前言资讯安全管理系统InformationSecurityManagementSystem.PPT

校園建置ISMS 網路安全與ISMS 學生：A0963306鄭諦謄 指導教授：梁明章 大綱 前言 安全組織及管理權責 風險評量 選擇控制措施考量因素 風險處理 * 前言 資訊安全管理系統(Information Security Management System，簡稱ISMS) 政府對於資訊安全的投入不遺餘力 * 前言 學校依行政院「資訊安全責任等級分級」的分級為B，應執行工作重點為 等級3之防禦機制強度 防護縱深 97年前通過ISO27001第三者執行之認證 98年起納入學校評鑑項目 每年至少一次內稽 資安教育訓練 96年前資安專業鑑定一張 * 安全組織及管理權責 資訊安全推動委員會 建立資訊安全管理制度並推動資訊安全相關事宜 召集人(由中心主任擔任) 召集資訊安全管理審查會議，並追蹤其決議事項 督導本中心風險評鑑作業 督導本中心持續營運計畫之修訂與演練 * 安全組織及管理權責 資訊安全稽核小組(5人)： 執行資訊安全管理之內部稽核作業。 資訊安全工作小組(10人)： 評估人員進用之安全性 辦理資訊安全教育訓練 資訊資產之安全需求研議、使用管理及保護等事項 程序及規範書草擬 * 風險評量 任何風險評估工具或方法皆可運用 風險評估值是由資產價值及弱點威脅所組成 組織內需用同一評比標準，以免不同資產風險值之定義與實際相差太大 各資產之風險值會隨著時間及環境而變化 風險評估之方式，範圍及評比標準需文件化，以利將來重新評估之依據 * 風險評量表 資產項目 資產價值 (1-10) 弱點 威脅 威脅階度 (1-5) 現有控制措施 控制措施 風險值 Webserver 7 OS存取管控不良 非法存取 3 關閉網芳功能 21 帳號破解 2 以高安全度設定密碼 14 電源不穩定 硬體Down 3 裝設UPS 21 資料毀損 5 資料備份 35 電腦教室PC 3 未設通行碼 非法存取 2 6 亂發廣告信 3 現有firewall阻擋 9 實體管制 環境不良 遭竊 4 加裝監視器 12 * 選擇控制措施考量因素 經費 措施範圍:同一控制措施可針對多個資產 效益:同一控制措施可針對多個威脅弱點 管理權限:該措施是否為組織內之權限 技術可行性及合理性 * 風險處理 定一基準線, 基準線以上為必須施以控制措施項目或轉移風險 基準線以下則為可接受之風險 施以控制措施可以由風險值之大小設定優先次序 可就整體, 例如每部PC裝設軟體及裝設防毒牆, 可就以管理之效益或成本擇一, 或是為增加安全係數兩者皆施行 * THE END * *