190 likes | 396 Views
ISO/IEC 17799 > 資訊安全管理系統 國際標準簡介 <. 甚麼是 ISO/IEC 17799 ?. 資訊安全管理國際標準 > ISO/IEC 17799 >國際標準化組織 ISO : International Organization for Standardization > 國際電子技術委員會 IEC : International Electro technical Commission. 甚麼是 ISO/IEC 17799 ?. Industry. DISC. DTI. BS PD0003. BS 7799-1:1995. BSI. +.
E N D
ISO/IEC 17799>資訊安全管理系統 國際標準簡介<
甚麼是ISO/IEC 17799? • 資訊安全管理國際標準 >ISO/IEC 17799 >國際標準化組織 ISO:International Organization for Standardization >國際電子技術委員會 IEC:International Electro technical Commission
甚麼是ISO/IEC 17799? Industry DISC DTI BS PD0003 BS 7799-1:1995 BSI + Nov 97- April 99 BS 7799-2:1998 BS 7799-1:1999 BS 7799-2:1999 ISO 17799
ISO 17799 國際標準的發展歷史 • 1995 BS7799 Part 1 Code of practice施行細則 • 1998 BS7799 Part 2 specification認證標準 • 1999 BS7799 part 1 Code of practice施行細則 • 1999 BS7799 Part 2 specification認證標準 • 2000 ISO/IEC 17799 (BS7799 Part 1) Code of practice施行細則 • 2001 CNS 17799-1(ISO 17799) & CNS 17799-2(BS 7799 part 2)
技術委員會 BDD/2 金融服務: Association of British Insurers, Institute of Chartered Accountants in England and Wales, Institute of Internal Auditors, Lloyds TSB, Nationwide Building Society, HSBS 通訊:British Telecommunications plc Racal Network Services 零售:Marks and Spencer plc 其他:Shell International Petroleum, Uniliver plc Whitbread, KPMG
ISO 17799與 BS7799 part 2 • ISO 17799 (CNS 17799-1) • 施行細則 • 參考文件 • 完整的最佳資訊安全管理範例 • BS7799 Part 2 (CNS 17799-2) • 以 ISO 17799 為基礎 • 規範了建立執行和文件劃一套資訊安全管理系統的要求 • 驗證標準
『ISO 17799』的內容 • 10管理要項 • 36執行目標 • 127管制方法
『ISO 17799』的結構 • 資訊安全範圍 • 風險審查與風險管理 • 資訊安全政策 • 安全管理架構 • 資訊安全管理系統維護與審查
十大管理要項 一、資訊安全政策 二、組織與權責 三、資產分類與管理 四、人員安全管理 五、設備與環境之安全管理 六、通訊及作業之安全 七、存取管制 八、資訊系統之開發與維護 九、業務活動永續運作之管理 十、法令依循
三十六個執行目標 ☆外來單位存取組織內資訊及資訊 處理設施時之安全管理。 ☆ 委外加工處理時相關資訊之安全 管理。 ☆ 降低人為錯誤、偷竊、欺騙或設 備誤用之風險。
三十六個執行目標(續) ☆發生易發事件及故障時如何將損害 降至最小,監督類似事件並從中學習。 ☆ 當發生重大系統失效或人為疏失時,不 會中斷企業活動且能保護企業的關鍵流程。 ☆ 避免觸犯任何刑事或民事法令和已成文 的、受控制的規範、合約及義務,還有 資訊安全要求。
一百二十七種管制方法 【例】4.1安全政策 4.1.1 資訊安全政策 目標☆ 提供管理階層對資訊安全的指示與支援 4.1.1.1 資訊安全政策文件 資訊安全政策文件,需經管理階層核可,發 行並充分溝通,如果可行,應遍及每一位員工。 4.1.1.2 審查與評估 安全政策應該按時的被審查,且如果有影響性的 更改時,需確保它的適合性。
一百二十七種管制方法 【例】4.2組織與權責 4.2.1 資訊安全基礎架構 目標☆ 如何在組織內管理資訊安全 4.2.1.1 資訊安全管理委員會 4.2.1.2 部門間協調 4.2.1.3 權責分配 4.2.1.4 資訊處理設備之授權流程 4.2.1.5 專業資訊安全顧問 4.2.1.6 組織間合作 4.2.1.7 資訊安全審核之獨立性
一百二十七種管制方法 【例】4.4人員安全管理 4.4.3 資訊安全事件及故障之回報 目標☆發生資訊安全事件及故障時如何將損害降至 最小,如何監督類似事件並從中學習。4.4.3.1 事件回報 4.4.3.2 安全漏洞回報 4.4.3.3 軟體功能障礙回報 4.4.3.4 如何從事件中學習 4.4.3.5 違規懲戒之流程
一百二十七種管制方法 【例】4.10法令依循 4.10.1 符合法令要求 目標☆ 避免觸犯任何刑事或民事法令和已成文的、受 控制的規範、合約及義務,以及資訊安全要求。 4.10.1.1 相關法令要求之鑑別 4.10.1.2 智慧財產權 4.10.1.3 組織有關紀錄之防護措施 4.10.1.4 資料保護及個人隱私 4.10.1.5 防止資訊處理設備之誤用 4.10.1.6 加密技術之法令規定 4.10.1.7 證據收集
國際趨勢 • 全世界已有八個國家超過50個組織通過BSi BS7799 的驗證 (台灣預計年底前有兩家) • 日韓與中國大陸都將於近期內轉換為其國家標準 • . • .