BS 7799理論與實務 - 資通安全研發中心- 國立成功大學
BS 7799理論與實務 - 資通安全研發中心- 國立成功大學
BS 7799理論與實務 - 資通安全研發中心- 國立成功大學
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
<strong>BS</strong> 7799 理 論 與 實 務<br />
賴 溪 松 教 授<br />
國 立 成 功 大 學 計 算 機 與 網 路 中 心 主 任<br />
國 立 成 功 大 學 電 機 系 及 電 腦 與 通 訊 研 究 所 教 授<br />
TEL:(06)2757575 ext 61020<br />
E-mail:laihcs@eembox.ncku.edu.tw<br />
http://www.icsc.ncku.edu.tw/<br />
FAX:(06)274-3533
大 綱<br />
• 何 謂 資 訊 安 全<br />
• 資 訊 安 全 管 理 系 統 (ISMS) 之 重 要<br />
• 資 訊 系 統 稽 核 歷 史<br />
• 資 訊 安 全 系 統 的 實 施<br />
• <strong>BS</strong> 7799 簡 介<br />
• Leading Auditor 認 證 考 試<br />
• 結 論<br />
Cryptology & Network Security Lab.
何 謂 資 訊 安 全<br />
• “ 資 訊 對 組 織 而 言 就 是 一 種 資 產 , 和 其 它<br />
重 要 的 營 運 資 產 一 樣 有 價 值 , 因 此 需 要<br />
持 續 給 予 妥 善 保 護 。 資 訊 安 全 可 保 護 資<br />
訊 不 受 各 種 威 脅 , 確 保 持 續 營 運 , 將 營<br />
運 損 失 降 到 最 低 , 得 到 最 豐 厚 的 投 資 報<br />
酬 率 和 商 機 。”<br />
— <strong>BS</strong> 7799 資 訊 安 全 管 理 系 統 (Information<br />
Security Management System) 標 準 定 義<br />
Cryptology & Network Security Lab.
資 訊 安 全 三 要 素<br />
• Confidentiality 機 密 性<br />
• 保 護 資 訊 不 被 非 法 存 取 或 揭 露<br />
• Integrity 完 整 性<br />
• 確 保 資 訊 在 任 何 階 段 沒 有 不 適 當 的 修 改 或<br />
損 毀<br />
• Availability 可 用 性<br />
• 經 授 權 的 使 用 者 能 適 時 的 存 取 所 需 資 訊<br />
Cryptology & Network Security Lab.
資 訊 安 全 的 漏 洞 ?<br />
• 最 傷 腦 筋 的 , 已 經 不 是 技 術 性 的 問 題<br />
• 一 旦 有 一 個 使 用 者 違 反 規 定 導 致 了 資 訊 安 全 的<br />
漏 洞 , 資 訊 安 全 人 員 所 有 的 辛 苦 都 是 枉 然<br />
• 防 毒 軟 體 ? 應 該 有 吧 , 要 更 新 什 麼 修 補 程 式 ? 你 們 資<br />
訊 單 位 老 是 弄 一 些 怪 怪 的 名 詞 , 我 們 user 那 知 道 那<br />
麼 多<br />
• 我 上 個 星 期 才 買 的 最 新 款 筆 記 型 電 腦 , 又 可 以 無 線<br />
上 網 , 又 可 以 接 隨 身 碟 , 我 就 把 舊 電 腦 的 網 路 線 拔<br />
下 來 , 插 在 新 電 腦 上 , 好 不 容 易 可 以 接 上 公 司 網 路<br />
Cryptology & Network Security Lab.
資 訊 安 全 管 理 系 統 (ISMS) 的 重 要<br />
• 根 據 FBI 調 查 統 計 2001 年 的 受 訪 者 , 有 70% 的<br />
比 例 危 內 部 安 全 意 識 缺 乏 即 不 當 使 用 所 致<br />
• 英 國 官 方 統 計 報 告 「2002 年 資 訊 安 全 入 侵 調<br />
查 」 指 出 , 在 規 模 較 小 的 公 司 裡 , 最 重 大 的 系<br />
統 入 侵 案 件 有 32% 是 內 賊 所 為 ; 在 大 企 業 , 因<br />
內 部 員 工 所 造 成 重 大 系 統 入 侵 案 件 更 達 到 48%<br />
• 2002 年 9 月 偽 卡 集 團 涉 嫌 勾 結 財 政 部 所 屬 的 財<br />
金 資 訊 公 司 工 程 師 , 盜 取 客 戶 信 用 卡 內 外 碼 資<br />
料 高 達 一 百 萬 筆 以 上 及 金 融 卡 資 料<br />
• 2002.9.21 消 基 會 批 評 財 金 公 司 無 法 掌 控 行 政<br />
人 員 使 用 資 料 、 管 理 資 料 的 動 作 , 消 費 者 權 益<br />
Cryptology & Network Security Lab.
ISMS 的 重 要 (cont.)<br />
• 2004 年 5 月 刑 事 局 員 警 、 中 華 電 信 、 民 營 電 信<br />
員 工 涉 嫌 將 個 人 資 料 外 洩 販 賣<br />
• 2004 年 12 月 台 北 市 一 家 電 腦 資 訊 公 司 涉 嫌 利 用<br />
職 務 之 便 , 將 四 千 多 萬 筆 的 客 戶 電 話 住 址 另 外<br />
留 存 , 轉 售 從 中 謀 取 兩 百 多 萬 元 的 暴 利<br />
• 造 成 資 訊 安 全 事 件 的 原 因 僅 約 25% 是 技 術 方 案<br />
的 解 決 , 重 要 的 是 人 性 管 理 面 上 出 現 漏 洞<br />
Cryptology & Network Security Lab.
資 訊 系 統 稽 核 歷 史<br />
• 資 訊 系 統 稽 核 在 早 期 是 傳 統 會 計 審 計 業<br />
務 的 一 部 分<br />
• 主 要 關 注 於 被 稽 核 單 位 的 電 子 資 料 取<br />
得 、 分 析 與 計 算 等 資 料 處 理 業 務<br />
• 對 交 易 金 額 、 帳 戶 、 報 表 餘 額 進 行 檢 查<br />
• 對 客 戶 的 電 子 化 會 計 資 料 進 行 分 析 處 理<br />
Cryptology & Network Security Lab.
資 訊 系 統 稽 核 歷 史 (cont.)<br />
• 隨 著 電 腦 技 術 應 用 範 圍 的 擴 展 , 資 訊 稽 核 所 關<br />
注 的 內 容 也 開 始 延 伸 到 對 電 腦 系 統 的 可 靠 性 、<br />
安 全 性 進 行 了 解 和 評 估<br />
• 資 訊 稽 核 的 業 務 範 圍 已 經 涵 蓋 審 計 業 務 的 全 部 過 程<br />
• 如 今 的 資 訊 系 統 稽 核 的 業 務 已 經 超 出 了 爲 財 務<br />
報 表 審 計 提 供 服 務 的 範 圍<br />
• 很 多 大 型 會 計 公 司 內 部 , 資 訊 系 統 稽 核 部 門 已 經 成<br />
爲 一 個 獨 立 的 對 外 提 供 多 種 服 務 的 部 門<br />
Cryptology & Network Security Lab.
資 訊 系 統 稽 核 歷 史 (cont.)<br />
• 國 際 會 計 公 司 、 諮 詢 公 司 和 專 業 服 務 提<br />
供 廠 商 都 將 控 制 風 險 作 爲 管 理 諮 詢 和 服<br />
務 的 重 點<br />
• 尤 其 電 腦 環 境 風 險 和 資 訊 系 統 運 行 風 險<br />
• 大 型 跨 國 公 司 , 常 常 高 薪 聘 請 資 訊 系 統<br />
審 計 師 進 行 內 部 審 計<br />
Cryptology & Network Security Lab.
資 訊 安 全 的 實 施 — 美 國 模 式<br />
Cryptology & Network Security Lab.
資 訊 安 全 的 實 施 — 加 拿 大 模 式<br />
Cryptology & Network Security Lab.
PDCA model in <strong>BS</strong> 7799<br />
Cryptology & Network Security Lab.
資 訊 安 全 的 實 施<br />
• 無 論 美 國 或 加 拿 大 模<br />
式 , 大 致 上 都 包 含 了<br />
五 階 段<br />
• 風 險 評 估 ( 或 風 險 管 理<br />
分 析 )<br />
• 制 定 防 範 政 策<br />
• 依 政 策 進 行 系 統 維 護<br />
與 補 強<br />
• 人 員 教 育 訓 練<br />
• 稽 核<br />
教 育<br />
訓 練<br />
稽 核<br />
資 通 安 全<br />
系 統<br />
維 護<br />
風 險<br />
評 估<br />
防 範<br />
政 策<br />
Cryptology & Network Security Lab.
資 訊 安 全 的 實 施 - 風 險 評 估<br />
• 資 通 安 全 開 始 必 須 先 進 行 風 險 評 估 與 分 析<br />
• 利 用 風 險 評 估 方 式 來 確 定 機 關 內 的 資 產 , 評 估<br />
這 些 資 產 的 價 值 與 可 能 潛 在 的 弱 點 與 威 脅<br />
• 資 通 安 全 評 估 內 容<br />
• 事 先 了 解 資 產 的 價 值<br />
• 掌 握 風 險 的 所 在<br />
• 降 低 風 險 的 影 響<br />
Cryptology & Network Security Lab.
事 先 了 解 資 產 的 價 值<br />
• 資 產 價 值<br />
• 一 個 金 錢 量 化 的 數 字<br />
• 風 險 指 數<br />
• 針 對 特 定 資 產 可 能 產 生 之 破 壞 性 影 響<br />
• 發 生 機 率 的 預 估<br />
• 代 表 預 期 可 能 發 生 的 機 會<br />
Cryptology & Network Security Lab.
風 險 意 識<br />
• Accept<br />
• Mitigate<br />
• Avoid<br />
• Transfer<br />
Vulnerabilities<br />
Decrease<br />
Vulnerabilities<br />
Threats<br />
Assets<br />
Cryptology & Network Security Lab.
資 訊 安 全 的 實 施 - 風 險 評 估<br />
• 處 理 方 式<br />
• 漠 視 風 險<br />
漠 視 資 訊 危 機 的 存 在 , 遭 受 的 風 險 損 失 將 無 法 估 計<br />
• 降 低 風 險<br />
找 出 風 險 , 使 用 適 當 的 解 決 方 法 , 降 低 可 能 的 損 失<br />
• 接 受 風 險<br />
在 可 接 受 的 範 圍 內 , 承 擔 風 險 所 帶 來 的 損 失<br />
• 風 險 轉 嫁<br />
將 風 險 所 帶 來 的 損 失 轉 移 給 第 三 者<br />
Cryptology & Network Security Lab.
風 險 評 估 表 格 ( 矩 陣 表 )<br />
RISK MANAGEMENT<br />
No Threat Description of the risk Comment<br />
1 Hackers<br />
2 Information theft<br />
3 Industry espionage<br />
4 Virus<br />
5 Intentional erasure<br />
6 Unintentional erasure<br />
7 Awareness<br />
8 Power failure<br />
Cryptology & Network Security Lab.
資 產 濫 用<br />
資 產 的 濫 用<br />
現 金<br />
存 貨 及<br />
其 他 資 產<br />
假 造 支 出 暪 報 竊 盜 濫 用 竊 盜<br />
虛 開 帳<br />
單 請 款<br />
虛 報<br />
薪 資<br />
假 造 公 司<br />
費 用 請 款<br />
支 票<br />
竄 改<br />
登 錄<br />
支 出<br />
銷 貨<br />
應 收<br />
帳 款<br />
退 款 及<br />
其 他<br />
庫 存<br />
現 金<br />
資 產 申 請<br />
及 轉 移<br />
空 殼<br />
公 司<br />
幽 靈<br />
員 工<br />
無 特 殊 性<br />
之 費 用<br />
偽 造<br />
支 票<br />
偽 造<br />
作 廢<br />
未 紀 錄<br />
假 銷 帳<br />
銀 行<br />
存 款<br />
假 出 售 及<br />
故 意 遺 漏<br />
與 廠 商<br />
共 謀<br />
虛 報<br />
佣 金<br />
浮 報<br />
費 用<br />
偽 造<br />
簽 名<br />
偽 造<br />
退 款<br />
低 報<br />
重 疊<br />
其 他<br />
採 購 及<br />
驗 收<br />
個 人<br />
採 購<br />
虛 報<br />
津 貼<br />
假 造<br />
費 用<br />
修 改<br />
領 款 人<br />
公 開<br />
公 開 的<br />
竊 取<br />
竄 改<br />
薪 資<br />
重 複<br />
請 款<br />
隱 藏<br />
支 票<br />
授 權<br />
出 票<br />
Cryptology & Network Security Lab.<br />
資 料 來 源 : 中 華 民 國 電 腦 稽 核 協 會
資 產 鑑 別 調 查 表<br />
World Wide Widgets<br />
Confidential<br />
機 密<br />
Assets Identified Form Survey 資 產 鑑 別 調 查<br />
Information Assets [ 資 訊 資 產 ]<br />
Asset<br />
資 產<br />
Value<br />
價 值<br />
1 產 品 資 料 庫 3<br />
2 客 戶 資 料 庫 3<br />
3 交 易 記 錄 2<br />
4 客 服 記 錄 2<br />
5 系 統 使 用 文 件 1<br />
6 使 用 手 冊 1<br />
Threats<br />
威 脅<br />
遭 惡 意 破 壞<br />
中 毒<br />
遭 竊<br />
遭 竊<br />
3<br />
4<br />
毀 損<br />
毀 損<br />
遭 竊 2 遺 失<br />
3<br />
3<br />
Vulnerabilities<br />
弱 點<br />
外 洩 遺 失<br />
外 洩 遺 失<br />
毀 損<br />
4<br />
4<br />
3<br />
3<br />
3<br />
2<br />
Probability<br />
可 能 性<br />
4<br />
4<br />
2<br />
2<br />
3<br />
1<br />
A<br />
(V+T+Vu+P)<br />
14<br />
15<br />
10<br />
10<br />
9<br />
風 險 值<br />
B<br />
A 之 平 均 值<br />
14.5<br />
10<br />
4 6.5<br />
Controls<br />
控 制 措 施<br />
設 置 防 火 牆 .<br />
備 份 .<br />
分 級 存 取 管 理 .<br />
備 份<br />
存 取 管 理<br />
7 系 統 使 用 、 維 護 記 錄 1<br />
8 經 營 策 略 與 方 案 3 遭 竊 3 外 洩 遺 失<br />
毀 損<br />
3<br />
1<br />
2<br />
1<br />
11<br />
5<br />
8<br />
9.75<br />
存 取 管 理<br />
安 全 列 管<br />
Cryptology & Network Security Lab.
最 大 可 能 風 險 彙 整 表<br />
Assets Identified Form Survey 資 產 鑑 別 調 查<br />
World Wide Widgets<br />
Confidential<br />
機 密<br />
><br />
Assets Item<br />
資 產 類 別<br />
平 均<br />
風 險 值<br />
最 大 可 能 威 脅 資 產<br />
可 能 威 脅 或 弱 點<br />
Controls<br />
擬 控 制 措 施<br />
1. Information Assets<br />
資 訊 資 產<br />
2. Paper Documents<br />
書 面 文 件<br />
3. Software Assets<br />
軟 體 資 產<br />
4. People<br />
人 員<br />
5. Services<br />
服 務<br />
6. Company image and reputation<br />
公 司 形 象 及 宣 傳<br />
9.75<br />
9.7<br />
產 品 資 料 庫<br />
客 戶 資 料 庫<br />
採 購 文 件 : 單 據 、 憑 證<br />
銷 售 文 件 : 出 貨 單 發 票<br />
11.5 Web、DB、Mail 等 伺 服<br />
系 統<br />
10.6<br />
11.3<br />
13.6<br />
員 工 ( 高 階 幹 部 )<br />
電 力 、 照 明<br />
通 訊 、 電 信<br />
公 司 整 體 形 象<br />
遭 惡 意 破 壞 、 中 毒 而 毀 損 設 置 防 火 牆 . 備 份 .<br />
分 級 存 取 管 理 .<br />
遭 竊 或 竄 改<br />
分 等 級 控 管 . 要 件 備 份 .<br />
污 損 、 遺 失 、 外 洩 加 強 儲 存 體 之 實 體 安 全 .<br />
遭 攻 擊 、 中 毒<br />
設 置 防 火 牆 . 系 統 備 援 .<br />
系 統 癱 瘓<br />
資 料 備 份 . 人 員 管 理 與 訓 練 .<br />
資 料 外 洩 、 同 業 挖 角 資 料 存 取 控 制 .<br />
忠 誠 度 不 佳<br />
加 強 人 員 管 理 . 落 實 稽 核<br />
錯 誤 操 作 保 養 不 周 與 廠 商 簽 定 緊 急 搶 修 與 維<br />
不 堪 使 用 系 統 癱 瘓 護 合 約 . 加 強 維 護 管 理<br />
同 業 競 爭<br />
教 育 訓 練 加 強 危 機 處 理<br />
政 策 制 度 規 劃 執 行 能 力 不 足 尋 求 專 業 顧 問 公 司 協 助<br />
Cryptology & Network Security Lab.
風 險 評 估 與 管 理 主 要 因 素<br />
阻<br />
止<br />
威 脅<br />
增<br />
加<br />
利 用<br />
增<br />
加<br />
脆 弱 性<br />
暴<br />
露<br />
安 全 措 施<br />
風 險<br />
資 產<br />
導<br />
引<br />
指<br />
出<br />
增<br />
加<br />
具<br />
有<br />
安 全 需 求<br />
價 值<br />
Cryptology & Network Security Lab.
資 訊 安 全 成 本<br />
• 虛 擬 成 本 = 發 生 事 故 損 失 成 本 (L 0 )* 發 生 機 率 (P 0 )<br />
• 實 際 成 本 = 改 善 資 通 安 全 所 花 費 之 成 本<br />
• 改 善 前 資 通 安 全 成 本 (B)= L 0 *P 0<br />
• 改 善 後 資 通 安 全 成 本 (A)= L *P 1<br />
• P 1 ( 改 善 後 發 生 機 率 )<br />
• 有 效 改 善 B > A<br />
Cryptology & Network Security Lab.
資 訊 安 全 成 本 (cont.)<br />
現 存 成 本 (A) = 資 產 價 值 (W) X 資 安 事 件 可 能 發 生 的 機 率 (P0)<br />
-) 虛 擬 成 本 (B) = 資 產 價 值 (W) X 改 善 後 的 機 率 (P1) + 資 安 產 品 成 本 (Co)<br />
--------------------------------------------------------------------------------------------<br />
(A) - (B) = (W) x (P0-P1) - (Co)<br />
Cryptology & Network Security Lab.
資 訊 安 全 的 實 施 - 防 範 政 策<br />
• 評 估 完 成 後 , 便 是 政 策 與 程 序 的 制 定<br />
• 防 範 政 策 的 訂 定 與 改 善 程 序 將 直 接 影 響<br />
資 通 安 全 成 本<br />
• 政 策 制 定 後 , 並 非 一 成 不 變 , 必 須 由 風<br />
險 改 善 程 度 而 調 整 政 策 之 內 容<br />
Cryptology & Network Security Lab.
資 訊 安 全 的 實 施 - 防 範 政 策<br />
• 防 範 政 策 至 少 須 具 有 以 下 內 容 :<br />
• 資 訊 使 用 政 策<br />
• 網 路 管 理 政 策<br />
• 系 統 維 護 政 策<br />
• 帳 號 密 碼 管 理 原 則<br />
• 備 份 計 劃<br />
• 緊 急 應 變 計 劃<br />
• 災 難 復 原 計 畫<br />
Cryptology & Network Security Lab.
資 訊 安 全 的 實 施 - 防 範 政 策<br />
• 政 策 施 行 的 先 後 順 序<br />
• 政 策 訂 定 與 施 行 前 , 應 先 確 認 風 險 評 估 的 完<br />
成 , 依 照 風 險 嚴 重 程 度 進 行 政 策 的 實 施<br />
• 在 許 多 情 況 下 , 因 各 部 門 的 風 險 價 值 不 同 而<br />
有 不 同 的 優 先 順 序 , 因 此 公 司 內 部 可 能 會 有<br />
許 多 政 策 的 制 定 會 同 時 進 行<br />
• 當 風 險 已 降 低 至 可 接 受 的 安 全 程 度 內 , 則 可<br />
召 集 相 關 人 員 共 同 討 論 , 進 行 下 一 政 策 實 施<br />
Cryptology & Network Security Lab.
□ 稅 務 IBE、WUU、WXX、WII 系 統 資 料 檔 案 毀 損 應 變 計 劃 □<br />
一 、 計 畫 適 用 範 圍<br />
IBE、WUU、WXX、WII 系 統 資 料 檔 案 因 備 份 機 制 不 嚴 謹 致 資 料 毀 損 。<br />
二 、 緊 急 應 變 作 業 程 序<br />
應 用 系 統 執 行 出 現 資 料 庫 異 常 時 , 應 即 反 應 資 料 庫 管 理 人 員 , 如 確 定 檔<br />
案 毀 損 時 應 並 同 向 直 屬 管 理 階 層 反 應 情 況 並 初 步 分 析 毀 損 原 因 , 系 統 執<br />
行 人 應 評 估 造 成 應 用 系 統 停 頓 之 影 響 , 分 析 確 認 後 系 統 執 行 人 可 先 以 電<br />
話 或 電 子 郵 件 建 立 之 聯 絡 群 組 通 知 業 務 單 位 主 辦 人 員 暫 緩 作 業 , 並 即 呈<br />
報 科 長 反 應 業 務 單 位 主 管 及 資 訊 安 全 組 織 召 集 人 及 局 長 ; 另 依 資 通 安 全<br />
事 件 危 機 通 報 程 序 規 定 處 理 , 以 便 業 務 單 位 據 以 對 內 對 外 處 理 。<br />
三 、 預 備 作 業 程 序<br />
1、 通 知 機 作 股 磁 帶 管 理 人 員 至 異 地 備 援 場 所 , 將 最 近 異 地 備 援 之 磁 帶 攜 回 。<br />
2、 通 知 異 地 備 援 場 所 之 磁 帶 管 理 人 員 備 妥 磁 帶 。<br />
四 、 回 復 作 業 程 序<br />
1、 通 知 資 料 庫 管 理 人 員 保 存 原 始 紀 錄 後 執 行 備 援 回 復 程 序 。<br />
2、 備 援 回 復 程 序 完 成 後 系 統 執 行 人 應 依 據 資 料 庫 管 理 人 員 回 復 之 資 料 截 止<br />
日 期 判 斷 是 否 應 補 登 錄 落 差 資 料 , 如 有 需 要 應 通 報 業 務 單 位 依 限 完 成 資 料<br />
補 登 錄 工 作 。<br />
五 、 測 試 作 業 程 序<br />
1、 應 用 系 統 負 責 人 員 執 行 線 上 程 式 及 批 次 程 式 驗 證 作 業 程 序 , 並 調 查 系 統 是<br />
否 正 常 且 資 料 處 理 結 果 是 否 正 確 。<br />
2、 通 知 業 務 單 位 開 始 執 行 線 上 程 式 及 批 次 程 式 , 如 有 異 常 應 即 時 反 映 。<br />
六 、 相 關 人 員 之 權 責<br />
1、 磁 帶 管 理 人 員 : 負 責 磁 帶 管 理 。<br />
2、 主 機 管 理 人 員 : 負 責 系 統 資 料 回 復 作 業 。<br />
3、 資 料 庫 管 理 人 員 : 負 責 系 統 資 料 庫 回 復 作 業 。<br />
4、 應 用 系 統 負 責 人 員 : 負 責 回 復 後 測 試 作 業 。<br />
5、 審 查 二 科 : 通 知 各 分 局 、 稽 徵 所 查 審 業 務 承 辦 人 員 。<br />
6、 徵 收 科 : 通 知 各 分 局 、 稽 徵 所 徵 收 業 務 承 辦 人 員 。<br />
七 、 作 業 預 估 所 需 時 間 : 本 作 業 預 估 需 六 小 時 。<br />
Cryptology & Network Security Lab.<br />
應<br />
變<br />
計<br />
劃<br />
--[ xxx 單<br />
位<br />
]
資 訊 安 全 的 實 施 - 系 統 維 護<br />
• 系 統 維 護 內 容 應 包 含<br />
• 危 機 通 報 系 統<br />
• 緊 急 應 變 通 訊 系 統<br />
• 網 路 安 全 防 範<br />
• 防 火 牆<br />
• 虛 擬 私 人 網 路 (VPN) 等<br />
機 制<br />
• 入 侵 偵 測 系 統 (IDS)<br />
• 人 員 身 分 管 理 系 統<br />
• 加 密<br />
• 金 鑰 管 理<br />
• 演 算 法<br />
• 實 體 安 全<br />
• 火 災 , 高 溫 , 斷 電 等<br />
事 故 的 保 護<br />
Cryptology & Network Security Lab.
資 訊 安 全 的 實 施 - 教 育 訓 練<br />
• 員 工<br />
• 使 其 能 對 機 關 產 生 認 知 意 識 , 並 能 保 護 機 關 內 部 機<br />
密 資 訊<br />
• 系 統 維 護 者<br />
• 提 昇 其 資 通 安 全 之 基 本 技 能 , 了 解 最 新 的 駭 客 技<br />
術 、 安 全 威 脅 、 安 全 修 補 等 資 訊<br />
• 管 理 階 層<br />
• 在 教 育 訓 練 過 程 中 了 解 各 部 門 在 資 通 安 全 中 所 扮 演<br />
的 角 色<br />
• 實 施 資 通 安 全 的 基 礎 課 程 , 以 能 確 切 制 定 防 範 政 策<br />
Cryptology & Network Security Lab.
資 訊 安 全 的 實 施 - 稽 核<br />
• 稽 核 的 內 容 應 包 含<br />
• 員 工 對 於 安 全 政 策 的 認 知 與 遵 守<br />
• 系 統 維 護 與 操 作 程 序<br />
• 教 育 訓 練 實 施 成 果<br />
• 網 路 安 全 防 護 裝 置 的 能 力<br />
• 定 期 稽 核 的 程 序<br />
Cryptology & Network Security Lab.
資 訊 安 全 的 實 施 - 稽 核<br />
國 際 與 國 內 資 訊 安 全 標 準 與 法 令<br />
<strong>BS</strong>7799 / ISO17799<br />
COBIT<br />
NIST<br />
BIS Basel II<br />
我 國 政 府 規 範<br />
我 國 法 令 要 求<br />
Electronic Banking<br />
Control<br />
英 國 國 家 標 準 協 會 , 資 訊 安 全 管 理 機 制 http://www.bsi.org.uk/<br />
國 際 電 腦 稽 核 協 會 , 資 訊 技 術 控 制 架 構 , http://www. isaca.org/<br />
美 國 國 家 標 準 與 技 術 協 會 , http://csrc.nist.gov/nistpubs/800-14.pdf<br />
國 際 清 算 銀 行 / 新 巴 塞 爾 資 本 管 理 協 定 New Basel Capital Accord<br />
『 行 政 院 所 屬 各 機 關 資 訊 安 全 管 理 實 施 基 準 / 要 點 』『 財 政 部 暨 所 屬 機<br />
關 資 訊 安 全 管 理 基 準 』『 金 融 機 構 辦 理 電 子 銀 行 業 務 安 全 控 管 作 業 基 準 』<br />
銀 行 法 , 營 業 秘 密 法 , 個 資 法 , 刑 法 電 腦 犯 罪<br />
美 國 聯 邦 存 款 保 險 公 司 電 子 銀 行 控 制 架 構 評 估 — 稽 核 規 範<br />
Cryptology & Network Security Lab.
<strong>BS</strong> 7799(CNS17799/17800)<br />
• 為 目 前 國 際 上 最 知 名 的 安 全 規 範 , 而 且 已 被<br />
ISO (International Organization for<br />
Standardization) 接 納 成 為 國 際 標 準<br />
• 台 灣 的 國 家 標 準 CNS 17799、CNS 17800, 就<br />
是 參 考 <strong>BS</strong>7799 的 Part 1 和 Part2 並 加 以 中 文 化<br />
• 主 要 以 ISMS 風 險 評 估 管 理 架 構 進 行 安 全 管<br />
理 , 涵 蓋 所 有 的 安 全 議 題 , 是 一 套 相 當 複 雜 的<br />
資 訊 安 全 應 用 與 稽 核 的 標 準<br />
Cryptology & Network Security Lab.
<strong>BS</strong> 7799 歷 史<br />
• 起 源 於 90 年 代 初 期 世 界 經 濟 合 作 開 發 組 織<br />
(OECD) 草 擬 的 資 訊 系 統 安 全 指 導 方 針<br />
• 1993 年 由 英 國 DTI( 英 國 貿 易 及 產 業 局 ) 公 佈<br />
PD0005 資 訊 安 全 管 理 實 施 要 則 , 即 為 <strong>BS</strong><br />
7799 part 1 前 身<br />
• 1998 年 由 <strong>BS</strong>i 公 佈 <strong>BS</strong> 7799 part 2<br />
• 1999 年 修 訂 驗 證 需 求<br />
• Part 1 在 2000 年 正 式 公 告 成 為 ISO 17799<br />
• Part 2 在 2002 年 進 行 修 訂 為 <strong>BS</strong> 7799-2:2002<br />
Cryptology & Network Security Lab.
<strong>BS</strong> 7799 part 1 與 part 2<br />
• <strong>BS</strong> 7799 part 1 為 資 訊 安 全 管 理 作 業 要 點<br />
• 主 要 是 作 為 參 考 文 件 , 提 供 廣 泛 性 的 安 全 控 制 措<br />
施 , 作 為 現 行 資 訊 安 全 之 最 佳 作 業 方 法<br />
• 不 作 為 評 鑑 與 驗 證 標 準<br />
• <strong>BS</strong> 7799 part 2:2002 為 資 訊 安 全 管 理 系 統 要<br />
求<br />
• 提 供 資 訊 安 全 管 理 系 統 (ISMS) 之 建 立 實 施 與 書 面 化<br />
之 具 體 要 求 , 依 據 個 別 組 織 的 需 求 , 規 定 要 實 施 之<br />
安 全 控 制 措 施 的 要 求<br />
• 不 是 技 術 標 準 , 而 是 管 理 標 準<br />
Cryptology & Network Security Lab.
CNS17799/17800<br />
(<strong>BS</strong> 7799/ ISO 17799 ) 十 項 分 析 領 域<br />
包 含 36 個 管 理 目 標 、127 個 控 制 方 法<br />
Cryptology & Network Security Lab.<br />
資 料 來 源 :XiSEC Consultants
<strong>BS</strong>7799 條 文 範 例<br />
4.1 安 全 政 策<br />
4.1.1 資 訊 安 全 政 策<br />
目 標 ☆ 提 供 管 理 階 層 對 資 訊 安 全 的 指 示 與 支 援<br />
4.1.1.1 資 訊 安 全 政 策 文 件<br />
資 訊 安 全 政 策 文 件 , 需 經 管 理 階 層 核 可 , 發 行 並 充 分<br />
溝 通 , 如 果 可 行 , 應 遍 及 每 一 位 員 工 。<br />
4.1.1.2 審 查 與 評 估<br />
安 全 政 策 應 該 按 時 的 被 審 查 , 且 如 果 有 影 響 性 的 更 改<br />
時 , 需 確 保 它 的 適 合 性 。<br />
Cryptology & Network Security Lab.
<strong>BS</strong>7799 驗 証 過 程<br />
Cryptology & Network Security Lab.
導 入 <strong>BS</strong> 7799 之 優 點<br />
• 提 升 內 部 資 訊 安 全 的 保 護 等 級<br />
• 對 安 全 政 策 的 要 求 與 承 諾<br />
• 加 強 員 工 對 企 業 內 資 訊 安 全 的 認 同 與 參 與 感<br />
• 客 戶 滿 意 度 的 提 升 與 安 全 保 證 , 提 高 企 業 競 爭<br />
優 勢<br />
• 是 否 要 導 入 <strong>BS</strong> 7799?<br />
• 重 要 的 是 企 業 導 入 資 訊 安 全 管 理 系 統 的 目 的 是 什 麼 ?<br />
• 目 的 不 在 拿 證 書 , 在 於 參 考 已 有 的 國 際 標 準 , 逐 步<br />
建 立 適 合 企 業 需 求 的 資 安 體 系 , 透 過 不 斷 的 訓 練 與<br />
推 動 , 讓 安 全 的 觀 念 灌 輸 至 每 位 員 工 中<br />
Cryptology & Network Security Lab.
<strong>BS</strong> 7799 台 灣 目 前 發 展 現 況<br />
• 2001 年 , 台 灣 僅 只 有 3 家 民 間 企 業 通 過 驗<br />
• 2002 年 , 台 灣 共 有 7 家 民 間 企 業 通 過 驗 證<br />
• 同 年 也 正 式 公 佈 CNS-17799 資 訊 技 術 - 資 訊 安 全 管<br />
理 之 作 業 要 點 及 CNS-17800 資 訊 技 術 - 資 訊 安 全 管<br />
理 系 統 規 範<br />
• 截 至 2004 年 9 月 20 日 止 , 全 球 有 878 家 公 司 取<br />
得 <strong>BS</strong>7799-2 證 照 , 其 中 台 灣 已 有 25 家 取 得 。<br />
• 在 行 政 院 國 家 資 通 安 全 會 報 積 極 推 動 資 訊 安<br />
全 , 要 求 A 級 單 位 需 在 2004 年 底 率 先 通 過<br />
<strong>BS</strong>7799 認 證 。<br />
• 預 估 在 未 來 三 年 之 間 將 有 數 百 家 的 公 私 立 機 構 通 過<br />
認 證 。<br />
Cryptology & Network Security Lab.
<strong>BS</strong> 7799 台 灣 目 前 發 展 現 況 (cont.)<br />
• 目 前 全 球 共 有 十 四 家 驗 證 機 構 可 以 執 行 ISMS<br />
驗 證 , 在 台 灣 有 開 設 分 支 機 構 的 只 有 五 家<br />
• 目 前 發 出 過 <strong>BS</strong>7799 驗 證 的 只 有 兩 家 ( 英 國 <strong>BS</strong>i 和 挪 威<br />
DNV)<br />
• 國 內 中 央 標 準 檢 驗 局 從 2003 年 開 始 開 放<br />
CNS17800 的 申 請 稽 核 驗 證 , 目 前 有 20 位 的 稽<br />
核 員 , 在 學 、 經 歷 等 資 格 皆 符 合 國 際 要 求 , 但<br />
在 實 際 的 經 驗 仍 顯 不 足 。<br />
• 2004 年 A 級 等 政 府 單 位 導 入 、 申 請 認 證 後 , 市 場 需<br />
求 量 大 增 , 將 再 培 訓 人 才<br />
Cryptology & Network Security Lab.
<strong>BS</strong>7799 Lead Auditor<br />
• 負 責 稽 核 的 人 員 最 基 本 的 就 是 需 取 得 <strong>BS</strong>7799<br />
Lead Auditor 主 導 稽 核 員 之 證 照<br />
• 五 天 40 小 時 , 最 後 一 天 下 午 考 試 , 費 用 約 5-6<br />
萬 元<br />
• 課 程 內 容 :<br />
• <strong>BS</strong>7799:2002 資 訊 安 全 管 理 系 統<br />
• <strong>BS</strong>7799 系 統 稽 核 技 巧<br />
• 管 理 和 主 導 <strong>BS</strong>7799 稽 核 小 組<br />
• 現 場 稽 核 技 巧<br />
• 如 何 建 立 一 個 完 整 的 資 訊 安 全 管 理 系 統<br />
• 資 訊 安 全 風 險 管 理 等<br />
Cryptology & Network Security Lab.
<strong>BS</strong>7799 Lead Auditor 考 試<br />
• 4 種 題 型 : 選 擇 題 、 簡 答 題 、 詳 答 題 與 情<br />
境 題<br />
• 情 境 題 如 : 描 繪 辦 公 室 內 員 工 的 種 種 行 為 ,<br />
讓 應 試 者 去 判 斷 哪 些 行 為 違 反 了 資 安 規 定 等<br />
• 採 取 Open Book, 不 過 若 是 對 課 本 內 容<br />
不 夠 熟 悉 , 可 能 就 無 法 在 時 間 內 完 成 所<br />
有 考 題<br />
Cryptology & Network Security Lab.
主<br />
導<br />
稽<br />
核<br />
員<br />
證<br />
照<br />
英<br />
國<br />
<strong>BS</strong>i <strong>BS</strong>7799/ISO<br />
Cryptology & Network Security Lab.
結 論<br />
安 全 性<br />
• 資 訊 安 全 —<br />
• 說 起 來 ……… 重 要 !<br />
• 做 起 來 ……… 次 要 !!<br />
• 忙 起 來 ……… 不 要 !!!<br />
功 能 性<br />
資 訊<br />
安 全<br />
便 利 性<br />
• 由 全 球 推 動 ISMS 的 過 程 經 驗 中 , 最 基 礎 且 最<br />
重 要 的 便 是 人 員 的 資 安 觀 念 與 管 理 知 識<br />
• 資 通 安 全 = 技 術 + 管 理 + 稽 核<br />
• 應 達 到 “ 均 衡 ” 管 理<br />
• “ 七 分 管 理 , 二 分 技 術 , 一 分 稽 核 ”<br />
Cryptology & Network Security Lab.