资讯安全管理系统.pptx

ISMS 資訊平安管理系統 A0933361 盧宗禹 指導老師：梁明章 老師 資訊的定義 by 維基百科 對組織來說，資訊可以是有形或無形的資產，與其他資產一樣需要受到保護 資訊可以任何形式存在 威脅的定義 資訊平安的目的 保護組織的資訊資產 減少弱點 防止威脅 降低衝擊 提升投資報酬率 資訊的 『機密性、完整性、可用性』 Information Security Management System ISMS 是一套有系統的分析與管理資訊平安風險的方法 100% 的資訊平安是過高的期望 ISMS 的目標是透過方法，降低資訊風險至可接受的範圍內 ISMS 的目標 為組織架設一套資訊平安防護機制、建立『平安等級』制度，讓企業具備資訊平安管理能力 防範各種外部威脅，遭受攻擊時系統仍能正常運作 ISMS 的發展歷史 1993年9月，由英國貿工部〔DTI〕組織、許多企業參與編寫了一個資訊平安管理的文本－“資訊平安管理實用規則〔Code of practice for information security management〕〞。 1995年2月，BSI將該文本轉化為為英國國家標準，即BS7799-1:1995信息平安管理實用規則。 1998年2月，BSI又推出用于ISMS認證的國家標準，即BS7799-2:1998，當時稱為信息平安管理體系規範〔Specification for Information Security Management System〕。 1999年BSI將上述兩局部標準修訂，正式推出1999版本。 2000年12月，BS7799-1:1999被採納成為國際標準，即ISO/IEC17799:2000。而BS7799-2沒有能購成為國際標準。 20**年，BSI又將BS7799-2修訂，使其與ISO9001:2000保持高度一致，發布了BS7799-2:20**。 20**年6月15日，ISO/IEC發布ISO/IEC17799:2000的修訂版本，即ISO/IEC17799:20**。 20**年10月15日，ISO/IEC發布ISMS要求標準，即ISO/IEC27001:20**，其藍本就是BS7799-2:20**。 ISMS 運作模式 ISMS 之建立 ISMS 之實施與操作 研擬風險處理計畫 實施風險處理計畫 實施控制措施 實施訓練與認知計畫 作業管理 資源管理 實施平安事件程序及控制措施 ISMS 之監控與審查 監控〔隨時〕 審查〔定期〕 審查殘餘可接受風險 內部稽核 管理階層審查 紀錄 ISMS 之持續改善 實施ISMS 改進活動。 採取適當矯正及預防措施。 與相關單位就結果與各項措施進行溝通並取得同意。 確保各項改進措施達到預期目標。 法務部資訊平安行政規則體系 成功推行ISMS 的關鍵要素 平安政策要能反映企業的目標 執行的方法要配合公司的文化 管理階層的承諾與支持 充分的了解平安需求、風險評估及風險管理 將平安觀念有效的推廣傳達至每位管理者及員工 將資訊平安政策及標準的指導原則讓所有員工及合作夥伴了解 提供適當的教育訓練 一個廣泛及穩定之審查制度，借以評估資訊平安管理的執行效能並提供改善建議。