資訊安全管理系統
This presentation is the property of its rightful owner.
Sponsored Links
1 / 11

資訊安全管理系統 (ISMS) 建置說明 PowerPoint PPT Presentation


  • 49 Views
  • Uploaded on
  • Presentation posted in: General

資訊安全管理系統 (ISMS) 建置說明. 基隆市教育網路中心 講師:王言俊. 何謂資訊安全 Informational Security(INFOSEC). 資訊可透過網路來互通共享,部份資訊可公開,但部份資訊屬機密,不可公開且不可篡改,必須作保密的管制以防使用者有意或無意的讀取或更改,而有關資訊保護之研究的總合稱為資訊安全。 保護資訊的 機密性 、 完整性 及 可用性 的手段、作法、研究 … 就稱為資訊安全。在資訊安全的範疇內得增加諸如鑑別性、可歸責性、不可否認性與可靠性等特性。. 何謂機密性: 確保只有經過授權的人才可取得資訊,避免資訊洩露。

Download Presentation

資訊安全管理系統 (ISMS) 建置說明

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


Isms

資訊安全管理系統(ISMS)建置說明

基隆市教育網路中心

講師:王言俊


Informational security infosec

何謂資訊安全Informational Security(INFOSEC)

  • 資訊可透過網路來互通共享,部份資訊可公開,但部份資訊屬機密,不可公開且不可篡改,必須作保密的管制以防使用者有意或無意的讀取或更改,而有關資訊保護之研究的總合稱為資訊安全。

  • 保護資訊的機密性、完整性及可用性的手段、作法、研究…就稱為資訊安全。在資訊安全的範疇內得增加諸如鑑別性、可歸責性、不可否認性與可靠性等特性。


Isms

何謂機密性:

  • 確保只有經過授權的人才可取得資訊,避免資訊洩露。

  • 資料不得被未經授權之個人、實體或程序所取得或揭露。


Isms

何謂完整性:

  • 可歸責性 (Accountability):確保實體之行為可唯一追溯到該實體的特性。

  • 鑑別性 (Authenticity):確保一主體或資源之識別就是其所聲明者的特性。適用於如使用者、程序、系統與資訊等實體。

  • 不可否認性 (Non-repudiation):對一已發生之行動或事件的證明,使該行動或事件往後不能被否認的能力。

  • 簡言之就是確保資訊不受未經授權的竄改與資訊處理方法的正確性。


Isms

何謂可用性:

  • 確保經授權的使用者,在需要時可以取得資訊,並使用相關資產。


Isms

資訊管理的內容

基礎建設安全管理Frastructure Security Management

實體安全

Physical Security

人員安全

Personal Security

風險管理

Risk Management

平台安全

Platform Security

防火牆與連線安全Firewall & Connectivity Management

復原計畫

Fallback Planning

企業永續營運管理Bussiness Community Management

加密Encryption

密碼管理

Password Management

意外事回應與

犯罪管理

Incident Response & Crisis Management

身份驗證與存取控制Authentication &

Access Control

認證註冊與管理Certificate Registration Management

監督與入侵偵測Monitoring &

Intrusion Detection

滲透測試

Penetration Testing

病毒防治

Virus Prevention


Isms information security management system

何謂ISMS(Information Security Management System)

  • 透過規劃(Plan)、執行(Do)、檢查(Check)與行動(Act)以建立完善的制度以進行資訊管理。

規劃 Plan

建立ISMS

執行 Do

行動 Act

實作ISMS

維持改進ISMS

審查ISMS

檢查 Check


Isms

  • 規劃:建立與管理風險及改進資訊安全相關之

    ISMS的政策、目標、過程及程序,以產

    產生與組織整體政策和目標一致的結果

  • 執行:實做與運作ISMS的政策、控制措施、過

    程和程序。

  • 檢查:依據ISMS政策、目標及實際經驗、評鑑

    及在試用時測量過程績效,並將結果回

    報給管理階層審查。

  • 行動:基於ISMS內部稽核與管理階層稽查結果

    或其它相關資訊採取矯正與預防措施,

    以達成ISMS的持續改進。


Isms

部份學校目前的資安現況

  • 原資訊組長調校,因為沒有書面紀錄,新任資訊組長對學校資訊設備的位置、功能等不盡了解,甚至還要請教平日協助維護的廠商。

  • 因書面資料不全,學校沒有人明白到底校內有多少合法授權的軟體;軟體授權書、序號也沒有列管而散失。

  • 學校Server是「前前前任資訊組長」架設,沒有書面交接資料(或交接不全),只能使用其上的網頁應用程式,無人能以最高權限管理者登入該Server,故無法更新及維護系統,一旦發生入侵事件不知該如何是好。

  • 資訊組長請假或公出,學校的電腦或是網路發生異常狀況,無人能夠處理,只得急Call資訊組長回校,若資訊組長出國旅遊,異常狀況會持續到他銷假。


Isms

外界對國中小學資安現況的看法

  • 市府研考處:

    1.某校的電腦機房亂成一團,進出也沒有管制,好像任何人

    都可以進去。

    2.某校的行政用電腦,沒有設定通行碼,任何人一開機就能

    使用;有行政用電腦有設定,但通行碼是123456,隨便猜

    都進的去。

    3.某校的行政用電腦內發現有安裝p2p程式,疑似有非法下

    載的行為。

  • 部份電腦廠商:

    1.某校好像是個大毒窟,隨身碟一旦放入該校的電腦,該隨

    身碟就會中毒。

    2.某校的網路線拉的亂七八糟,我想幫他重拉都不知如何幫

    起。


Isms

部份資訊組長或資訊教師的困境

  • 我是師範系統畢業,我只會教學生,資訊非我所學,我是年資較淺才「被迫」承擔資訊組長。

  • 我每週上課時數2X節,不但要備課還要應付行政事務,根本沒有餘力維護學校資訊設備與處理資安事件。

  • 我兼任班導師,需以學生為主,所以對維護學校資訊設備與處理資安事件有心沒力!

如果你有上述的困境,更需要將ISMS導入貴校。


  • Login