****(ISMS) - 基隆市政府教育處全球資訊網
Download
Report
Transcript ****(ISMS) - 基隆市政府教育處全球資訊網
資訊安全管理系統(ISMS)建置
說明
基隆市教育網路中心
講師:王言俊
何謂資訊安全
Informational Security(INFOSEC)
• 資訊可透過網路來互通共享,部份資訊可
公開,但部份資訊屬機密,不可公開且不
可篡改,必須作保密的管制以防使用者有
意或無意的讀取或更改,而有關資訊保護
之研究的總合稱為資訊安全。
• 保護資訊的機密性、完整性及可用性的手
段、作法、研究…就稱為資訊安全。在資
訊安全的範疇內得增加諸如鑑別性、可歸
責性、不可否認性與可靠性等特性。
Confidentiality
機密性
Availability
Integrity
可用性
完整性
何謂機密性:
• 確保只有經過授權的人才可取得資訊,避免資訊洩露。
• 資料不得被未經授權之個人、實體或程序所取得或揭露。
Confidentiality
機密性
Availability
Integrity
可用性
完整性
何謂完整性:
• 可歸責性 (Accountability):確保實體之行為可唯一追溯到該
實體的特性。
• 鑑別性 (Authenticity):確保一主體或資源之識別就是其所聲
明者的特性。適用於如使用者、程序、系統與資訊等實體。
• 不可否認性 (Non-repudiation):對一已發生之行動或事件的
證明,使該行動或事件往後不能被否認的能力。
• 簡言之就是確保資訊不受未經授權的竄改與資訊處理方法的正
確性。
Confidentiality
機密性
Availability
Integrity
可用性
完整性
何謂可用性:
• 確保經授權的使用者,在需要時可以取得資訊,並使用相
關資產。
資訊管理的內容
基礎建設安全管理
Frastructure Security
Management
風險管理
Risk Management
實體安全
Physical Security
人員安全
Personal Security
Confidentiality
防火牆與連線安全
Firewall & Connectivity
Management
平台安全
Platform Security
機密性
復原計畫
Fallback Planning
企業永續營運管理
Bussiness Community
Management
加密Encryption
密碼管理
Password Management
身份驗證與存取控制
Authentication &
Access Control
Availability
Integrity
可用性
完整性
認證註冊與管理
Certificate Registration
Management
滲透測試
Penetration Testing
病毒防治
Virus Prevention
意外事回應與
犯罪管理
Incident Response &
Crisis Management
監督與入侵偵測
Monitoring &
Intrusion Detection
何謂ISMS(Information Security
Management System)
• 透過規劃(Plan)、執行(Do)、檢查(Check)
與行動(Act)以建立完善的制度以進行資訊
管理。
規劃 Plan
建立ISMS
執行 Do
實作ISMS
維持改進ISMS
審查ISMS
檢查 Check
行動 Act
• 規劃:建立與管理風險及改進資訊安全相關之
ISMS的政策、目標、過程及程序,以產
產生與組織整體政策和目標一致的結果
• 執行:實做與運作ISMS的政策、控制措施、過
程和程序。
• 檢查:依據ISMS政策、目標及實際經驗、評鑑
及在試用時測量過程績效,並將結果回
報給管理階層審查。
• 行動:基於ISMS內部稽核與管理階層稽查結果
或其它相關資訊採取矯正與預防措施,
以達成ISMS的持續改進。
部份學校目前的資安現況
• 原資訊組長調校,因為沒有書面紀錄,新任資訊組
長對學校資訊設備的位置、功能等不盡了解,甚至
還要請教平日協助維護的廠商。
• 因書面資料不全,學校沒有人明白到底校內有多少
合法授權的軟體;軟體授權書、序號也沒有列管而
散失。
• 學校Server是「前前前任資訊組長」架設,沒有書
面交接資料(或交接不全),只能使用其上的網頁應
用程式,無人能以最高權限管理者登入該Server,
故無法更新及維護系統,一旦發生入侵事件不知該
如何是好。
• 資訊組長請假或公出,學校的電腦或是網路發生異
常狀況,無人能夠處理,只得急Call資訊組長回校,
若資訊組長出國旅遊,異常狀況會持續到他銷假。
外界對國中小學資安現況的看法
• 市府研考處:
1.某校的電腦機房亂成一團,進出也沒有管制,好像任何人
都可以進去。
2.某校的行政用電腦,沒有設定通行碼,任何人一開機就能
使用;有行政用電腦有設定,但通行碼是寫在便條紙,貼
在螢幕上,有沒有設定都一樣!
3.某校的行政用電腦內發現有安裝p2p程式,疑似有非法下
載的行為。
• 部份電腦廠商:
1.某校好像是個大毒窟,隨身碟一旦放入該校的電腦,該隨
身碟就會中毒。
2.某校的網路線拉的亂七八糟,我想幫他重拉都不知如何幫
起。
部份資訊組長或資訊教師的困境
• 我是師範系統畢業,我只會教學生,資訊
非我所學,我是年資較淺才「被迫」承擔
資訊組長。
• 我每週上課時數2X節,不但要備課還要應
付行政事務,根本沒有餘力維護學校資訊
設備與處理資安事件。
• 我兼任班導師,需以學生為主,所以對維
護學校資訊設備與處理資安事件有心沒力!
如果你有上述的困境,更需要將
ISMS導入貴校。
參考資料
•
•
•
•
教育部校園資訊安全服務網
行政院國家資通安全技術服務中心
台灣學術網路危機處理中心
教育機構資安驗證中心