240 likes | 460 Views
資訊安全管理 — 標準與實務. 苗栗縣政府 資訊安全實務講習 吳美玉 中華大學 資訊管理學系 2009.09.29. 個人簡歷. 現職 中華大學資訊管理學系 助理教授 學歷 交通大學資訊管理研究所博士 專長 資訊安全、資訊安全管理、電子商務 證照 ISO 27001:2005 Lead Auditor (ISO 27001 資訊安全管理系統主導稽核員國際證照 ). ISO27001 Lead Auditor. 大綱. 什麼是資訊? 什麼是資訊安全? 資訊安全管理系統 資訊安全管理制度 資訊安全管理標準 實務案例 結論. 什麼是資訊?.
E N D
資訊安全管理—標準與實務 苗栗縣政府 資訊安全實務講習 吳美玉 中華大學 資訊管理學系 2009.09.29 Mei-Yu Wu
個人簡歷 • 現職 • 中華大學資訊管理學系 助理教授 • 學歷 • 交通大學資訊管理研究所博士 • 專長 • 資訊安全、資訊安全管理、電子商務 • 證照 • ISO 27001:2005 Lead Auditor(ISO 27001 資訊安全管理系統主導稽核員國際證照) Mei-Yu Wu
ISO27001LeadAuditor Mei-Yu Wu
大綱 • 什麼是資訊? • 什麼是資訊安全? • 資訊安全管理系統 • 資訊安全管理制度 • 資訊安全管理標準 • 實務案例 • 結論 Mei-Yu Wu
什麼是資訊? Mei-Yu Wu
什麼是資訊? • “資訊是一種資產,就像其他重要的商業資產一樣,對於組織的商業是不可或缺的,因此需要妥善保護。” • “資訊無論採取何種方式或手段進行共用或存儲,都應加以妥善保護” Source: 翻譯至ISO/IEC 27002:2005, Introduction Mei-Yu Wu
什麼是資訊安全? • 保護資訊(及資料)免於遭受一連串的威脅,以達成… • 確保組織的存活 • 最小化可能的經濟損失 • 最大化組織的利潤與願景 Mei-Yu Wu
資訊安全的基本目標 • 機密性(Confidentiality) • 確保只有經過授權的人才可以存取資訊 • 完整性( Integrity ) • 保護資訊與處理方法的正確與完整 • 可用性(Availability) • 確保經過授權的使用者當需要資訊及相關資產時可以存取得到 Mei-Yu Wu
Source:國家資通安全會報 98年通報應變規定說明 Mei-Yu Wu
Source:國家資通安全會報 98年通報應變規定說明 Mei-Yu Wu
Source:國家資通安全會報 98年通報應變規定說明 Mei-Yu Wu
Source:國家資通安全會報 98年通報應變規定說明 Mei-Yu Wu
資訊安全管理系統 • 資訊安全管理系統(ISMS)為協調各項活動以指導和控制 • 一群人及設施,包括責任、授權和關係 • 保護資訊的機密性、完整性及可用性 • 此外,亦能涉及如鑑別性、可歸責性、不可否認性及可靠性等性質 Mei-Yu Wu
資訊安全管理制度 • Plan-Do-Check-Act (PDCA) Process Model 利害相關者 資訊安全 要求與期望 利害相關者 受管理的 資訊安全 Plan 規劃 建立ISMS Do 執行 Act 行動 ISMS實作與運作 ISMS維持與改進 監督與審查ISMS Check 檢查 Mei-Yu Wu
資訊安全管理標準 • ISO/IEC 27001:2005 • Information technology – Security techniques – Information security management systems – Requirements • 11大管理要項. 39控制目標. 133控制措施 Mei-Yu Wu
ISO/IEC 27001之管理要項 • 資訊安全政策 • 組織資訊安全 • 資產管理 • 人力資源安全 • 實體和環境安全 • 通訊和操作管理 • 存取控制 • 資訊系統的獲取、開發及維護 • 資訊安全事故管理 • 營運持續管理 • 遵循性 Mei-Yu Wu
實務案例-1 • 1999年2月10日,台北捷運公司在凌晨2時進行信號傳輸設備維修時發生意外,負責維修的聯合公司工程人員因作業失誤,將原本應該下達「備份」的滑鼠指令誤移至「重置」區按下,致使啟動木柵線各站訊號的原始參數全數刪除,再一一以人力鍵回後,由工程人員隨車監控,不斷搶救及測試後,全線方於下午4時零5分恢復正常。 • A.10.2.1 服務交付A.12.4.1 作業軟體的控制 Mei-Yu Wu
實務案例-2 • 2007年4月13日,警方筆錄大外洩,全國十多處警察分局、派出所內的警用電腦疑遭入侵,部分偵訊筆錄、被害人指證筆錄、查緝通報和重大刑案偵辦進度疑遭人竊取。初步調查乃因員警載植「P2P」和「FOXY」分享軟體。 • A.8.2.2 資訊安全認知、教育與訓練A.15.1.3 組織記錄的保護A.15.1.4 個人資訊的資料保護與隱私A.15.2.2 技術遵循性查核 Mei-Yu Wu
實務案例-3 • 常看到企業與醫院或診所合作提供員工健康檢查的福利。通常健康檢查報告都是由醫院直接通知,並且採取一定程度的保護措施以避免個人健康狀況遭外洩而影響個人隱私。 • 至於雇主如果想要知道員工的健康檢查狀況,是否必須要經過員工書面同意後,醫院才可以將檢查結果通知雇主? • A.15.1.3 組織記錄的保護A.15.1.4 個人資訊的資料保護與隱私 Mei-Yu Wu
實務案例-4 • 當市民想申請國賠,而進入某市政府法規會網站時,在全文檢索中隨意輸入查詢字眼,就會出現一筆筆民眾的案例資料,不只是文字陳述,就連車禍照片與當事人的就醫紀錄,全都一覽無疑,還有民眾的身分證就這樣被顯示在網站上。法規會表示是外包資訊廠商,忘記把資料加密,才導致民眾的個資全都露,已經請廠商趕工補救。 • A.8.2.2, A.15.1.3, A.15.1.4A.8.2.1 管理階層責任A10.7.3 資訊處置程序 Mei-Yu Wu
實務案例-5 • 民國94 年春節、中秋節間,台鐵訂票系統屢次遭到電腦駭客入侵,導致系統當機。調查局與警方當時一共查獲11 名入侵系統的駭客,台北地檢署偵辦後,檢察官參酌這些駭客並無任何前科,且犯後深知悔意,全部給予緩起訴處分。這11 名駭客,還包括提供給網友付費下載自行設計撰寫的「火車票自動訂票系統」程式設計師。另有7 名軍人是為了幫長官訂購火車票,而誤觸法網。 • A.10.6.1, A.10.6.2, A.10.9.1, A.10.9.2, A10.10.2, A.11.4.2 Mei-Yu Wu
結論 資訊安全 人人有責 Mei-Yu Wu
感謝您的聆聽 ! mywu@chu.edu.tw Q & A Mei-Yu Wu