宣導/實施/累積紀錄<br />
內部稽核<br />
認證申請<br />
外部專家預審<br />
正式驗證<br />
建置期間 91 年 4 月至 12 月共計 9 個月<br />
原規劃進度<br />
實際進度
技術服務中心申請 BS 7799 認證流程<br />
未通過<br />
4週內<br />
選擇認證公司並提出申請<br />
預評 (Pre-Assessment)<br />
缺失修正<br />
第一階段認證 (Desktop Review)<br />
缺失修正<br />
第二階段認證<br />
(Full Audit)<br />
通過<br />
選擇性(Optional)<br />
45天內<br />
‧持續檢查:每六個月<br />
‧重新認證:每三年
ISO/IEC 17799/BS 7799<br />
未來動向
ISO/IEC 17799 未來動向<br />
ISO 未來將仿照 ISO 9000 系列標準編號的精神,將所有資訊安全<br />
管理系統的標準,由 27000 開始編號,包括:<br />
ISO 27000 原則與字彙 “Principles and vocabulary" (發<br />
展中)<br />
ISO 27001 ISMS 必備條件 “Requirements"<br />
(根據 BS 7799-2 發展而來)<br />
ISO 27002 (從 2007 年以後,ISO/IEC 17799 : 2005 將被重<br />
新編號<br />
成為 27002,這段期間仍將維持大家習慣的 17799 編號)<br />
ISO 27003 ISMS 風險管理 “Risk management" (發展中)<br />
ISO 27004 ISMS 公制與衡量 “Metrics and measurement"<br />
(預計 2007/8 完成)<br />
ISO 27005 ISMS 施行指導方針 “Implementation<br />
guidelines"(預計 2007/8 完成)<br />
ISO 27006 – 27010 (保留未來發展用)
由 BS7799-2:2002<br />
BS7799 2:2002 到 ISO/IEC 27001 的空窗期(1/2)<br />
的空窗期 (1/2)<br />
由於 ISO/IEC 27001 的 FDIS 是由 BSI 彙總提出,P-D-C-A<br />
的精神, 與風險管理 (Risk Management) 的內涵完全未更<br />
動。<br />
– 風險管理 (方法要更明確, 與多項控制結合)<br />
– 控制選項 (只是選擇項目變多了)<br />
BSI 預計在 ISO/IEC 17799 : 2005 公告後兩個月內提出 BS<br />
7799-2 : 2005 作因應 (與 ISO/IEC 27001 非常相近)<br />
ISO/IEC 27001 預計於 2005 年底或 2006 年初頒行
由 BS7799-2:2002<br />
BS7799 2:2002 到 ISO/IEC 27001 的空窗期(2/2)<br />
的空窗期 (2/2)<br />
將制定 BS7799 Part 2 : 2005 代替 2002 年版。<br />
BS7799-2 : 2002 認證, 在受證期限內依然有效。<br />
– 預計 1 年半 (轉換期) 內都還有效 (例如 2005/9 公告,<br />
2006/12/31 前舊版都有效)。<br />
– 但在定期稽核 (Period Review) 中, 認證單位會出具觀察事項建議<br />
轉版。<br />
– 至轉換效期限截止時之審查, 將要求一定要遵循 BS7799-2 : 2005 或<br />
如果 ISO/IEC 27001 已公告, 則務必遵循。否則將為重大缺失 (Major<br />
Non-Conformity,亦即為失去BS7799 認證)。<br />
自 BS7799-2 : 2005 公告後,新申請之認證應將不再核發<br />
BS7799-2 : 2002 之認證。<br />
由 BS7799-2 : 2005 轉至 ISO/IEC 27001 狀況亦同
ISO/IEC 17799:2005與ISO/IEC 17799:2005 ISO/IEC 27001之影響<br />
27001之影響<br />
在 ISO/IEC 17799 : 2005 與 ISO/IEC 27001 公告<br />
後,Lead Auditor 之課程教材會修訂。<br />
既有之 Lead Auditor 會需要上轉版課程<br />
認證的影響將不會是即時,也沒有立刻失效的問題。<br />
– 國內某些顧問公司宣告認證失效,僅為之宣傳手法。<br />
– 與其他標準亦無取代之關係<br />
認證之轉版,將視風險分析後, 控制項目之實作與<br />
遵循,可能是目前能確定的最大差距。
第四章 結論
結論<br />
成功推行 ISMS 的關鍵要素<br />
安全政策要能反映企業的目標<br />
執行的方法要配合公司的文化<br />
管理階層的承諾與支持<br />
充分的了解安全需求、風險評估及風險管理<br />
將安全觀念有效的推廣傳達至每位管理者及員工<br />
將資訊安全政策及標準的指導原則讓所有員工及合作<br />
夥伴了解<br />
提供適當的教育訓練<br />
一個廣泛及穩定之審查制度,借以評估資訊安全管理<br />
的執行效能並提供改善建議。