1 / 27

ISMS 資訊安全管理系統

ISMS 資訊安全管理系統. A0933361 盧宗禹 指導老師:梁明章 老師. 資訊的定義 by 維基百科. 對組織來說,資訊可以是有形或無形的資產,與其他資產一樣需要受到保護 資訊可以任何形式存在. 威脅的定義. 資訊安全的目的. 保護組織的資訊資產 減少弱點 避免威脅 降低衝擊 提升投資報酬率 資訊的 『 機密性、完整性、可用性 』. Information Security Management System. ISMS 是一套有系統的分析與管理資訊安全風險的方法. 100% 的資訊安全是過高的期望

rahim-sampson
Download Presentation

ISMS 資訊安全管理系統

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. ISMS 資訊安全管理系統 A0933361 盧宗禹 指導老師:梁明章 老師

  2. 資訊的定義 by 維基百科

  3. 對組織來說,資訊可以是有形或無形的資產,與其他資產一樣需要受到保護對組織來說,資訊可以是有形或無形的資產,與其他資產一樣需要受到保護 • 資訊可以任何形式存在

  4. 威脅的定義

  5. 資訊安全的目的 保護組織的資訊資產 • 減少弱點 • 避免威脅 • 降低衝擊 • 提升投資報酬率 • 資訊的 『機密性、完整性、可用性』

  6. InformationSecurityManagementSystem • ISMS 是一套有系統的分析與管理資訊安全風險的方法

  7. 100% 的資訊安全是過高的期望 • ISMS 的目標是透過方法,降低資訊風險至可接受的範圍內

  8. ISMS 的目標 • 為組織架設一套資訊安全防護機制、建立『安全等級』制度,讓企業具備資訊安全管理能力 • 防範各種外部威脅,遭受攻擊時系統仍能正常運作

  9. ISMS 的發展歷史 • 1993年9月,由英國貿工部(DTI)組織、許多企業參與編寫了一個資訊安全管理的文本-“資訊安全管理實用規則(Code of practice for information security management)”。

  10. 1995年2月,BSI將該文本轉化為為英國國家標準,即BS7799-1:1995信息安全管理實用規則。1995年2月,BSI將該文本轉化為為英國國家標準,即BS7799-1:1995信息安全管理實用規則。

  11. 1998年2月,BSI又推出用于ISMS認證的國家標準,即BS7799-2:1998,當時稱為信息安全管理體系規範(Specification for Information Security Management System)。

  12. 1999年BSI將上述兩部分標準修訂,正式推出1999版本。1999年BSI將上述兩部分標準修訂,正式推出1999版本。

  13. 2000年12月,BS7799-1:1999被採納成為國際標準,即ISO/IEC17799:2000。而BS7799-2沒有能購成為國際標準。2000年12月,BS7799-1:1999被採納成為國際標準,即ISO/IEC17799:2000。而BS7799-2沒有能購成為國際標準。

  14. 2002年,BSI又將BS7799-2修訂,使其與ISO9001:2000保持高度一致,發布了BS7799-2:2002。2002年,BSI又將BS7799-2修訂,使其與ISO9001:2000保持高度一致,發布了BS7799-2:2002。

  15. 2005年6月15日,ISO/IEC發布ISO/IEC17799:2000的修訂版本,即ISO/IEC17799:2005。2005年6月15日,ISO/IEC發布ISO/IEC17799:2000的修訂版本,即ISO/IEC17799:2005。

  16. 2005年10月15日,ISO/IEC發布ISMS要求標準,即ISO/IEC27001:2005,其藍本就是BS7799-2:2002。2005年10月15日,ISO/IEC發布ISMS要求標準,即ISO/IEC27001:2005,其藍本就是BS7799-2:2002。

  17. ISMS 運作模式

  18. ISMS 之建立

  19. ISMS 之實施與操作 • 研擬風險處理計畫 • 實施風險處理計畫 • 實施控制措施 • 實施訓練與認知計畫 • 作業管理 • 資源管理 • 實施安全事件程序及控制措施

  20. ISMS 之監控與審查 • 監控(隨時) • 審查(定期) • 審查殘餘可接受風險 • 內部稽核 • 管理階層審查 • 紀錄

  21. ISMS 之持續改善 • 實施ISMS 改進活動。 • 採取適當矯正及預防措施。 • 與相關單位就結果與各項措施進行溝通並取得同意。 • 確保各項改進措施達到預期目標。

  22. 法務部資訊安全行政規則體系

  23. 成功推行ISMS 的關鍵要素 • 安全政策要能反映企業的目標 • 執行的方法要配合公司的文化 • 管理階層的承諾與支持 • 充分的了解安全需求、風險評估及風險管理 • 將安全觀念有效的推廣傳達至每位管理者及員工 • 將資訊安全政策及標準的指導原則讓所有員工及合作夥伴了解 • 提供適當的教育訓練 • 一個廣泛及穩定之審查制度,借以評估資訊安全管理的執行效能並提供改善建議。

More Related