為何選擇勤業眾信 ? 勤業眾信管理顧問公司 企業風險服務 2006/ 3/ 6. 完整的資訊風險服務內涵 資訊安全策略與管理服務 – 資訊安全管理體系導入服務（ ISO 27001 ）建置 – 電腦鑑識與舞弊偵防服務 – 隱私權諮詢：確保重要資訊可被正常存取且能避免未經授權之取用 – 企業資訊安全監控與事件因應服務.

Presentation on theme: "為何選擇勤業眾信 ? 勤業眾信管理顧問公司 企業風險服務 2006/ 3/ 6. 完整的資訊風險服務內涵 資訊安全策略與管理服務 – 資訊安全管理體系導入服務（ ISO 27001 ）建置 – 電腦鑑識與舞弊偵防服務 – 隱私權諮詢：確保重要資訊可被正常存取且能避免未經授權之取用 – 企業資訊安全監控與事件因應服務."— Presentation transcript:

1 為何選擇勤業眾信 ? 勤業眾信管理顧問公司 企業風險服務 2006/ 3/ 6

2 完整的資訊風險服務內涵 資訊安全策略與管理服務 – 資訊安全管理體系導入服務（ ISO 27001 ）建置 – 電腦鑑識與舞弊偵防服務 – 隱私權諮詢：確保重要資訊可被正常存取且能避免未經授權之取用 – 企業資訊安全監控與事件因應服務 – 持續營運規劃（ Business Contingency Planning ）諮詢服務 資訊系統授權與身份管理服務 – 資訊系統身份與授權管理 – 資訊系統驗證管理與單一簽入規劃 – 系統權限控管顧問服務 – 系統授權保護管理服務 網路與資訊技術安全顧問服務 – 網路安全風險管理服務 – 電子商務安全風險管理服務 – 系統安全強化（ System Harden ）顧問服務 – 滲透測試顧問服務 –ERP 系統安全管理顧問服務 – 數位憑證（ CA ）／公鑰基礎架構（ PKI ）安全諮詢 Enterprise Risk Service Security Service Group EWRM & Risk Mgt Revenue Assurance Computer Audit

3 勤業眾信也是政府機關的資通安全幕僚 行政院資通安全會報技術顧問 總統府網站防禦小組 行政院主計處資通安全稽核團講師與稽核成員 經濟部資通安全專業人員證照命題委員 國防部國防資訊中心資安外部顧問 國營會資訊安全教育訓練顧問 警政署出入境管理局資通安全外部稽核顧問 台電資通安全外部稽核顧問 聯合徵信中心資通安全顧問 銀行公會金鑰管理小組外部顧問 金融研訓院資訊安全顧問

4 勤業眾信擁有經驗與技術兼具的顧問團隊 以學歷背景區分： 博士 / 博士候選人學歷： 2 人 碩士學歷： 28 人 大學學歷： 32 人 以專長背景區分 電腦科學或資訊管理類： 27 人 企業管理或產業管理類： 38 人 具上述雙背景者： 18 人 專業證照： 國際認證電腦安控稽核師（ CISA ） ： 25 人 認證網際網路安全專家（ CISSP ）： 3 人 國際 BS7799 ISMS 領導稽核師認證 : 10 人 國際認證資訊安全管理師（ CISM ） ： 6 人 國際營運持續規劃師認證 (CBCP) ： 1 人 ISO 9001 領導稽核師 : 1 人 專案管理師認證 (PMP) : 1 人 國際認證內部稽核師（ CIA ）： 8 人 認證系統滲透專家 (CEH) ： 2 人 網路危機處理中心 / 網路安全工程師認證 ： 3 人 會計師考試及格（ CPA ）： 7 人 CISCO 認證網路分析與工程師 (CCNA/CCNE) : 2 人 微軟認證工程師 (MCSE) : 3 人 SUN-Java SCJP 認證 : 3 人

5 完整的資訊安全管理體系導入規劃 1. 資訊保護標的 2. 資訊作業流程 3. 資訊資產收集 4. 安全控管選擇 5. 資訊安全規範 軟體 資訊資產 硬體 人員 資料／文件 威脅 弱點 價值 各項辦 法、程 序及細 部辦法 與表單 資訊安全政策 經風險 評估後之 控管項目 經風險 評估後之 控管項目 原有之 控管項目 原有之 控管項目 新增之 控管項目 新增之 控管項目 2 3 5 4 4 1

6 獨特而簡易的流程分析手法

7 營運流程 應用系統 資料庫管理 作業平台 網路環境 實體環境 資訊安全不僅只有「技術」，更結合「營運現況」 及「資訊流程」，作為資安管理的架構： 機房、電腦、交換器、路由器、閘道器、網路佈線等 網路、防火牆、入侵偵測系統、網路通訊協定等 作業系統（如： Windows 2000 、 UNIX 等） 權限、資料庫 、資料庫效能及資料模型等 各類支援財務、外匯、網銀等營運資訊系統 產業 Know-How 、內部營運流程、產品／服務 事件監控 技術解決方案與架構 資訊安全策略 與政策 管理與部署 資訊安全管理建置架構 Information Security Framework SM

8 威脅 弱點 價值 勤業眾信專屬之控管選擇與風險管理工具

9 建構 ISO27001 所需考量控制與技術 管理機制 存取控制 環境存取 資訊基礎架構整合性 管理措施 組織 監督 資訊基礎架構 人員 權責分工 訓練及認知 第三方存取 記錄與通報 緊急應變 法令遵循 風險管理 發展及維護 系統規劃 管理辦法 組態管理 分類及控管 政策及標準 防護 組態 可用性 入侵 ∕ 誤用 實體 內容 病毒 備份 備援 持續 復原 網段區隔 網路設備 作業系統 設施應用系統內部網路 周邊網路 媒體 設備 辦公區域 資料庫 中介軟體 營運系統 網站 ∕eMail 廣域網路 內部網路 伺服器 工作站 撥接網路 無線網路 商用網路 網際網路 信賴之交易 安全之溝通存取之驗證 機密性 系統權限 身份認證 帳號管理 真確性 不可否認性 可記錄性

10 Department of Homeland Security U.S.A Systems Hardening Guidelines Deloitte 系統安全強化實務之方法

11 勤業眾信具備深湛的資訊系統安全技術能力 華南銀行, 中華開發, 萬泰銀行, 台新 ( 大安 ) 銀行, 中華郵政, 兆豐金控 財金資訊, 玉山銀行, 中國鋼鐵, 中華航空, 中國商銀, 上海商銀, 台電公司, 大眾銀行, 聯邦銀行, 合作金庫 …… 等等... 大型主機 安控評估與設計 各類型作業系統 平台安控強化 財金資訊, 路政司, 台積電, 中華郵政, 台灣工銀, 玉山銀行, 台灣產物保險, 中華票券, 中央票券, 中美和石化, 萬通票券, 和信電訊, 資策會資料中心, 中央信託局, 奇美電子, 環隆電氣, 數位聯合, 日月光集團, 國衛院 …… 等等 … 主要系統類型曾經協助資訊安全評估與稽核之主要代表客戶 中華郵政, 三陽證券, 太平洋證券, 和通證券, 財金資訊, 路政司, 遠百愛買吉安, 環隆電氣, 日月光半導體集團, 台積電, 華南銀行, 茂德科技, 群益投信, 瀚宇彩晶, 中華航空, 聯邦銀行, 安泰銀行 … 等等 各類資料庫 安控評估與設計 網路連線控管 安控評估與設計 宏泰人壽, ING 安泰人壽, 玉山銀行, 中華郵政, 日月光半導體集團, 台積電, 上海商銀, 中國商銀, 聯邦銀行, 安泰銀行 … 等等

12 結構化的資訊安全管理制度與能力 (Sample)

13 一階 資安 手冊 二階 管理 程序 三階 管理 規範 四階 表單 紀錄 制定符合 ISO 標準之資訊安全知識庫 - 以作為人員一致遵循之依據 資訊安全 手冊 資訊資產 管理程序 資訊資產 新增申請單 主機資源 管理程序 Mainframe 資源管理規範 開放式系統 授權管理規範 系統帳號及 權限申請單 ……

14 專案管理工作的良善 進度管理 －專案時程 －工作計劃 －工作負責人 －檢查時點 進度管理 －專案時程 －工作計劃 －工作負責人 －檢查時點 －進度報告 －定期會議 －管理中心 －行政作業時點 通訊管理 －連絡窗口 －通訊錄 －訊息公佈 －會議名單 －會議通知 通訊管理 －連絡窗口 －通訊錄 －訊息公佈 －會議名單 －會議通知 －會議準備 －會議記錄 －人員連繫 － Email 管理 － e-Room 專案與資源規劃 －人力調度 －物力調度 －行政調度 專案與資源規劃 －人力調度 －物力調度 －行政調度 －組織架構 －權責區分 －協調方式 資料管理 －確認類別 －瞭解內容 －制定格式 －專案編號 資料管理 －確認類別 －瞭解內容 －制定格式 －專案編號 －存取權限 －分享機制 －建檔制度 －管理中心 文件管理 －確認類別 －存檔規則 －資料格式 －存放位置 文件管理 －確認類別 －存檔規則 －資料格式 －存放位置 －管理中心 －維護管理 －資源共享 －存取權限

15 Deloitte 全球整合之企業風險管理資訊入口網站並提供各項之專業 知識庫、經驗與技術支援。 訂閱全球 最新資安 技術資訊 資訊安全 資訊分享 管理機制 資訊安全 技術文件 專題報告 全球資訊 安全技術 專家 CISSP 論壇 資訊安全 教育訓練 參考資料 全球資訊安全 專案交付項目 參考資料 資訊安全服 務方法論 Deloitte Enterprise Risk Services 全球知識庫

16 Deloitte 與 ISO27001 創始單位 BSi 為全球專業認可夥伴

17 ERS 資訊安全專案實績 - 金融業 中國國際商銀 資訊系統安全強化與風險評估 BS7799 國際資訊安全認證輔導 建華銀行 網路銀行資訊安全認證諮詢 ING 安泰人壽 BS7799 國際資訊安全認證與諮詢 兆豐金控 BS7799 國際資訊安全認證與諮詢 中華郵政儲匯 / 壽險處 BS7799 國際資訊安全認證與諮詢 財金資訊公司 BS7799 國際資訊安全認證與諮詢 ISO 與 BS7799 制度整合 VISA CARD AIS Review 宏泰人壽 BS7799 國際資訊安全認證與諮詢 交通銀行 資訊系統安全強化與風險評估 票保結算 BS7799 國際資訊安全認證與諮詢

18 ERS 資訊安全專案實績 - 金融業 ( 續 ) 聯合信用卡中心 IT 控管制度評估 資訊作業委外風險評估 玉山銀行 資訊安全政策建置 網路銀行安控評估 HKMA 網銀安控評估 中央銀行 主計處資安稽核 安泰銀行 網路報稅 PKI/CA Audit 華南銀行 網路報稅 PKI/CA Audit HKMA 網路銀行安控評估 亞東證券 網路報稅 PKI/CA Audit 新光人壽 網路報稅 PKI/CA Audit 合作金庫 網路報稅 PKI/CA Audit 國泰世華銀行 HKMA 網路銀行安控評估 網路作業 ISMS 導入諮詢

19 ERS 資訊安全專案實績 - 金融業 ( 續 ) VISA, Singapore FISC VISA AIS Audit Cyber-Soft VISA AIS Audit 財政部財稅資料中心 主計處資安稽核

20 ERS 資訊安全專案實績 - 科技與電信業 數位聯合電信 BS7799 國際資訊安全認證輔導 仁寶電腦 BS7799 國際資訊安全認證輔導 遠傳電信 BS7799 資訊安全輔導與認證諮詢 IT 部門內控制度設計 資訊安全稽核與訓練 速博電信 資安政策規劃設計 客戶資料流程風險評估 資訊安全稽核協力 精業電腦 BS7799 國際資訊安全認證輔導 ISO 與 BS7799 制度整合 日月光半導體集團 資安政策建置及風險評估 ISMS 資訊安全管理體系建置 索尼網路 客戶資料流程與隱私風險評估 中芯集成電路 - 中國上海 BS7799 國際資訊安全認證輔導 裕隆汽車 BS7799 國際資訊安全認證與諮詢

21 ERS 資訊安全專案實績 – 政府與公營機構 中國石油 資訊安全稽核與訓練 主計處資安稽核 台電公司 資訊安全風險評估 主計處資安稽核 中華民國縱統府資訊室 總統府網站防禦小組 2000 主計處資安稽核 內政部出入境管理局 ISMS 差異分析 台北捷運公司 主計處資安稽核 高雄捷運局 電腦安全稽核訓練 台北市政府資訊處 資訊安全稽核與訓練 BCP 評估 / 演練測試與稽核 經濟部智財局 BS7799 國際資訊安全認證輔導 經濟部國貿局 電腦安全稽核訓練

22 http://www.deloitte.com.tw