第十章 資訊安全管理 本投影片(下稱教用資源)僅授權給採用教用資源相關之旗標書籍為教科書之授課老師(下稱老師)專用,老師為教學使用之目的,得摘錄、編輯、重製教用資源(但使用量不得超過各該教用資源內容之80%)以製作為輔助教學之教學投影片,並於授課時搭配旗標書籍公開播放,但不得為網際網路公開傳輸之遠距教學、網路教學等之使用;除此之外,老師不得再授權予任何第三人使用,並不得將依此授權所製作之教學投影片之相關著作物移作他用。

Slides:



Advertisements
Similar presentations
1 文件体系的试运行 2015 年 4 月. 一、组织制度文件学习 二、文件运行中的动态管理 三、运行中记录的留存及要求 四、运行中部门工作目标的制定 五、文件执行中的监督检查.
Advertisements

--关键环节质量控制探讨 成都市血液中心 杨群身
簡 報 內 容 資安事件 資安防護 資安確保(Information Assurance) 資安服務 國家資通安全會報 結語.
勞工安全衛生管理員訓練 企業經營與安全衛生 (含組織協調與溝通) 徐 順 德.
我们一起 为资质认定事业而战.
第10章 信息安全管理.
工程施工品質管理作業法則 (第一次修訂) 主講人: 曾 義 誠.
資訊安全.
安全衛生實務 H1 查核 使用指引.
审核性教学工作评估动员 李 永 苍 2015年5月22日.
資訊安全管理系統(ISMS)建置說明 基隆市教育網路中心 講師:王言俊.
大綱 基本觀念 安全的重要性 取捨 一些安全防護技術和制度的基本原理 你只需要知道原理 你自己要有因應的措施 企業安全規範 1.
ISO9001质量管理体系在国土资源廉政风险防范中的应用
饭 店 管 理 第5章:饭店服务质量管理 学习目的 学习内容 本章小结 案例分析 课堂讨论题 课后思考题 参考书目.
樹德科技大學 全面品質管理-以裝備維修為例 指導教授:陳永璋博士 研究生:牛尚文 中華民國94年12月.
2013年越秀区十大精品商务楼宇参评资料 中海物业东山广场项目
第七章 医疗质量管理 海尔的质量意识 奔驰的质量意识 反例:秦池酒 《泰坦尼克号》的沉没.
主講:圖資處 薛甘霖 (ISO LA 、BS LA、CEH)
信息安全标准、法律法规及等级保护 温州市继续教育院 -信息安全继续教育培训 陆军波 /
信息安全保障基本知识 培训机构名称 讲师名字.
主讲人:金建钢 电 话: 传 真: :jjgang@126.com 贵州省安全生产科学研究院
校園能資源管理及 環境安全衛生計畫介紹 簡報者:產基會 教育部 主辦單位: 執行單位: 財團法人台灣產業服務基金會.
ISO14001:2004 环境管理体系要求及使用指南
各位领导、各位专家上午好! 对你们的到来,双多公司全体干部员工表示热烈的欢迎.
关于医疗质量考评 质量管理科.
CH 6 五大網路管理功能.
光隆家商 優質化計畫 簡報 校 長 楊瑞明 教務主任 高美麗
ISO (GB/T ) 基 础 知 识.
第十章 饭店服务质量管理 第一节 饭店服务质量概述 第二节 饭店服务质量管理体系 第三节 饭店全面质量管理 【学习目标】
嵩贊油封工業股份有限公司 職業安全衛生管理系統TOSHMS & OHSAS      專案輔導計畫 啟始會議  
基隆區創意發展校園 簡報 光隆家商校長 楊瑞明 光隆教務主任 高美麗
ISO 9001條文簡介 ( 2000年版) ISO9001訓練教材之二 顧問師 林弘炤.
教育部資通訊人才培育先導型計畫 寬頻有線教學推動聯盟中心 第十章 資安事件管理.
第四章 系統內部控制設計.
ISO14001環境管理系統簡介及推行程序 經濟部工業局 高 世 錦 2018年11月19日 ISO
資電學院 計算機概論 F7810 第十七章 資訊安全 陳邦治編著 旗標出版社.
CHAPTER 15 控制工具與技術 新陸書局股份有限公司 發行.
9 資訊安全 Information Security: A Managerial Perspective 國立中央大學.資訊管理系 范錚強
The Issue of Information Security Management 資安管理專題
方之見顧 ISO9001:2008简介.
现场看板管理.
嵩贊油封工業股份有限公司 內部稽核課程 職業安全衛生管理系統 TOSHMS & OHSAS      系統介紹 講師 : 林 明 洲 協理
主講人:黃鎮榮 東方設計學院觀光與休閒事業管理系
資訊安全管理概論(一) 1-10題解析 吳玄玉.
資訊安全概論與實務 第二篇:安全架構.
第 一章 資訊安全導論 本投影片(下稱教用資源)僅授權給採用教用資源相關之旗標書籍為教科書之授課老師(下稱老師)專用,老師為教學使用之目的,得摘錄、編輯、重製教用資源(但使用量不得超過各該教用資源內容之80%)以製作為輔助教學之教學投影片,並於授課時搭配旗標書籍公開播放,但不得為網際網路公開傳輸之遠距教學、網路教學等之使用;除此之外,老師不得再授權予任何第三人使用,並不得將依此授權所製作之教學投影片之相關著作物移作他用。
借力ISO 45001提升健康安全管理 BSI中国区首席专家 高毅民 博士
中油公司推行ISO 14001實例 紀佳雄/中油公司工安環保處 2019年4月8日 黃士滔製作.
全面品質管理 主講人:楊長林 輔仁大學企業管理學系.
指導老師: 翁明珠 老師 組 員: 張娟華 陳玉瑜 王玉霏 黃豐勝
資訊安全概論 Introduction to Information Security
为全面推进深化医药卫生体制改革,积极稳妥推进公立医院 改革,逐步建立我国医院评审评价体系,促进医疗机构加强自身 建设和管理,不断提高医疗质量,保证医疗安全,改善医疗服务, 更好地履行社会职责和义务,提高医疗行业整体服务水平与服务 能力,满足人民群众多层次的医疗服务需求,在总结我国第一周 期医院评审和医院管理年活动等工作经验的基础上,我部印发了.
有效執行 邁向成功的階梯 ( 摘錄自李開復先生著作 :做最好的自己 ).
学生干部角色的定位与转换 肖志文 2013年9月16日.
東 海 大 學 推動ISO 14001之成果分享 報告人:東海大學 環保組.
你的顧客感到很快樂、 你不用到處救火、 你不是被動地被迫做事。 Jack Welch, comments on 6-sigma
資訊安全管理系統(ISMS)建置說明 基隆市教育網路中心 講師:王言俊.
品管圈活動訓練 壹、活動圈組成 1.
4.環境管理系統與稽核 一個系統化的方法去達成妳設定的環境目標 環境政策 規劃 執行 檢查/矯正 管理審查 持續 改善.
採購契約 報告人:張錦川 日期:97年8月.
財團法人高等教育評鑑中心基金會處長 王保進教授
第五章 資訊安全概述 5-1 安全定義 5-2 安全標準 5-3 安全元件.
資訊安全概論 樹德科技大學 資訊工程系 林峻立 助理教授.
財團法人高等教育評鑑中心基金會處長 王保進教授
網路安全與ISMS 期末報告 A 蔣嘉祐 指導老師:梁明章老師.
105年度大學校院第二週期系所評鑑 實施計畫說明會
永續校園規劃與管理 第十二講 永續校園管理 授課教師 彭立沛 2003/05/24.
長期照護機構如何應用資訊工具協助管理 主講:周中和.
Computer Security and Cryptography
整合、改善學生修課資訊 建構全校課程地圖 報告單位:弘光科技大學通識學院 報告日期:100 年01月11日 報 告 人:通識學院楊士奇組長.
Presentation transcript:

第十章 資訊安全管理 本投影片(下稱教用資源)僅授權給採用教用資源相關之旗標書籍為教科書之授課老師(下稱老師)專用,老師為教學使用之目的,得摘錄、編輯、重製教用資源(但使用量不得超過各該教用資源內容之80%)以製作為輔助教學之教學投影片,並於授課時搭配旗標書籍公開播放,但不得為網際網路公開傳輸之遠距教學、網路教學等之使用;除此之外,老師不得再授權予任何第三人使用,並不得將依此授權所製作之教學投影片之相關著作物移作他用。

第十章 資訊安全管理 資訊安全管理是全面性的工作,其主要目標在降低風險、提高管理效率。本章介紹資訊安全管理系統 (Information Security Management System,簡稱ISMS )之相關知識,包含資訊安全原理、資訊安全政策,也介紹資訊安全管理系統之要項,並配合風險管理與內部稽核,以達到資訊安全目標。 主要內容包含: 資訊安全管理簡介 資訊安全三要素 資訊安全政策 資訊安全管理規範發展 資訊安全管理運作模式 資訊安全管理系統 風險管理 內部稽核

10.1 資訊安全管理簡介 由於網際網路的普及,政府、企業與個人生活已無法離開網路,因此資訊安全越顯得重要,資訊安全管理更是不可忽視之重要課題。資訊需要適當的安全保護,尤其是高度依賴資訊化服務的組織將更是如此。 資訊安全管理是全方位、整體性的工作,必須涵蓋三個層面,管理層面、技術層面、和實體層面。在管理層面,必須制定資訊安全相關的政策、規範與程序,明確落實資訊安全規範以建立資訊安全管理制度。管理層面的核心是風險管理,有效的資訊安全控管以能夠掌握風險為起點。而要長期有效的維護資訊安全,需要建立稽核制度,隨時發覺問題,並以持續改善,才能達到降低風險,提高資訊安全管理之成效。

10.1 資訊安全管理簡介 在資訊安全管理系統 (Information Security Management System;ISMS ) 的領域中,最完整且被廣為採用的是 BS 7799。BS 7799是英國標準協會( British Standards Institute;BSI )在1999年發行。BS 7799 分為Part-1 and Part-2,ISO將Part-1於2000年通過成為ISO/IEC 17799 。而BS 7799 Part-2 也於 2005年被 ISO 採用為 ISO 2700 : 2005。 為確實落實資訊系統之安全管理,需要導入風險管理。所謂風險是指一個事件對資訊安全目標所造成的衝擊或影響程度。資訊系統面對的風險非常多,包含系統受駭客攻擊,資料被竊取,網路無法連線、機房空調故障,以至系統不穩定,無法提供正常服務等。

10.2 資訊安全三要素 資訊安全的三項要素是機密性 ( Confidentiality )、完整性 ( Integrity )、與可用性 ( Availability)。如圖10-1,這三項要素稱為資訊安全三原則,簡稱CIA;意味著:能遵守主要原則就能掌握資訊安全的要領。然為了達到整體的資訊安全,除了此三要素外,還有其它要素,如不可否認性 (Non-repudiation)、驗證性 (Authenticity)、可歸責性( Accountability )等。 機密性是指採用適當的安全機制保護資料和資源以避免暴露於無權限人員或程式之下,而危害到資訊安全目標。換言之,機密性是為維護資料在傳輸、儲存、與處理狀態時,不被非授權人員之存取、使用、或竄改。許多攻擊型態都是以破壞資訊的機密性為主,例如:網路抓取封包、偷取密碼檔案、利用監視軟體、網路掃描等,都是破壞機密性的攻擊行為。

10.2 資訊安全三要素 CIA 的第二原則為完整性,完整性是指確保維持資料原來的狀態,只允許有權限的使用者可以修改資料內容。在資料內部與外部均需維持資料的一致性,例如,傳輸資料時,在傳輸中的資料與接收、儲存的資料,均需要保持一致而且是可以確認的。 資料喪失完整性的原因,並非完全只是由於遭受外部攻擊,許多事件都會使資料無法維護完整性,例如,意外刪除檔案、鍵入不正確資料、錯誤指令、病毒感染等。針對上述這些事件,可以採用方法加以對抗,例如:意外刪除檔案,可以用嚴格驗證程序或存取控制,以減少意外發生;預防鍵入不正確資料,可以使用輸出入查核程式加以過濾等。

10.2 資訊安全三要素 可用性是為了確保資訊與系統能夠持續營運、正常使用,當合法使用者要求使用資訊系統時,例如,電子郵件、應用系統等,使用者均可以在適當的時間內獲得回應,並獲得所需服務。可用性需要與前述的機密性與完整性配合一起考慮,以符合既定的資訊安全目標。三者如無法整體考量密切配合,可能反而造成問題,例如:只考慮機密性,將網路資訊加密,或因記錄稽核而影響系統回覆時間,甚或延緩系統服務效能,而違反可用性的原則。 圖10-1、資訊安全三要素

10.2 資訊安全三要素 除以上 CIA 三要素以外,有些資訊安全控管項目還需要具備其它特性。例如,不可否認性 ( Non-repudiation ),為防止使用者否認曾經執行過的動作,使交易收發雙方無法否認所執行的交易;身分認證 ( Authentication ),則為認證資訊使用者的身份;權限 ( Authority ),是依照職務或階級身份給予適當的權限;可歸責性( Accountability ),則對所有主要的資訊資產指定專人負責保護,且管理記錄必須是可以追溯。

10.3 資訊安全政策 資訊安全政策是組織建置資訊安全管理制度不可或缺的重要元素。資訊安全政策是管理階層依照組織營運要求、相關法律、規範與客戶合約要求,對組織資訊安全管理提出執行方向與支持承諾。

10.3.1 政策、規範與程序 資訊系統需要符合組織所訂定之資訊安全政策、規範、與程序,並應定期檢視資訊系統的安全性。如果檢視過程中,發現有任何不符合事項,則應該執行矯正措施,所實施之矯正措施,都應該適當予以記錄並保存。 各項政策、規範與程序必須具有可行性,應該由資深工程師或技術人員執行,並且產出適當的稽核報告。 在資訊安全管理中,政策、規範與程序互有關聯性,如圖10-2,政策為最高指導則,提示為什麼需要執行資訊安全管理。規範是依照政策訂立的,包含資訊安全管理的內涵。而程序則是依照規範制定的可行方法,是說明如何執行的手冊。

10.3.1 政策、規範與程序 『安全政策』指導使用者、員工與管理者,什麼可以做、什麼不可以做和什麼必須做,以管理與保護資訊資源,保證系統持續運作,降低業務損失,維護系統的機密性、完整性、與可用性。 圖10-2 政策、規範與程序

10.3.1 政策、規範與程序 『規範』含有許多份文件,適用於使用資訊的所有企業面向。規範涵蓋實體、管理與技術層面的安全控管項目,目的是要保護資訊,通常公司安全相關文件所有的內容與規劃,會定義在其中一份或多份規範文件裡。 『程序』是適用於某一特定工作或是保護某一項資訊財產的安全步驟。在『規範』文件中會具體說明各種要求,在『資訊安全程序』會詳細說明達到這些要求,所需執行的實際作業。

10.3.2 資訊安全政策內容 資訊安全政策是資訊安全的指導方針,說明管理階層支持資訊安全措施,其內容需要簡明扼要,不要流於細節與冗長說明,並定時檢討政策內容,以確保政策能反映實際需要。資訊安全政策的內容可依資訊安全所規範之範疇與對象,做適度調整,主要包含下列項目: 資訊安全政策目的及範圍 資訊安全目標 風險管理 資訊安全責任 支援政策 事件通報程序 委外相關規定 …

10.3.2 資訊安全政策內容 資訊安全管理的目的是為了強化對資訊資產之保護,包含:資料、系統與相關設施。資訊安全政策所規範的範疇應包含資訊安全相關人員,例如,包括全體員工、往來廠商、約聘人員及廠商委派支援本公司之工作人員等,以及所有相關資訊資產。 資訊安全管理的目標是為了達到資訊安全三要素:機密性、完整性、與可用性。制定資訊安全目標需要能夠具體量化,例如,資訊安全事件每年5件以下、網路可用率每月達到99.5%、資訊正確率每月達到99.9%等。 風險管理說明組織如何運用風險評估方法對風險進行評估,及如何設定各項控制目標與控制措施,以降低風險。

10.3.2 資訊安全政策內容 資訊安全管理責任是界定資安相關管理事項的責任,並於各項程序與法令規章明確加以規範。例如資訊安全相關政策、計畫、措施及技術規範之研議,以及安全技術之研究、建置及評估等相關事項,由資訊小組辦理;資訊機密維護及稽核使用等管理事項,由政風室會同相關單位辦理。 總之,資訊安全政策考量營運與相關法律或法規要求,以及合約的安全義務,簡要說明安全政策、原則、標準以及對組織特別重要之遵循性要求。

10.4 資訊安全管理規範發展 本節介紹資訊安全管理規範。從1990年之後,國際上已經發展出許多資訊安全相關的標準與規範,例如: TCSEC ( Trust Computer System Evaluation Criteria ) ITSEC ( Information Technique System Evaluation Criteria ) CC (Common Criteria ) BS 7799 (Code of Practice for Information Security Management ) 其它

10.4 資訊安全管理規範發展 圖10-3 簡要列出國際上資訊安全管理規範之發展概況,也標示我國經濟部標準檢驗局訂定資訊安全系統所遵循的標準概況。 在資訊安全管理系統 (Information Security Management System;ISMS ) 的領域中,最完整且廣為採用的是 BS 7799 與其後續修訂之管理規範。英國標準協會 ( British Standards Institute;BSI ) 在1999年發行BS7799 Part 1 與 Part 2,隨後於2000年,ISO將Part 1通過成為ISO/IEC 17799。BS 7799 Part 2 也於 2005 年被 ISO 採用為 ISO 2700 : 2005。 英國標準協會是英國負責國家品質認證工作的機構,其前身為英國工程標準委員會,在1929年獲得『皇家憲章』認可,到1931年正式改名為英國標準協會(BSI),雖然是民間組織但受國家委託,負責統一管理全國標準化的工作,是非營利性的組織,也代表了英國對於歐洲與國際間相關標準的觀點。

10.4 資訊安全管理規範發展 圖10-3 資訊安全管理規範發展

10.4 資訊安全管理規範發展 ISO/IEC 27002 是唯一可通過嚴格審查的國際標準,其中明確定義資訊安全管理系統 (ISMS) 的各項需求,能確保選用適當且對等的安全控制措施。我國經濟部標準檢驗局參照 ISO 17799之規範,於2002年發行資訊安全管理系統驗證標準 CNS 17799;並參照 BS 7799 Part 2 之規範,於同年發行資訊安全管理系統驗證標準 CNS 17800。

10.5 資訊安全管理運作模式 資訊安全管理是永續經營的工作,因此其持續運作亦需要導入管理產品質量的管理模式─PDCA─其內容包括:計劃 ( Plan )、執行 ( Do )、檢查 ( Check ) 和行動 ( Action )等四個階段。換言之,PDCA管理模式遵照計劃、執行、檢查、行動,四個程序不斷循環,週而復始,如圖10-4所示,四個階段說明如下: 計劃:依照顧客要求及組織政策,建立必要之目標。 執行:實施此計劃之過程。 檢查:針對產出目標,監督及量測其過程,以及報告其結果。 行動:採取措施以持續改進績效。

10.5 資訊安全管理運作模式 採用PDCA管理模式的特點是: (1)四個階段要求明確。 (2)企業及各部門都實行四個階段的循環,相互督促。 (3)循環不已,週而復始,以不斷提升管理品質。 PDCA循環採用全面質量管理 (Total Quality Management;TQM)體系運轉的基本方法,並綜合運用各種管理技術和方法。

10.5 資訊安全管理運作模式 圖10-4 PDCA 循環概念圖

10.5 資訊安全管理運作模式 管理階層審查(Management Review)是PDCA(Plan, Do, Check, Act)管理模式中的檢查 (Check) 活動。管理階層可藉由該審查活動,瞭解組織資訊安全系統的實施狀況,並評估其有效性,並且在組織營運目標及資訊安全管理之間取得最佳效果。

10.6 資訊安全管理系統 企業組織遵照國際資訊安全標準ISO 17799 (或我國標準 CNS 17799),建立資訊安全管理系統。以風險管理為基礎,建立管理制度,協助企業組織控管資訊安全風險,確保持續營運,並需落實及推廣教育訓練,使員工具備資訊安全觀念、知識及意識。為能永續經營,並應遵循PDCA過程導向之管理模式,以建立、實施、監控及持續改進系統。 ISO 17799 的標準規範包含十大管控項目,如圖10-5所示,以及36個管控目標,與127個管控措施,其目的在建立一套完整的資訊安全管理系統,以滿足企業資訊安全之需求。

10.6 資訊安全管理系統 圖 10-5 資訊安全管理系統架構圖

10.6 資訊安全管理系統 以下針對十大管控項目,做簡要說明: 安全政策 (Security Policy):提供管理階層對資訊安全的指示與支持,表達對資訊安全管理系統的支持和承諾。 安全組織 (Organizational Security):在組織中管理資訊安全,為維護資訊處理設施及資訊資產提供給第三方存取時之安全,或當資訊處理工作委外給其它組織時,仍能維持資訊安全。建立一個管理架構,用於公司內部資訊安全的管理和控制,以及執行現有的資訊安全規定。 資產管理 (Asset Classification and Control ):為維護組織資產受到適切的保護,確保資訊資產獲得適當之保護層級。確保對組織各項資產的安全進行有效的保護。 人力資源安全 (Personnel Security) :降低人為錯誤、竊盜、詐欺、或誤用設施之風險,確保使用者了解資訊安全的威脅與問題,且有能力在日常工作中支持組織安全政策,將安全及失效事件所造成的損害降至最低,並監督這類事故並從中學習。明訂所有人員在安全方面的職責和角色。

10.6 資訊安全管理系統 實體與環境安全 (Physical and Environmental Security):對組織營運場所及人員提出簡單明確的安全要求。避免營運場所及資訊遭受未經授權存取、損害與干擾;避免資產遺失、毀壞或受損,並避免營運活動中斷;避免資訊及資訊處理設施受到危害或遭竊。 通訊與作業管理 (Communications and Operations Management) :盡可能完善公司內外的溝通聯繫,以利於資訊安全管理系統的順利運行。確保正確與安全地操作資訊處理設施,降低系統失效的風險;保護軟體及資訊完整性免於受惡意軟體損害,維護資訊處理與通訊服務之完整性及可用性。確保網路內資訊之安全,並保護支持之基礎建設,避免資產毀損及企業活動中斷;避免組織間交換資料時遭受遺失,竄改、或誤用。 存取控制 (Access Control) :管制資訊之存取行為,確保資訊系統之存取權限適切地授權、配置及維持。避免未獲授權之使用者存取,保護網路服務;防止未經授權的電腦存取與防止資訊系統中之資訊遭未經授權存取。偵測未經授權的活動,確保使用行動式電腦作業與遠距工作設施時之資訊安全。

10.6 資訊安全管理系統 資訊系統取得、開發與維護 (Systems Development and Maintenance):確保資訊系統已建置安全機制。預防應用系統中之使用者資料遺失、遭到修改或誤用。保護資訊之機密性、驗證性及完整性。確保資訊技術專案及支援活動以安全模式執行。維護應用系統軟體及資訊之安全性。 資訊安全事故管理 ( Information Security Incident Management):確保在某種程度上,傳達與資訊系統有關的資訊安全事件與弱點,始能採取即時的矯正行動 營運持續管理 (Business Continuity Management) :預防營運活動的中斷,保護重要營運過程不受重大故障或災害的影響。 遵循性 (Compliance) :避免違反所有刑法、民法、行政命令、管理規定或合約義務及所有安全要求。確保系統遵守組織安全政策與標準。使系統稽核過程得到最大成效,並將稽核過程產生或受到之干擾降到最低。

10.7 風險管理 風險管理 (Risk Management) 是項目管理中的重要內容,風險管理機制更是企業項目管理體系的關鍵組成部分。然而,這些卻是目前企業在項目管理方面的薄弱環節。如何切實地進行風險管理,建立風險管理機制,是企業項目管理走向成熟過程中必須要解決的問題。 風險管理是項目管理的重要工作,風險管理的主要內容包含風險評估 ( Risk Assessment )、風險轉移 ( Risk Mitigation ) 與風險估算 ( Risk Evaluation )。 風險評估包含風險辨識,以及估算風險發生時對組織造成的衝擊,並建議風險發生時可採用的對策;風險轉移是將風險之優先順序加以排序與並使用適當對策以降低風險;風險估算則是著重在風險降低後,考慮是否在可以接受的程度,於風險轉移實施前,是否還需要增加控制項目,以降低風險或消除風險。

10.7 風險管理 風險管理需要主動且持續地監控,風險監控過程有四項主要工作,如圖10-6: 風險識別 風險分析 風險應對 風險監控

10.7 風險管理 圖10-5 風險監控過程

10.7 風險管理 風險評估包含風險識別與風險分析,依照各項資訊風險識別,暸解風險後加以分析,風險分析是項目風險管理過程的第二步,是評估已識別出風險的影響和可能性的過程。風險應對計劃是項目風險管理過的第三步,主要是針對項目的風險開發和制定一個風險應對的方案,目的是提高實現項目目標的機會。風險監控是項目風險管理的第四步,主要是在項目的整個過程中,追蹤已識別的風險,監視殘餘風險和識別新的風險,確保項目風險應對計劃之執行。

10.8 內部稽核 根據美國內部稽核協會,對內部稽核 (Internal Auditing) 的定義:內部稽核是組織內部一種獨立的評估功能,檢查及評估組織的各項活動,而對組織提供服務。簡言之,內部稽核的意義為:組織內部的職員經授權在組織內部進行獨立判斷而不受限制,且公正無私的稽核行為。內部稽核用來幫助偵測可疑的行為,有下列三個目標: 確保所有的運作均能按照既定的安全政策執行。 確保所有資料的存取都要經過授權。 確保所有資料的正確性。

10.8 內部稽核 組織應該於一段期間後就執行稽核,以瞭解資訊安全之控制目標、控制措施、過程及程序等,是否達到下列要求: 符合國際標準或法規要求。 符合所辨識出之資訊安全要求。 有效執行並持續維護。 如預期般執行。 內部稽核人員進行內部稽核前,應事先擬定稽核計畫,並於計畫中說明稽核範圍、標準、頻率及方法。秉持公正與客觀的態度,並且要注意其獨立性原則,不得稽核屬於自己經辦的業務。整個稽核的規劃與實施、報告結果與紀錄留存,應該將其責任與要求,都清楚記錄且文件化。管理階層應於管理審查會議時,檢討內部稽核結果與矯正預防措施之有效性。