資訊安全管理 — 標準與實務
DESCRIPTION
資訊安全管理 — 標準與實務. 苗栗縣政府 資訊安全實務講習 吳美玉 中華大學 資訊管理學系 2009.09.29. 個人簡歷. 現職 中華大學資訊管理學系 助理教授 學歷 交通大學資訊管理研究所博士 專長 資訊安全、資訊安全管理、電子商務 證照 ISO 27001:2005 Lead Auditor (ISO 27001 資訊安全管理系統主導稽核員國際證照 ). ISO27001 Lead Auditor. 大綱. 什麼是資訊? 什麼是資訊安全? 資訊安全管理系統 資訊安全管理制度 資訊安全管理標準 實務案例 結論. 什麼是資訊?. - PowerPoint PPT PresentationTRANSCRIPT
苗栗縣政府 資訊安全實務講習吳美玉
中華大學 資訊管理學系2009.09.29
112/04/21 Mei-Yu Wu 1
現職中華大學資訊管理學系 助理教授
學歷交通大學資訊管理研究所博士
專長資訊安全、資訊安全管理、電子商務
證照ISO 27001:2005 Lead Auditor
(ISO 27001 資訊安全管理系統主導稽核員國際證照 )
個人簡歷
112/04/21 2Mei-Yu Wu
ISO27001LeadAuditor
112/04/21 3Mei-Yu Wu
什麼是資訊?什麼是資訊安全?資訊安全管理系統資訊安全管理制度資訊安全管理標準實務案例結論
大綱
112/04/21 4Mei-Yu Wu
112/04/21Mei-Yu W
u5
什麼是資訊?
“資訊資訊是一種資產,就像其他重要的商業資產一樣,對於組織的商業是不可或缺的,因此需要妥善保護。”
“資訊無論採取何種方式或手段進行共用或存儲,都應加以妥善保護”
Source: 翻譯至 ISO/IEC 27002:2005, Introduction
什麼是資訊?
112/04/21 6Mei-Yu Wu
保護資訊(及資料)免於遭受一連串的威脅,以達成…確保組織的存活最小化可能的經濟損失最大化組織的利潤與願景
什麼是資訊安全?
112/04/21 7Mei-Yu Wu
機密性機密性( Confidentiality )確保只有經過授權的人才可以存取資訊
完整性完整性( Integrity )保護資訊與處理方法的正確與完整
可用性可用性( Availability )確保經過授權的使用者當需要資訊及相關資產時可以存
取得到
資訊安全的基本目標
112/04/21 8Mei-Yu Wu
Source: 國家資通安全會報 98 年通報應變規定說明112/04/21 9Mei-Yu Wu
Source: 國家資通安全會報 98 年通報應變規定說明112/04/21 10Mei-Yu Wu
Source: 國家資通安全會報 98 年通報應變規定說明112/04/21 11Mei-Yu Wu
Source: 國家資通安全會報 98 年通報應變規定說明112/04/21 12Mei-Yu Wu
資訊安全管理系統( ISMSISMS )為協調各項活動以指導和控制一群人及設施,包括責任、授權和關係保護資訊的機密性、完整性及可用性此外,亦能涉及如鑑別性、可歸責性、不可否認性及可
靠性等性質
資訊安全管理系統
112/04/21 13Mei-Yu Wu
Plan-Do-Check-Act (PDCA) Process Model
資訊安全管理制度
112/04/21 14Mei-Yu Wu
利害相關者
資訊安全要求與期望
利害相關者
受管理的資訊安全
建立 ISMS
監督與審查 ISMS
ISMS 實作與運作
ISMS 維持與改進
Plan 規劃
Do執行
Check 檢查
Act行動
ISO/IEC 27001ISO/IEC 27001:2005Information technology – Security
techniques – Information security management systems – Requirements
11 大管理要項 . 39 控制目標 . 133 控制措施
資訊安全管理標準
112/04/21 15Mei-Yu Wu
ISO/IEC 27001 之管理要項
112/04/21 16Mei-Yu Wu
1999 年 2 月 10 日,台北捷運公司在凌晨 2 時進行信號傳輸設備維修時發生意外,負責維修的聯合公司工程人員因作業失誤,將原本應該下達「備份」的滑鼠指令誤移至「重置」區按下,致使啟動木柵線各站訊號的原始參數全數刪除,再一一以人力鍵回後,由工程人員隨車監控,不斷搶救及測試後,全線方於下午4 時零5 分恢復正常。
A.10.2.1 服務交付A.12.4.1 作業軟體的控制
實務案例 -1
112/04/21 17Mei-Yu Wu
2007 年 4 月 13 日,警方筆錄大外洩,全國十多處警察分局、派出所內的警用電腦疑遭入侵,部分偵訊筆錄、被害人指證筆錄、查緝通報和重大刑案偵辦進度疑遭人竊取。初步調查乃因員警載植「 P2P」和「 FOXY」分享軟體。
A.8.2.2 資訊安全認知、教育與訓練A.15.1.3 組織記錄的保護A.15.1.4 個人資訊的資料保護與隱私A.15.2.2 技術遵循性查核
實務案例 -2
112/04/21 18Mei-Yu Wu
常看到企業與醫院或診所合作提供員工健康檢查的福利。通常健康檢查報告都是由醫院直接通知,並且採取一定程度的保護措施以避免個人健康狀況遭外洩而影響個人隱私。
至於雇主如果想要知道員工的健康檢查狀況,是否必須要經過員工書面同意後,醫院才可以將檢查結果通知雇主?
A.15.1.3 組織記錄的保護A.15.1.4 個人資訊的資料保護與隱私
實務案例 -3
112/04/21 19Mei-Yu Wu
當市民想申請國賠,而進入某市政府法規會網站時,在全文檢索中隨意輸入查詢字眼,就會出現一筆筆民眾的案例資料,不只是文字陳述,就連車禍照片與當事人的就醫紀錄,全都一覽無疑,還有民眾的身分證就這樣被顯示在網站上。法規會表示是外包資訊廠商,忘記把資料加密,才導致民眾的個資全都露,已經請廠商趕工補救。
A.8.2.2, A.15.1.3, A.15.1.4A.8.2.1 管理階層責任A10.7.3 資訊處置程序
實務案例 -4
112/04/21 20Mei-Yu Wu
民國 94 年春節、中秋節間,台鐵訂票系統屢次遭到電腦駭客入侵,導致系統當機。調查局與警方當時一共查獲 11 名入侵系統的駭客,台北地檢署偵辦後,檢察官參酌這些駭客並無任何前科,且犯後深知悔意,全部給予緩起訴處分。這 11 名駭客,還包括提供給網友付費下載自行設計撰寫的「火車票自動訂票系統」程式設計師。另有 7 名軍人是為了幫長官訂購火車票,而誤觸法網。
A.10.6.1, A.10.6.2, A.10.9.1, A.10.9.2, A10.10.2, A.11.4.2
實務案例 -5
112/04/21 21Mei-Yu Wu
結論
112/04/21 22Mei-Yu Wu
