slide1
Download
Skip this Video
Download Presentation
資訊安全管理系統 (ISMS) 建置說明

Loading in 2 Seconds...

play fullscreen
1 / 11

資訊安全管理系統 (ISMS) 建置說明 - PowerPoint PPT Presentation


  • 77 Views
  • Uploaded on

資訊安全管理系統 (ISMS) 建置說明. 基隆市教育網路中心 講師:王言俊. 何謂資訊安全 Informational Security(INFOSEC). 資訊可透過網路來互通共享,部份資訊可公開,但部份資訊屬機密,不可公開且不可篡改,必須作保密的管制以防使用者有意或無意的讀取或更改,而有關資訊保護之研究的總合稱為資訊安全。 保護資訊的 機密性 、 完整性 及 可用性 的手段、作法、研究 … 就稱為資訊安全。在資訊安全的範疇內得增加諸如鑑別性、可歸責性、不可否認性與可靠性等特性。. 何謂機密性: 確保只有經過授權的人才可取得資訊,避免資訊洩露。

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about ' 資訊安全管理系統 (ISMS) 建置說明' - sofia


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
slide1

資訊安全管理系統(ISMS)建置說明

基隆市教育網路中心

講師:王言俊

informational security infosec
何謂資訊安全Informational Security(INFOSEC)
  • 資訊可透過網路來互通共享,部份資訊可公開,但部份資訊屬機密,不可公開且不可篡改,必須作保密的管制以防使用者有意或無意的讀取或更改,而有關資訊保護之研究的總合稱為資訊安全。
  • 保護資訊的機密性、完整性及可用性的手段、作法、研究…就稱為資訊安全。在資訊安全的範疇內得增加諸如鑑別性、可歸責性、不可否認性與可靠性等特性。
slide3

何謂機密性:

  • 確保只有經過授權的人才可取得資訊,避免資訊洩露。
  • 資料不得被未經授權之個人、實體或程序所取得或揭露。
slide4

何謂完整性:

  • 可歸責性 (Accountability):確保實體之行為可唯一追溯到該實體的特性。
  • 鑑別性 (Authenticity):確保一主體或資源之識別就是其所聲明者的特性。適用於如使用者、程序、系統與資訊等實體。
  • 不可否認性 (Non-repudiation):對一已發生之行動或事件的證明,使該行動或事件往後不能被否認的能力。
  • 簡言之就是確保資訊不受未經授權的竄改與資訊處理方法的正確性。
slide5

何謂可用性:

  • 確保經授權的使用者,在需要時可以取得資訊,並使用相關資產。
slide6
資訊管理的內容

基礎建設安全管理Frastructure Security Management

實體安全

Physical Security

人員安全

Personal Security

風險管理

Risk Management

平台安全

Platform Security

防火牆與連線安全Firewall & Connectivity Management

復原計畫

Fallback Planning

企業永續營運管理Bussiness Community Management

加密Encryption

密碼管理

Password Management

意外事回應與

犯罪管理

Incident Response & Crisis Management

身份驗證與存取控制Authentication &

Access Control

認證註冊與管理Certificate Registration Management

監督與入侵偵測Monitoring &

Intrusion Detection

滲透測試

Penetration Testing

病毒防治

Virus Prevention

isms information security management system
何謂ISMS(Information Security Management System)
  • 透過規劃(Plan)、執行(Do)、檢查(Check)與行動(Act)以建立完善的制度以進行資訊管理。

規劃 Plan

建立ISMS

執行 Do

行動 Act

實作ISMS

維持改進ISMS

審查ISMS

檢查 Check

slide8

規劃:建立與管理風險及改進資訊安全相關之

ISMS的政策、目標、過程及程序,以產

產生與組織整體政策和目標一致的結果

  • 執行:實做與運作ISMS的政策、控制措施、過

程和程序。

  • 檢查:依據ISMS政策、目標及實際經驗、評鑑

及在試用時測量過程績效,並將結果回

報給管理階層審查。

  • 行動:基於ISMS內部稽核與管理階層稽查結果

或其它相關資訊採取矯正與預防措施,

以達成ISMS的持續改進。

slide9
部份學校目前的資安現況
  • 原資訊組長調校,因為沒有書面紀錄,新任資訊組長對學校資訊設備的位置、功能等不盡了解,甚至還要請教平日協助維護的廠商。
  • 因書面資料不全,學校沒有人明白到底校內有多少合法授權的軟體;軟體授權書、序號也沒有列管而散失。
  • 學校Server是「前前前任資訊組長」架設,沒有書面交接資料(或交接不全),只能使用其上的網頁應用程式,無人能以最高權限管理者登入該Server,故無法更新及維護系統,一旦發生入侵事件不知該如何是好。
  • 資訊組長請假或公出,學校的電腦或是網路發生異常狀況,無人能夠處理,只得急Call資訊組長回校,若資訊組長出國旅遊,異常狀況會持續到他銷假。
slide10
外界對國中小學資安現況的看法
  • 市府研考處:

1.某校的電腦機房亂成一團,進出也沒有管制,好像任何人

都可以進去。

2.某校的行政用電腦,沒有設定通行碼,任何人一開機就能

使用;有行政用電腦有設定,但通行碼是123456,隨便猜

都進的去。

3.某校的行政用電腦內發現有安裝p2p程式,疑似有非法下

載的行為。

  • 部份電腦廠商:

1.某校好像是個大毒窟,隨身碟一旦放入該校的電腦,該隨

身碟就會中毒。

2.某校的網路線拉的亂七八糟,我想幫他重拉都不知如何幫

起。

slide11
部份資訊組長或資訊教師的困境
  • 我是師範系統畢業,我只會教學生,資訊非我所學,我是年資較淺才「被迫」承擔資訊組長。
  • 我每週上課時數2X節,不但要備課還要應付行政事務,根本沒有餘力維護學校資訊設備與處理資安事件。
  • 我兼任班導師,需以學生為主,所以對維護學校資訊設備與處理資安事件有心沒力!

如果你有上述的困境,更需要將ISMS導入貴校。

ad