991020多纳国小校园资讯安全管理研习讲义.ppt

適合網路中心、國中小環境的資安控制項目 中小學資安管理系統實施原則適用範圍與條文 國中、小學內電腦、資訊與網路服務相關的系統、設備、程序、及人員。 實施原則內文詳見附件。 校園資訊安全常見的脆弱點 人員的：資安認知不足、專業訓練不足 環境的：無門禁管制、無空調系統、無UPS、無消防 實體的：對溼度鹽分敏感、無定期備份 組織的：無監督機制、任務編組 程序的：缺乏雙重確認機制 軟體的：已知、未知的漏洞 網路的：缺乏身分鑑別機制、線路未保護 通訊的：無加密機制 文件的：無拷貝管制、無報廢機制 校園面對哪些資訊安全威脅-1 不安全的網路環境 網段未區隔；有線、無線，行政、教學 無連線認證身分鑑別機制 無防火牆 實體線路無保護 軟硬體上已知、未知的安全漏洞 未及時更新軟體修補程式 防毒軟體未更新 可攜式儲存媒體未管制 校園面對哪些資訊安全威脅-2 不安全的實體環境 無防竊機制(鐵窗、鐵門、防盜系統、烙碼、宣導) 電力不足、重要主機無不斷電系統 機房無空調，消防 機敏資料無備份機制 組織、人員的漠視或缺乏教育訓練 無資訊安全管理機制 組織缺乏人力、經費 上級漠視、人員排斥 缺乏認知及教育訓練 違法 不可不知─個人資料保護法 99年5月26日立法院三讀修正通過 公務機關保有個人資料檔案者，應指定專人辦理安全維護事項，防止個人資料被竊取、竄改、毀損、滅失或洩漏。 個人資料外洩賠償上限由二千萬元提高到二億元，獲利超過二億時，以獲利為上限。 電腦或書面資料皆涵蓋 民眾索賠不須負舉證責任 公務機關無論如何都須負「無過失責任」，除天災或不可抗力情形才能免責 學校有這些情況嗎？ 學校網頁內容有無不當公布個人資料或已不合時宜之法令規章、作業程序？ 內部網路公共使用資源共享區，有無存放個資等機密敏感資料？ 有無落實使用者註冊及通行密碼等權限管理制度？ 有無下載未授權、P2P或其他與公務無關之軟體？ 成功推行資安管理系統的因素-1 資安政策、目標、活動能反映營運目標 與組織文化一致 所有管理階層明顯的支持與承諾 對資安要求、風險評鑑、風險管理有充分理解 對員工及其外部人員有效推廣 成功推行資安管理系統的因素-2 向員工及其外部人員分發並宣導資安政策及各項規則的說明 提供經費 提供認知及教育訓練 有效的資安事故管理程序 打造一個量測系統，評估績效及建議回饋，作為改進 QA 感謝聆聽 1.個資法 3.公用電腦、螢幕保護程式、啟用密碼 4.著作權法 * * * 多納國小教師週三進修校園資訊安全管理 2010.10.20 主講人: 蔡福松老師 大綱 何謂資訊安全？ 資訊資產有哪些？哪些資產要特別注意？ 國中小資訊安全管理系統實施原則說明 打造屬於自己的校園資安管理系統 問題與討論 資訊的定義 何謂資訊? 是一種資產 對組織營運有價值的資產 是組織營運不可缺少的 需要適當的保護 資訊的生命週期 創造 處理 儲存 傳輸 破壞 使用 遺失 損毀 C機密性、I完整性、A可用性 計算過程 環境、實體安全 方式或協定、過程加密 天災、人禍 (事件80%) 不當使用、外洩 壓縮、加密、特殊設備讀取 資料刪除、資料報廢 保護 階段 創造 處理 儲存 傳輸 破壞 使用 遺失 損毀 C機密性、I完整性、A可用性 計算過程 環境、實體安全 方式或協定、過程加密 天災、人禍 (事件80%) 不當使用、外洩 壓縮、加密、特殊設備讀取 資料刪除、資料報廢 保護 階段 資訊存在的形式 有實體可再利用： 石碑、獸皮、竹簡、紙本、磁帶、磁片、光碟、硬碟、IC晶片… 無實體不能再利用： 肢體、旗號、聲音、語言、有線無線電子訊號、光訊號… 無論形式為何皆應受到適當保護 何謂資訊安全 保存資訊的機密性、完整性、可用性 鑑別性(例.password) 可歸責性(例.ID) 不可否認性(例.電子簽章) 可靠度(例.環境) 資安3要素C.I.A.定義 機密性(Confidentiality)：未經授權不得存取 完整性(Integrity) ：保持準確與完整 可用性(Availability) ：被授權者可以存取並使用 機密性 可用性 完整性 了解你要管的東西有哪些 應清點及鑑別所管轄之資訊資產，建立「資訊資產清冊」。 應定期更新與維護所管轄之資訊資產清冊。 彙整資訊資產清冊，陳報至資訊安全管理小組予以統一控管，以確保資訊資產編號及清冊之完整性。 資訊資產清冊範例 資產管理角色 Owner 權責單位： 由組織指定的資訊資產擁有單位。 註：Owner指的是負有被認可管理責任個體，負責資產的生產、發展、維護、使用及安全； 並非對該資產有任何實質的財產權。 Keeper 保管單位： 由組織指定的資訊資產保管單位。 User 使用單位： 由組織授權的資訊資產使用單位。 資產清冊範例 資訊資產分