Transcript 投影片

網路安全與ISMS期末報告
姓名：郭天鈞
學號：A0963319
實際案例-南山人壽
 美國國際集團(AIG)12日宣布，由潤泰及寶成集團合
組的潤成投資控股公司以21.6億美元買下南山人壽
97.57%股權。
 南山人壽可能面臨風險：
 員工資料遭盜用，
 客戶個資外洩，
 公司機密文件遭器竊取，
 必須藉由ISMS保護企業的資訊資產。
實際案例-南山人壽
南山人壽要保護甚麼?
 保護資料及商務機密
 資料機密性：透過網路傳輸的資料須特別注意。
 資料完整性：如電子公文，電子支付及電子採購等應
用系統必須特別注意。
 資料可用性：如資料備援等。
 保護資訊系統及網路等資訊資源
資訊安全管理系統
 ISMS(Information Security Management System) 能有效分
析和管理資訊安全風險。
 要達到100%的資訊安全是一種過高的期望，資訊安
全管理的目標是透過控制方法，把資訊風險降低到
可接受的程度內。
資訊安全管理系統的目標
 對內
 企業須具備安全管理的能力
 建立資訊管理制度
 架設一套安全防護機制
 對外
 要有防護病毒及駭客入侵的能力
 系統於遭受攻擊時，仍可維持正常運作。
ISMS的建立
制訂
範圍
監督、
審查與
稽核
分析與
評價威
脅
計畫、
開發執
行安控
機制
鑑別與評
價現存的
安全控制
機制
是
評估與
計算風
險等級
選取安
控機制
符合可
接受風
險等級
決定可
接受風
險等級
ISMS的建立
 建立ISMS的首要任務便是制定認證範圍。
 決定認證範圍後，針對該範圍做分析與評價威脅。
 最後做風險評鑑。
風險評鑑
建立相關方法與準則
辨識風險
1.可能發生風險?
2.風險如何發生?
監控與審核
溝通與諮詢
分析風險
評估風險
是否為可接
受風險?
是
否
風險處理流程
ISMS之持續改進
 實施ISMS改進活動
 採取適當矯正及預防措施
 與企業各部門及相關措施做溝通取得共識
 確保各項措施達到預期目標
 企業資料(電子及書面)皆必須定期更新維護
END
Thanks for listening!