- 1、本文档共183页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
ISMS簡介與法規案例說明 主講人 查傳憲 ISMS簡介 ISO 標準-家族之架構 IS0 的五大精神 資訊安全管理系統認證簡史 1990年:世界經濟合作開發組織(OECD)轄下之資訊、電腦與通訊政策組織開始草擬資訊系統安全指導綱要」。 1992年:OECD於1992年11月26日正式通過「資訊系統安全指導綱要」。 1993年:英國工業與貿易部頒布:「資訊安全管理實務準則」。 1995年:英國訂定「資訊安全管理實務準則」之國家標準BS 7799第一部分,並提交國際標準組織(International Organization for Standardization ,簡稱ISO)成為ISO DIS14980。 1996年:BS 7799(Part Ι)提交國際標準組織(ISO)審議,沒有通過成為ISO標準之要求。 資訊安全管理系統認證簡史(二) 1998年:英國公布BS 7799(Part-2) 「資訊安全管理規範」並為資訊安全管理認證之依據。 2000年:增修後之7799(Part-1)於2000年12月1日通過ISO審議,成為ISO/IEC 17799國際標準。 7799(Part-2) 2002 年12 月5 日未通過審議,我國經濟部標準檢驗局分別基於ISO/IEC 17799 與BS 7799 -2,發布國家標準CNS 17799及CNS 17800。 2005年6月15日,ISO/IEC 17799:2005(E)正式發行。ISO於ISO/IEC 17799:2005(E)之前言敘明於2007年將發行ISMS的27000標準系列。 ISO/IEC 17799:2005(E)將由ISO/IEC 27000系列取代。 2005年10月15日ISO/ IEC 27001與ISO/ IEC 27002正式發行。 資訊科技與資訊安全之演進 資訊安全脆弱性 環境和基礎結構 1.1 缺乏建築物、門、窗等實體的保護 (可能會被利用威脅例:失竊的威脅) 。 1.2 建築物、房間等實體進出控制的不足或不小心之疏忽 (可能會被利用的威脅例:故意損害的威脅) 。 1.3 不穩定的電源 (可能會被利用的威脅例:電源波動的威脅) 。 1.4 位於容易淹水的區域 (可能會被利用的威脅例:淹水的威脅) 。 硬體 2.1 缺少定期置換機制 (可能會被利用的威脅例:儲存媒介劣化的威脅)。 2.2 電壓容易變動 (可能會被利用的威脅例:電源波動的威脅) 。 2.3 溫度容易變動 (可能會被利用的威脅例:極端溫度的威脅) 。 2.4 容易潮濕、有灰塵 (可能會被利用的威脅例:灰塵的威脅) 。 2.5 對於電磁輻射敏感 (可能會被利用的威脅例:電磁輻射的威脅) 。 2.6 儲存媒介維護不夠/安裝失敗 (可能會被利用的威脅例:錯誤之維護威脅) 。 2.7 缺乏有效的組態變更控制 (可能會被利用的威脅例:操作人員執行錯誤的威脅) 。 資訊安全脆弱性 3.軟體 3.1 開發者的規範不清楚或不完整。(可能會被利用的威脅例:軟體失能的威脅) 3.2 沒有軟體測試或軟體測試不足。(可能會被利用的威脅例:未經授權使用者使用軟體的 威脅) 3.3 複雜的使用者介面。 (可能會被利用的威脅例:操作人員執行錯誤的威脅) 3.4 識別與鑑別(像是使用者鑑別)機制的不足。(可能會被利用的威脅例:偽裝使用者身分 的威脅) 3.5 缺乏稽核軌跡。(可能會被利用的威脅例:在未經授權的方式下使用軟體的威脅) 3.6 軟體的瑕疵。(可能會被利用的威脅例:未經授權的使用者使用軟體的威脅) 3.7 密碼表保護不足。(可能會被利用的威脅例:偽裝使用者身分的威脅) 3.8 密碼管理不足(易猜到密碼、未清除不應儲存的密碼、變更密碼的頻率不足)。 (可能會被利用的威脅例:偽裝合法使用者身分的威脅) 3.9 存取權限指派錯誤。(可能會被利用的威脅例:未經授權下使用軟體的威脅) 3.10 未控制軟體的使用和下載。(可能會被利用的威脅例:惡意軟體的威脅) 3.11 離開工作站時沒有”登出”。(可能會被利用的威脅例:未經授權的使用者使用資訊資源 的威脅) 3.12 缺乏有效變更控制的管理。(可能會被利用的威脅例:軟體失能的威脅) 3.13 缺乏文件。(可能會被利用的威脅例:操作人員執行錯誤的威脅) 3.14 缺乏複製備份。(可能會被利用的威脅例:惡意軟體或火災的威脅) 3.15 沒有適當刪除就處置或重覆使用儲存媒介。(可能會被利用的威脅例:未經授權的使用 者使用
文档评论(0)