1 / 11

資訊安全管理系統 (ISMS) 建置說明

資訊安全管理系統 (ISMS) 建置說明. 基隆市教育網路中心 講師:王言俊. 何謂資訊安全 Informational Security(INFOSEC). 資訊 可透過網路來互通共享,部份資訊可公開,但部份資訊屬機密,不可公開且不可篡改,必須作保密的管制以防使用者有意或無意的讀取或更改,而有關資訊保護之研究的總合稱為資訊安全 。 保護資訊的 機密性 、 完整性 及 可用性 的手段、作法、研究 … 就稱為資訊安全。在資訊安全的範疇內得增加諸如鑑別性、可歸責性、不可否認性與可靠性等特性。. 何謂機密性: 確保只有經過授權的人才可取得資訊,避免資訊洩露。

penny
Download Presentation

資訊安全管理系統 (ISMS) 建置說明

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 資訊安全管理系統(ISMS)建置說明 基隆市教育網路中心 講師:王言俊

  2. 何謂資訊安全Informational Security(INFOSEC) • 資訊可透過網路來互通共享,部份資訊可公開,但部份資訊屬機密,不可公開且不可篡改,必須作保密的管制以防使用者有意或無意的讀取或更改,而有關資訊保護之研究的總合稱為資訊安全。 • 保護資訊的機密性、完整性及可用性的手段、作法、研究…就稱為資訊安全。在資訊安全的範疇內得增加諸如鑑別性、可歸責性、不可否認性與可靠性等特性。

  3. 何謂機密性: • 確保只有經過授權的人才可取得資訊,避免資訊洩露。 • 資料不得被未經授權之個人、實體或程序所取得或揭露。

  4. 何謂完整性: • 可歸責性 (Accountability):確保實體之行為可唯一追溯到該實體的特性。 • 鑑別性 (Authenticity):確保一主體或資源之識別就是其所聲明者的特性。適用於如使用者、程序、系統與資訊等實體。 • 不可否認性 (Non-repudiation):對一已發生之行動或事件的證明,使該行動或事件往後不能被否認的能力。 • 簡言之就是確保資訊不受未經授權的竄改與資訊處理方法的正確性。

  5. 何謂可用性: • 確保經授權的使用者,在需要時可以取得資訊,並使用相關資產。

  6. 資訊管理的內容 實體安全 Physical Security 基礎建設安全管理Frastructure Security Management 人員安全 Personal Security 風險管理 Risk Management 平台安全 Platform Security 防火牆與連線安全Firewall & Connectivity Management 復原計畫 Fallback Planning 企業永續營運管理Bussiness Community Management 加密Encryption 密碼管理 Password Management 意外事回應與 犯罪管理 Incident Response & Crisis Management 身份驗證與存取控制Authentication & Access Control 認證註冊與管理Certificate Registration Management 監督與入侵偵測Monitoring & Intrusion Detection 滲透測試 Penetration Testing 病毒防治 Virus Prevention

  7. 何謂ISMS(Information Security Management System) • 透過規劃(Plan)、執行(Do)、檢查(Check)與行動(Act)以建立完善的制度以進行資訊管理。 規劃 Plan 建立ISMS 執行 Do 行動 Act 實作ISMS 維持改進ISMS 審查ISMS 檢查 Check

  8. 規劃:建立與管理風險及改進資訊安全相關之 ISMS的政策、目標、過程及程序,以產 產生與組織整體政策和目標一致的結果 • 執行:實做與運作ISMS的政策、控制措施、過 程和程序。 • 檢查:依據ISMS政策、目標及實際經驗、評鑑 及在試用時測量過程績效,並將結果回 報給管理階層審查。 • 行動:基於ISMS內部稽核與管理階層稽查結果 或其它相關資訊採取矯正與預防措施, 以達成ISMS的持續改進。

  9. 部份學校目前的資安現況 • 原資訊組長調校,因為沒有書面紀錄,新任資訊組長對學校資訊設備的位置、功能等不盡了解,甚至還要請教平日協助維護的廠商。 • 因書面資料不全,學校沒有人明白到底校內有多少合法授權的軟體;軟體授權書、序號也沒有列管而散失。 • 學校Server是「前前前任資訊組長」架設,沒有書面交接資料(或交接不全),只能使用其上的網頁應用程式,無人能以最高權限管理者登入該Server,故無法更新及維護系統,一旦發生入侵事件不知該如何是好。 • 資訊組長請假或公出,學校的電腦或是網路發生異常狀況,無人能夠處理,只得急Call資訊組長回校,若資訊組長出國旅遊,異常狀況會持續到他銷假。

  10. 外界對國中小學資安現況的看法 • 市府研考處: 1.某校的電腦機房亂成一團,進出也沒有管制,好像任何人 都可以進去。 2.某校的行政用電腦,沒有設定通行碼,任何人一開機就能 使用;有行政用電腦有設定,但通行碼是123456,隨便猜 都進的去。 3.某校的行政用電腦內發現有安裝p2p程式,疑似有非法下 載的行為。 • 部份電腦廠商: 1.某校好像是個大毒窟,隨身碟一旦放入該校的電腦,該隨 身碟就會中毒。 2.某校的網路線拉的亂七八糟,我想幫他重拉都不知如何幫 起。

  11. 部份資訊組長或資訊教師的困境 • 我是師範系統畢業,我只會教學生,資訊非我所學,我是年資較淺才「被迫」承擔資訊組長。 • 我每週上課時數2X節,不但要備課還要應付行政事務,根本沒有餘力維護學校資訊設備與處理資安事件。 • 我兼任班導師,需以學生為主,所以對維護學校資訊設備與處理資安事件有心沒力! 如果你有上述的困境,更需要將ISMS導入貴校。

More Related