ISMS 資訊安全管理系統 A 盧宗禹 指導老師:梁明章 老師
資訊的定義 by 維基百科
對組織來說,資訊可以是有形或無形的資 產,與其他資產一樣需要受到保護 資訊可以任何形式存在
威脅的定義
資訊安全的目的 保護組織的資訊資產 減少弱點 避免威脅 降低衝擊 提升投資報酬率 資訊的 『機密性、完整性、可用性』
Information Security Management System ISMS 是一套有系統的分析與管理資訊安全 風險的方法
100% 的資訊安全是過高的期望 ISMS 的目標是透過方法,降低資訊風險至 可接受的範圍內
ISMS 的目標 為組織架設一套資訊安全防護機制、建立 『安全等級』制度,讓企業具備資訊安全 管理能力 防範各種外部威脅,遭受攻擊時系統仍能 正常運作
ISMS 的發展歷史 1993 年 9 月,由英國貿工部( DTI )組織、 許多企業參與編寫了一個資訊安全管理的 文本- “ 資訊安全管理實用規則( Code of practice for information security management ) ” 。
1995 年 2 月, BSI 將該文本轉化為為英國國 家標準,即 BS7799-1:1995 信息安全管理實 用規則。
1998 年 2 月, BSI 又推出用于 ISMS 認證的國 家標準,即 BS7799-2:1998 ,當時稱為信息 安全管理體系規範( Specification for Information Security Management System )。
1999 年 BSI 將上述兩部分標準修訂,正式推 出 1999 版本。
2000 年 12 月, BS7799-1:1999 被採納成為 國際標準,即 ISO/IEC17799:2000 。而 BS 沒有能購成為國際標準。
2002 年, BSI 又將 BS 修訂,使其與 ISO9001:2000 保持高度一致,發布了 BS7799-2:2002 。
2005 年 6 月 15 日, ISO/IEC 發布 ISO/IEC17799:2000 的修訂版本,即 ISO/IEC17799:2005 。
2005 年 10 月 15 日, ISO/IEC 發布 ISMS 要求 標準,即 ISO/IEC27001:2005 ,其藍本就是 BS7799-2:2002 。
ISMS 運作模式
ISMS 之建立
ISMS 之實施與操作 研擬風險處理計畫 實施風險處理計畫 實施控制措施 實施訓練與認知計畫 作業管理 資源管理 實施安全事件程序及控制措施
ISMS 之監控與審查 監控(隨時) 審查(定期) 審查殘餘可接受風險 內部稽核 管理階層審查 紀錄
ISMS 之持續改善 實施 ISMS 改進活動。 採取適當矯正及預防措施。 與相關單位就結果與各項措施進行溝通並 取得同意。 確保各項改進措施達到預期目標。
法務部資訊安全行政規則體系
成功推行 ISMS 的關鍵要素 安全政策要能反映企業的目標 執行的方法要配合公司的文化 管理階層的承諾與支持 充分的了解安全需求、風險評估及風險管理 將安全觀念有效的推廣傳達至每位管理者及員工 將資訊安全政策及標準的指導原則讓所有員工及 合作夥伴了解 提供適當的教育訓練 一個廣泛及穩定之審查制度,借以評估資訊安全 管理的執行效能並提供改善建議。