资讯安全管理制度isms简介.PDF

B04-101 B04-101 資訊安全管理制度 (ISMS)簡介 資訊安全管理制度 (ISMS)簡介 課程大綱 課程大綱 資訊安全之基本概念 ISMS之簡介 ISMS建置實例與未來動向 結論 第一章 資訊安全之基本概念 第一章 資訊安全之基本概念 資訊安全概念 資訊安全概念 何謂資訊 ? 何謂資訊 ? 以任何形式存在，不論有形或無形， 使單位可以持續運作的有價資訊資產。 資訊的定義 資訊的定義 資訊是一種資產，就像其他的重要企業資產一樣， 對組織具有價值，因此需要受到適當的保護。 資訊可以許多的形式存在，可以書寫或列印於紙上 ，儲存在電子儲存媒體上，以郵寄或電子儲存傳輸 ，顯示於影片上或在對話中說出。 不管資訊的形式是什麼，或者共用或儲存的方式是 什麼，都應該受到適當的保護。 何謂資訊安全 ? 何謂資訊安全 ? 資訊安全可保護資訊免受多種威脅的攻擊，保證 業務持續性，將業務損失降至最少，同時將投資 回報和商機運用作最大限度地發揮。 資訊安全在保護企業的資訊資產: –避免遭受各種威脅， –確保企業永續經營， –降低對企業之傷害， –提昇企業投資報酬率及商機。 政府機關要保護什麼(1/2) ？ 政府機關要保護什麼(1/2) ？ 保護資料及公務機密 –資料機密性：特別注意透過網路傳輸之資料保 護問題。 –資料完整性：如電子公文、電子支付及電子採 購等應用系統必須特別注意。 –資料可用性：如資料備援等。 保護資訊系統及網路等資訊資源 政府機關要保護什麼(2/2) ？ 政府機關要保護什麼(2/2) ？ 保護政府的聲譽 –民眾對政府的信心可能因資安事件而動搖 – 政府的網站可能被利用來作為犯罪的起源地 – 政府的郵件伺服器可能成為大量垃圾郵件分送的對象 – 政府的網站可能會被冒用者製造很多嚴重的問題 – 政府的網站可能被民眾認為是不可信賴的 資訊安全管理系統 資訊安全管理系統 資訊安全管理系統 資訊安全管理系統 ISMS (Information Security Management System) 是一套有系統地分析和管理資訊安全風險的方法。 要達到 100% 的資訊安全是一種過高的期望，資訊 安全管理的目標是透過控制方法，把資訊風險降低 到可接受的程度內。 資訊安全管理系統的重要性 資訊安全管理系統的重要性 表達提供安全營運環境的決心與承諾。 定義使用資訊與資訊系統的規範。 擘劃資訊安全架構。 為管理階層與全體員工溝通之依據。 資訊安全管理系統的目標 資訊安全管理系統的目標 對內 – 企業具備安全管理能力 – 建立「安全等級」資訊管理制度 – 為資訊架設一套安全防護機制 對外 – 防範病毒及駭客入侵 – 於遭受攻擊時，系統仍可維持正常運作能力 資訊安全管理制度的相關標準 資訊安全管理制度的相關標準 CNS 17799 CNS 17800 BS 7799 (ISO/IEC 17799) – BS 7799-1 : 2000 – BS 7799-2 : 2002 Information Technology Baseline Protection Manual COBIT ISO/IEC 13335 (GMITS) ISO 13569 AS/NZS 4360:1999 Risk Management 我國政府相關規定 我國政府相關規定 行政院及所屬各機關資訊安全管理要點 行政院有訂定