BS 7799理論與實務 - 資通安全研發中心- 國立成功大學

BS 7799 理 論 與 實 務
賴 溪 松 教 授
國 立 成 功 大 學 計 算 機 與 網 路 中 心 主 任
國 立 成 功 大 學 電 機 系 及 電 腦 與 通 訊 研 究 所 教 授
TEL:(06)2757575 ext 61020
E-mail:laihcs@eembox.ncku.edu.tw
http://www.icsc.ncku.edu.tw/
FAX:(06)274-3533

大 綱
• 何 謂 資 訊 安 全
• 資 訊 安 全 管 理 系 統 (ISMS) 之 重 要
• 資 訊 系 統 稽 核 歷 史
• 資 訊 安 全 系 統 的 實 施
• BS 7799 簡 介
• Leading Auditor 認 證 考 試
• 結 論
Cryptology & Network Security Lab.

何 謂 資 訊 安 全
• “ 資 訊 對 組 織 而 言 就 是 一 種 資 產 , 和 其 它
重 要 的 營 運 資 產 一 樣 有 價 值 , 因 此 需 要
持 續 給 予 妥 善 保 護 。 資 訊 安 全 可 保 護 資
訊 不 受 各 種 威 脅 , 確 保 持 續 營 運 , 將 營
運 損 失 降 到 最 低 , 得 到 最 豐 厚 的 投 資 報
酬 率 和 商 機 。”
— BS 7799 資 訊 安 全 管 理 系 統 (Information
Security Management System) 標 準 定 義
Cryptology & Network Security Lab.

資 訊 安 全 三 要 素
• Confidentiality 機 密 性
• 保 護 資 訊 不 被 非 法 存 取 或 揭 露
• Integrity 完 整 性
• 確 保 資 訊 在 任 何 階 段 沒 有 不 適 當 的 修 改 或
損 毀
• Availability 可 用 性
• 經 授 權 的 使 用 者 能 適 時 的 存 取 所 需 資 訊
Cryptology & Network Security Lab.

資 訊 安 全 的 漏 洞 ?
• 最 傷 腦 筋 的 , 已 經 不 是 技 術 性 的 問 題
• 一 旦 有 一 個 使 用 者 違 反 規 定 導 致 了 資 訊 安 全 的
漏 洞 , 資 訊 安 全 人 員 所 有 的 辛 苦 都 是 枉 然
• 防 毒 軟 體 ? 應 該 有 吧 , 要 更 新 什 麼 修 補 程 式 ? 你 們 資
訊 單 位 老 是 弄 一 些 怪 怪 的 名 詞 , 我 們 user 那 知 道 那
麼 多
• 我 上 個 星 期 才 買 的 最 新 款 筆 記 型 電 腦 , 又 可 以 無 線
上 網 , 又 可 以 接 隨 身 碟 , 我 就 把 舊 電 腦 的 網 路 線 拔
下 來 , 插 在 新 電 腦 上 , 好 不 容 易 可 以 接 上 公 司 網 路
Cryptology & Network Security Lab.

資 訊 安 全 管 理 系 統 (ISMS) 的 重 要
• 根 據 FBI 調 查 統 計 2001 年 的 受 訪 者 , 有 70% 的
比 例 危 內 部 安 全 意 識 缺 乏 即 不 當 使 用 所 致
• 英 國 官 方 統 計 報 告 「2002 年 資 訊 安 全 入 侵 調
查 」 指 出 , 在 規 模 較 小 的 公 司 裡 , 最 重 大 的 系
統 入 侵 案 件 有 32% 是 內 賊 所 為 ; 在 大 企 業 , 因
內 部 員 工 所 造 成 重 大 系 統 入 侵 案 件 更 達 到 48%
• 2002 年 9 月 偽 卡 集 團 涉 嫌 勾 結 財 政 部 所 屬 的 財
金 資 訊 公 司 工 程 師 , 盜 取 客 戶 信 用 卡 內 外 碼 資
料 高 達 一 百 萬 筆 以 上 及 金 融 卡 資 料
• 2002.9.21 消 基 會 批 評 財 金 公 司 無 法 掌 控 行 政
人 員 使 用 資 料 、 管 理 資 料 的 動 作 , 消 費 者 權 益
Cryptology & Network Security Lab.

ISMS 的 重 要 (cont.)
• 2004 年 5 月 刑 事 局 員 警 、 中 華 電 信 、 民 營 電 信
員 工 涉 嫌 將 個 人 資 料 外 洩 販 賣
• 2004 年 12 月 台 北 市 一 家 電 腦 資 訊 公 司 涉 嫌 利 用
職 務 之 便 , 將 四 千 多 萬 筆 的 客 戶 電 話 住 址 另 外
留 存 , 轉 售 從 中 謀 取 兩 百 多 萬 元 的 暴 利
• 造 成 資 訊 安 全 事 件 的 原 因 僅 約 25% 是 技 術 方 案
的 解 決 , 重 要 的 是 人 性 管 理 面 上 出 現 漏 洞
Cryptology & Network Security Lab.

資 訊 系 統 稽 核 歷 史
• 資 訊 系 統 稽 核 在 早 期 是 傳 統 會 計 審 計 業
務 的 一 部 分
• 主 要 關 注 於 被 稽 核 單 位 的 電 子 資 料 取
得 、 分 析 與 計 算 等 資 料 處 理 業 務
• 對 交 易 金 額 、 帳 戶 、 報 表 餘 額 進 行 檢 查
• 對 客 戶 的 電 子 化 會 計 資 料 進 行 分 析 處 理
Cryptology & Network Security Lab.

資 訊 系 統 稽 核 歷 史 (cont.)
• 隨 著 電 腦 技 術 應 用 範 圍 的 擴 展 , 資 訊 稽 核 所 關
注 的 內 容 也 開 始 延 伸 到 對 電 腦 系 統 的 可 靠 性 、
安 全 性 進 行 了 解 和 評 估
• 資 訊 稽 核 的 業 務 範 圍 已 經 涵 蓋 審 計 業 務 的 全 部 過 程
• 如 今 的 資 訊 系 統 稽 核 的 業 務 已 經 超 出 了 爲 財 務
報 表 審 計 提 供 服 務 的 範 圍
• 很 多 大 型 會 計 公 司 內 部 , 資 訊 系 統 稽 核 部 門 已 經 成
爲 一 個 獨 立 的 對 外 提 供 多 種 服 務 的 部 門
Cryptology & Network Security Lab.

資 訊 系 統 稽 核 歷 史 (cont.)
• 國 際 會 計 公 司 、 諮 詢 公 司 和 專 業 服 務 提
供 廠 商 都 將 控 制 風 險 作 爲 管 理 諮 詢 和 服
務 的 重 點
• 尤 其 電 腦 環 境 風 險 和 資 訊 系 統 運 行 風 險
• 大 型 跨 國 公 司 , 常 常 高 薪 聘 請 資 訊 系 統
審 計 師 進 行 內 部 審 計
Cryptology & Network Security Lab.

資 訊 安 全 的 實 施 — 美 國 模 式
Cryptology & Network Security Lab.

資 訊 安 全 的 實 施 — 加 拿 大 模 式
Cryptology & Network Security Lab.

PDCA model in BS 7799
Cryptology & Network Security Lab.

資 訊 安 全 的 實 施
• 無 論 美 國 或 加 拿 大 模
式 , 大 致 上 都 包 含 了
五 階 段
• 風 險 評 估 ( 或 風 險 管 理
分 析 )
• 制 定 防 範 政 策
• 依 政 策 進 行 系 統 維 護
與 補 強
• 人 員 教 育 訓 練
• 稽 核
教 育
訓 練
稽 核
資 通 安 全
系 統
維 護
風 險
評 估
防 範
政 策
Cryptology & Network Security Lab.

資 訊 安 全 的 實 施 - 風 險 評 估
• 資 通 安 全 開 始 必 須 先 進 行 風 險 評 估 與 分 析
• 利 用 風 險 評 估 方 式 來 確 定 機 關 內 的 資 產 , 評 估
這 些 資 產 的 價 值 與 可 能 潛 在 的 弱 點 與 威 脅
• 資 通 安 全 評 估 內 容
• 事 先 了 解 資 產 的 價 值
• 掌 握 風 險 的 所 在
• 降 低 風 險 的 影 響
Cryptology & Network Security Lab.

事 先 了 解 資 產 的 價 值
• 資 產 價 值
• 一 個 金 錢 量 化 的 數 字
• 風 險 指 數
• 針 對 特 定 資 產 可 能 產 生 之 破 壞 性 影 響
• 發 生 機 率 的 預 估
• 代 表 預 期 可 能 發 生 的 機 會
Cryptology & Network Security Lab.

風 險 意 識
• Accept
• Mitigate
• Avoid
• Transfer
Vulnerabilities
Decrease
Vulnerabilities
Threats
Assets
Cryptology & Network Security Lab.

資 訊 安 全 的 實 施 - 風 險 評 估
• 處 理 方 式
• 漠 視 風 險
漠 視 資 訊 危 機 的 存 在 , 遭 受 的 風 險 損 失 將 無 法 估 計
• 降 低 風 險
找 出 風 險 , 使 用 適 當 的 解 決 方 法 , 降 低 可 能 的 損 失
• 接 受 風 險
在 可 接 受 的 範 圍 內 , 承 擔 風 險 所 帶 來 的 損 失
• 風 險 轉 嫁
將 風 險 所 帶 來 的 損 失 轉 移 給 第 三 者
Cryptology & Network Security Lab.

風 險 評 估 表 格 ( 矩 陣 表 )
RISK MANAGEMENT
No Threat Description of the risk Comment
1 Hackers
2 Information theft
3 Industry espionage
4 Virus
5 Intentional erasure
6 Unintentional erasure
7 Awareness
8 Power failure
Cryptology & Network Security Lab.

資 產 濫 用
資 產 的 濫 用
現 金
存 貨 及
其 他 資 產
假 造 支 出 暪 報 竊 盜 濫 用 竊 盜
虛 開 帳
單 請 款
虛 報
薪 資
假 造 公 司
費 用 請 款
支 票
竄 改
登 錄
支 出
銷 貨
應 收
帳 款
退 款 及
其 他
庫 存
現 金
資 產 申 請
及 轉 移
空 殼
公 司
幽 靈
員 工
無 特 殊 性
之 費 用
偽 造
支 票
偽 造
作 廢
未 紀 錄
假 銷 帳
銀 行
存 款
假 出 售 及
故 意 遺 漏
與 廠 商
共 謀
虛 報
佣 金
浮 報
費 用
偽 造
簽 名
偽 造
退 款
低 報
重 疊
其 他
採 購 及
驗 收
個 人
採 購
虛 報
津 貼
假 造
費 用
修 改
領 款 人
公 開
公 開 的
竊 取
竄 改
薪 資
重 複
請 款
隱 藏
支 票
授 權
出 票
Cryptology & Network Security Lab.
資 料 來 源 : 中 華 民 國 電 腦 稽 核 協 會

資 產 鑑 別 調 查 表
World Wide Widgets
Confidential
機 密
Assets Identified Form Survey 資 產 鑑 別 調 查
Information Assets [ 資 訊 資 產 ]
Asset
資 產
Value
價 值
1 產 品 資 料 庫 3
2 客 戶 資 料 庫 3
3 交 易 記 錄 2
4 客 服 記 錄 2
5 系 統 使 用 文 件 1
6 使 用 手 冊 1
Threats
威 脅
遭 惡 意 破 壞
中 毒
遭 竊
遭 竊
3
4
毀 損
毀 損
遭 竊 2 遺 失
3
3
Vulnerabilities
弱 點
外 洩 遺 失
外 洩 遺 失
毀 損
4
4
3
3
3
2
Probability
可 能 性
4
4
2
2
3
1
A
(V+T+Vu+P)
14
15
10
10
9
風 險 值
B
A 之 平 均 值
14.5
10
4 6.5
Controls
控 制 措 施
設 置 防 火 牆 .
備 份 .
分 級 存 取 管 理 .
備 份
存 取 管 理
7 系 統 使 用 、 維 護 記 錄 1
8 經 營 策 略 與 方 案 3 遭 竊 3 外 洩 遺 失
毀 損
3
1
2
1
11
5
8
9.75
存 取 管 理
安 全 列 管
Cryptology & Network Security Lab.

最 大 可 能 風 險 彙 整 表
Assets Identified Form Survey 資 產 鑑 別 調 查
World Wide Widgets
Confidential
機 密
>
Assets Item
資 產 類 別
平 均
風 險 值
最 大 可 能 威 脅 資 產
可 能 威 脅 或 弱 點
Controls
擬 控 制 措 施
1. Information Assets
資 訊 資 產
2. Paper Documents
書 面 文 件
3. Software Assets
軟 體 資 產
4. People
人 員
5. Services
服 務
6. Company image and reputation
公 司 形 象 及 宣 傳
9.75
9.7
產 品 資 料 庫
客 戶 資 料 庫
採 購 文 件 : 單 據 、 憑 證
銷 售 文 件 : 出 貨 單 發 票
11.5 Web、DB、Mail 等 伺 服
系 統
10.6
11.3
13.6
員 工 ( 高 階 幹 部 )
電 力 、 照 明
通 訊 、 電 信
公 司 整 體 形 象
遭 惡 意 破 壞 、 中 毒 而 毀 損 設 置 防 火 牆 . 備 份 .
分 級 存 取 管 理 .
遭 竊 或 竄 改
分 等 級 控 管 . 要 件 備 份 .
污 損 、 遺 失 、 外 洩 加 強 儲 存 體 之 實 體 安 全 .
遭 攻 擊 、 中 毒
設 置 防 火 牆 . 系 統 備 援 .
系 統 癱 瘓
資 料 備 份 . 人 員 管 理 與 訓 練 .
資 料 外 洩 、 同 業 挖 角 資 料 存 取 控 制 .
忠 誠 度 不 佳
加 強 人 員 管 理 . 落 實 稽 核
錯 誤 操 作 保 養 不 周 與 廠 商 簽 定 緊 急 搶 修 與 維
不 堪 使 用 系 統 癱 瘓 護 合 約 . 加 強 維 護 管 理
同 業 競 爭
教 育 訓 練 加 強 危 機 處 理
政 策 制 度 規 劃 執 行 能 力 不 足 尋 求 專 業 顧 問 公 司 協 助
Cryptology & Network Security Lab.

風 險 評 估 與 管 理 主 要 因 素
阻
止
威 脅
增
加
利 用
增
加
脆 弱 性
暴
露
安 全 措 施
風 險
資 產
導
引
指
出
增
加
具
有
安 全 需 求
價 值
Cryptology & Network Security Lab.

資 訊 安 全 成 本
• 虛 擬 成 本 = 發 生 事 故 損 失 成 本 (L 0 )* 發 生 機 率 (P 0 )
• 實 際 成 本 = 改 善 資 通 安 全 所 花 費 之 成 本
• 改 善 前 資 通 安 全 成 本 (B)= L 0 *P 0
• 改 善 後 資 通 安 全 成 本 (A)= L *P 1
• P 1 ( 改 善 後 發 生 機 率 )
• 有 效 改 善 B > A
Cryptology & Network Security Lab.

資 訊 安 全 成 本 (cont.)
現 存 成 本 (A) = 資 產 價 值 (W) X 資 安 事 件 可 能 發 生 的 機 率 (P0)
-) 虛 擬 成 本 (B) = 資 產 價 值 (W) X 改 善 後 的 機 率 (P1) + 資 安 產 品 成 本 (Co)
--------------------------------------------------------------------------------------------
(A) - (B) = (W) x (P0-P1) - (Co)
Cryptology & Network Security Lab.

資 訊 安 全 的 實 施 - 防 範 政 策
• 評 估 完 成 後 , 便 是 政 策 與 程 序 的 制 定
• 防 範 政 策 的 訂 定 與 改 善 程 序 將 直 接 影 響
資 通 安 全 成 本
• 政 策 制 定 後 , 並 非 一 成 不 變 , 必 須 由 風
險 改 善 程 度 而 調 整 政 策 之 內 容
Cryptology & Network Security Lab.

資 訊 安 全 的 實 施 - 防 範 政 策
• 防 範 政 策 至 少 須 具 有 以 下 內 容 :
• 資 訊 使 用 政 策
• 網 路 管 理 政 策
• 系 統 維 護 政 策
• 帳 號 密 碼 管 理 原 則
• 備 份 計 劃
• 緊 急 應 變 計 劃
• 災 難 復 原 計 畫
Cryptology & Network Security Lab.

資 訊 安 全 的 實 施 - 防 範 政 策
• 政 策 施 行 的 先 後 順 序
• 政 策 訂 定 與 施 行 前 , 應 先 確 認 風 險 評 估 的 完
成 , 依 照 風 險 嚴 重 程 度 進 行 政 策 的 實 施
• 在 許 多 情 況 下 , 因 各 部 門 的 風 險 價 值 不 同 而
有 不 同 的 優 先 順 序 , 因 此 公 司 內 部 可 能 會 有
許 多 政 策 的 制 定 會 同 時 進 行
• 當 風 險 已 降 低 至 可 接 受 的 安 全 程 度 內 , 則 可
召 集 相 關 人 員 共 同 討 論 , 進 行 下 一 政 策 實 施
Cryptology & Network Security Lab.

□ 稅 務 IBE、WUU、WXX、WII 系 統 資 料 檔 案 毀 損 應 變 計 劃 □
一 、 計 畫 適 用 範 圍
IBE、WUU、WXX、WII 系 統 資 料 檔 案 因 備 份 機 制 不 嚴 謹 致 資 料 毀 損 。
二 、 緊 急 應 變 作 業 程 序
應 用 系 統 執 行 出 現 資 料 庫 異 常 時 , 應 即 反 應 資 料 庫 管 理 人 員 , 如 確 定 檔
案 毀 損 時 應 並 同 向 直 屬 管 理 階 層 反 應 情 況 並 初 步 分 析 毀 損 原 因 , 系 統 執
行 人 應 評 估 造 成 應 用 系 統 停 頓 之 影 響 , 分 析 確 認 後 系 統 執 行 人 可 先 以 電
話 或 電 子 郵 件 建 立 之 聯 絡 群 組 通 知 業 務 單 位 主 辦 人 員 暫 緩 作 業 , 並 即 呈
報 科 長 反 應 業 務 單 位 主 管 及 資 訊 安 全 組 織 召 集 人 及 局 長 ; 另 依 資 通 安 全
事 件 危 機 通 報 程 序 規 定 處 理 , 以 便 業 務 單 位 據 以 對 內 對 外 處 理 。
三 、 預 備 作 業 程 序
1、 通 知 機 作 股 磁 帶 管 理 人 員 至 異 地 備 援 場 所 , 將 最 近 異 地 備 援 之 磁 帶 攜 回 。
2、 通 知 異 地 備 援 場 所 之 磁 帶 管 理 人 員 備 妥 磁 帶 。
四 、 回 復 作 業 程 序
1、 通 知 資 料 庫 管 理 人 員 保 存 原 始 紀 錄 後 執 行 備 援 回 復 程 序 。
2、 備 援 回 復 程 序 完 成 後 系 統 執 行 人 應 依 據 資 料 庫 管 理 人 員 回 復 之 資 料 截 止
日 期 判 斷 是 否 應 補 登 錄 落 差 資 料 , 如 有 需 要 應 通 報 業 務 單 位 依 限 完 成 資 料
補 登 錄 工 作 。
五 、 測 試 作 業 程 序
1、 應 用 系 統 負 責 人 員 執 行 線 上 程 式 及 批 次 程 式 驗 證 作 業 程 序 , 並 調 查 系 統 是
否 正 常 且 資 料 處 理 結 果 是 否 正 確 。
2、 通 知 業 務 單 位 開 始 執 行 線 上 程 式 及 批 次 程 式 , 如 有 異 常 應 即 時 反 映 。
六 、 相 關 人 員 之 權 責
1、 磁 帶 管 理 人 員 : 負 責 磁 帶 管 理 。
2、 主 機 管 理 人 員 : 負 責 系 統 資 料 回 復 作 業 。
3、 資 料 庫 管 理 人 員 : 負 責 系 統 資 料 庫 回 復 作 業 。
4、 應 用 系 統 負 責 人 員 : 負 責 回 復 後 測 試 作 業 。
5、 審 查 二 科 : 通 知 各 分 局 、 稽 徵 所 查 審 業 務 承 辦 人 員 。
6、 徵 收 科 : 通 知 各 分 局 、 稽 徵 所 徵 收 業 務 承 辦 人 員 。
七 、 作 業 預 估 所 需 時 間 : 本 作 業 預 估 需 六 小 時 。
Cryptology & Network Security Lab.
應
變
計
劃
--[ xxx 單
位
]

資 訊 安 全 的 實 施 - 系 統 維 護
• 系 統 維 護 內 容 應 包 含
• 危 機 通 報 系 統
• 緊 急 應 變 通 訊 系 統
• 網 路 安 全 防 範
• 防 火 牆
• 虛 擬 私 人 網 路 (VPN) 等
機 制
• 入 侵 偵 測 系 統 (IDS)
• 人 員 身 分 管 理 系 統
• 加 密
• 金 鑰 管 理
• 演 算 法
• 實 體 安 全
• 火 災 , 高 溫 , 斷 電 等
事 故 的 保 護
Cryptology & Network Security Lab.

資 訊 安 全 的 實 施 - 教 育 訓 練
• 員 工
• 使 其 能 對 機 關 產 生 認 知 意 識 , 並 能 保 護 機 關 內 部 機
密 資 訊
• 系 統 維 護 者
• 提 昇 其 資 通 安 全 之 基 本 技 能 , 了 解 最 新 的 駭 客 技
術 、 安 全 威 脅 、 安 全 修 補 等 資 訊
• 管 理 階 層
• 在 教 育 訓 練 過 程 中 了 解 各 部 門 在 資 通 安 全 中 所 扮 演
的 角 色
• 實 施 資 通 安 全 的 基 礎 課 程 , 以 能 確 切 制 定 防 範 政 策
Cryptology & Network Security Lab.

資 訊 安 全 的 實 施 - 稽 核
• 稽 核 的 內 容 應 包 含
• 員 工 對 於 安 全 政 策 的 認 知 與 遵 守
• 系 統 維 護 與 操 作 程 序
• 教 育 訓 練 實 施 成 果
• 網 路 安 全 防 護 裝 置 的 能 力
• 定 期 稽 核 的 程 序
Cryptology & Network Security Lab.

資 訊 安 全 的 實 施 - 稽 核
國 際 與 國 內 資 訊 安 全 標 準 與 法 令
BS7799 / ISO17799
COBIT
NIST
BIS Basel II
我 國 政 府 規 範
我 國 法 令 要 求
Electronic Banking
Control
英 國 國 家 標 準 協 會 , 資 訊 安 全 管 理 機 制 http://www.bsi.org.uk/
國 際 電 腦 稽 核 協 會 , 資 訊 技 術 控 制 架 構 , http://www. isaca.org/
美 國 國 家 標 準 與 技 術 協 會 , http://csrc.nist.gov/nistpubs/800-14.pdf
國 際 清 算 銀 行 / 新 巴 塞 爾 資 本 管 理 協 定 New Basel Capital Accord
『 行 政 院 所 屬 各 機 關 資 訊 安 全 管 理 實 施 基 準 / 要 點 』『 財 政 部 暨 所 屬 機
關 資 訊 安 全 管 理 基 準 』『 金 融 機 構 辦 理 電 子 銀 行 業 務 安 全 控 管 作 業 基 準 』
銀 行 法 , 營 業 秘 密 法 , 個 資 法 , 刑 法 電 腦 犯 罪
美 國 聯 邦 存 款 保 險 公 司 電 子 銀 行 控 制 架 構 評 估 — 稽 核 規 範
Cryptology & Network Security Lab.

BS 7799(CNS17799/17800)
• 為 目 前 國 際 上 最 知 名 的 安 全 規 範 , 而 且 已 被
ISO (International Organization for
Standardization) 接 納 成 為 國 際 標 準
• 台 灣 的 國 家 標 準 CNS 17799、CNS 17800, 就
是 參 考 BS7799 的 Part 1 和 Part2 並 加 以 中 文 化
• 主 要 以 ISMS 風 險 評 估 管 理 架 構 進 行 安 全 管
理 , 涵 蓋 所 有 的 安 全 議 題 , 是 一 套 相 當 複 雜 的
資 訊 安 全 應 用 與 稽 核 的 標 準
Cryptology & Network Security Lab.

BS 7799 歷 史
• 起 源 於 90 年 代 初 期 世 界 經 濟 合 作 開 發 組 織
(OECD) 草 擬 的 資 訊 系 統 安 全 指 導 方 針
• 1993 年 由 英 國 DTI( 英 國 貿 易 及 產 業 局 ) 公 佈
PD0005 資 訊 安 全 管 理 實 施 要 則 , 即 為 BS
7799 part 1 前 身
• 1998 年 由 BSi 公 佈 BS 7799 part 2
• 1999 年 修 訂 驗 證 需 求
• Part 1 在 2000 年 正 式 公 告 成 為 ISO 17799
• Part 2 在 2002 年 進 行 修 訂 為 BS 7799-2:2002
Cryptology & Network Security Lab.

BS 7799 part 1 與 part 2
• BS 7799 part 1 為 資 訊 安 全 管 理 作 業 要 點
• 主 要 是 作 為 參 考 文 件 , 提 供 廣 泛 性 的 安 全 控 制 措
施 , 作 為 現 行 資 訊 安 全 之 最 佳 作 業 方 法
• 不 作 為 評 鑑 與 驗 證 標 準
• BS 7799 part 2:2002 為 資 訊 安 全 管 理 系 統 要
求
• 提 供 資 訊 安 全 管 理 系 統 (ISMS) 之 建 立 實 施 與 書 面 化
之 具 體 要 求 , 依 據 個 別 組 織 的 需 求 , 規 定 要 實 施 之
安 全 控 制 措 施 的 要 求
• 不 是 技 術 標 準 , 而 是 管 理 標 準
Cryptology & Network Security Lab.

CNS17799/17800
(BS 7799/ ISO 17799 ) 十 項 分 析 領 域
包 含 36 個 管 理 目 標 、127 個 控 制 方 法
Cryptology & Network Security Lab.
資 料 來 源 :XiSEC Consultants

BS7799 條 文 範 例
4.1 安 全 政 策
4.1.1 資 訊 安 全 政 策
目 標 ☆ 提 供 管 理 階 層 對 資 訊 安 全 的 指 示 與 支 援
4.1.1.1 資 訊 安 全 政 策 文 件
資 訊 安 全 政 策 文 件 , 需 經 管 理 階 層 核 可 , 發 行 並 充 分
溝 通 , 如 果 可 行 , 應 遍 及 每 一 位 員 工 。
4.1.1.2 審 查 與 評 估
安 全 政 策 應 該 按 時 的 被 審 查 , 且 如 果 有 影 響 性 的 更 改
時 , 需 確 保 它 的 適 合 性 。
Cryptology & Network Security Lab.

BS7799 驗 証 過 程
Cryptology & Network Security Lab.

導 入 BS 7799 之 優 點
• 提 升 內 部 資 訊 安 全 的 保 護 等 級
• 對 安 全 政 策 的 要 求 與 承 諾
• 加 強 員 工 對 企 業 內 資 訊 安 全 的 認 同 與 參 與 感
• 客 戶 滿 意 度 的 提 升 與 安 全 保 證 , 提 高 企 業 競 爭
優 勢
• 是 否 要 導 入 BS 7799?
• 重 要 的 是 企 業 導 入 資 訊 安 全 管 理 系 統 的 目 的 是 什 麼 ?
• 目 的 不 在 拿 證 書 , 在 於 參 考 已 有 的 國 際 標 準 , 逐 步
建 立 適 合 企 業 需 求 的 資 安 體 系 , 透 過 不 斷 的 訓 練 與
推 動 , 讓 安 全 的 觀 念 灌 輸 至 每 位 員 工 中
Cryptology & Network Security Lab.

BS 7799 台 灣 目 前 發 展 現 況
• 2001 年 , 台 灣 僅 只 有 3 家 民 間 企 業 通 過 驗
• 2002 年 , 台 灣 共 有 7 家 民 間 企 業 通 過 驗 證
• 同 年 也 正 式 公 佈 CNS-17799 資 訊 技 術 - 資 訊 安 全 管
理 之 作 業 要 點 及 CNS-17800 資 訊 技 術 - 資 訊 安 全 管
理 系 統 規 範
• 截 至 2004 年 9 月 20 日 止 , 全 球 有 878 家 公 司 取
得 BS7799-2 證 照 , 其 中 台 灣 已 有 25 家 取 得 。
• 在 行 政 院 國 家 資 通 安 全 會 報 積 極 推 動 資 訊 安
全 , 要 求 A 級 單 位 需 在 2004 年 底 率 先 通 過
BS7799 認 證 。
• 預 估 在 未 來 三 年 之 間 將 有 數 百 家 的 公 私 立 機 構 通 過
認 證 。
Cryptology & Network Security Lab.

BS 7799 台 灣 目 前 發 展 現 況 (cont.)
• 目 前 全 球 共 有 十 四 家 驗 證 機 構 可 以 執 行 ISMS
驗 證 , 在 台 灣 有 開 設 分 支 機 構 的 只 有 五 家
• 目 前 發 出 過 BS7799 驗 證 的 只 有 兩 家 ( 英 國 BSi 和 挪 威
DNV)
• 國 內 中 央 標 準 檢 驗 局 從 2003 年 開 始 開 放
CNS17800 的 申 請 稽 核 驗 證 , 目 前 有 20 位 的 稽
核 員 , 在 學 、 經 歷 等 資 格 皆 符 合 國 際 要 求 , 但
在 實 際 的 經 驗 仍 顯 不 足 。
• 2004 年 A 級 等 政 府 單 位 導 入 、 申 請 認 證 後 , 市 場 需
求 量 大 增 , 將 再 培 訓 人 才
Cryptology & Network Security Lab.

BS7799 Lead Auditor
• 負 責 稽 核 的 人 員 最 基 本 的 就 是 需 取 得 BS7799
Lead Auditor 主 導 稽 核 員 之 證 照
• 五 天 40 小 時 , 最 後 一 天 下 午 考 試 , 費 用 約 5-6
萬 元
• 課 程 內 容 :
• BS7799:2002 資 訊 安 全 管 理 系 統
• BS7799 系 統 稽 核 技 巧
• 管 理 和 主 導 BS7799 稽 核 小 組
• 現 場 稽 核 技 巧
• 如 何 建 立 一 個 完 整 的 資 訊 安 全 管 理 系 統
• 資 訊 安 全 風 險 管 理 等
Cryptology & Network Security Lab.

BS7799 Lead Auditor 考 試
• 4 種 題 型 : 選 擇 題 、 簡 答 題 、 詳 答 題 與 情
境 題
• 情 境 題 如 : 描 繪 辦 公 室 內 員 工 的 種 種 行 為 ,
讓 應 試 者 去 判 斷 哪 些 行 為 違 反 了 資 安 規 定 等
• 採 取 Open Book, 不 過 若 是 對 課 本 內 容
不 夠 熟 悉 , 可 能 就 無 法 在 時 間 內 完 成 所
有 考 題
Cryptology & Network Security Lab.

主
導
稽
核
員
證
照
英
國
BSi BS7799/ISO
Cryptology & Network Security Lab.

結 論
安 全 性
• 資 訊 安 全 —
• 說 起 來 ……… 重 要 !
• 做 起 來 ……… 次 要 !!
• 忙 起 來 ……… 不 要 !!!
功 能 性
資 訊
安 全
便 利 性
• 由 全 球 推 動 ISMS 的 過 程 經 驗 中 , 最 基 礎 且 最
重 要 的 便 是 人 員 的 資 安 觀 念 與 管 理 知 識
• 資 通 安 全 = 技 術 + 管 理 + 稽 核
• 應 達 到 “ 均 衡 ” 管 理
• “ 七 分 管 理 , 二 分 技 術 , 一 分 稽 核 ”
Cryptology & Network Security Lab.