資訊安全.

Slides:



Advertisements
Similar presentations
1 文件体系的试运行 2015 年 4 月. 一、组织制度文件学习 二、文件运行中的动态管理 三、运行中记录的留存及要求 四、运行中部门工作目标的制定 五、文件执行中的监督检查.
Advertisements

企业产品成本核算制度(试行) 培训课件 河北涿州 2013年11月15日.
第十章 資訊安全管理 本投影片(下稱教用資源)僅授權給採用教用資源相關之旗標書籍為教科書之授課老師(下稱老師)專用,老師為教學使用之目的,得摘錄、編輯、重製教用資源(但使用量不得超過各該教用資源內容之80%)以製作為輔助教學之教學投影片,並於授課時搭配旗標書籍公開播放,但不得為網際網路公開傳輸之遠距教學、網路教學等之使用;除此之外,老師不得再授權予任何第三人使用,並不得將依此授權所製作之教學投影片之相關著作物移作他用。
第四章 内容提要: 电子商务的安全技术 本章从电子商务的安全要求入手,介绍电子商务的几种安全技术,从而说明电子商务安全问题有哪些,其根源何在、带来哪些风险、如何应用安全技术等。
電子商務安全防護 線上交易安全機制.
現代運輸學.
經濟部 行政院第3458次院會會議 政府機關及學校四省專案計畫 執行進展報告 經濟部 報告人:能源局林局長全能 104年7月23日 1 1.
經濟部 政府機關及學校四省專案計畫 執行進展報告 1 1.
工程施工品質管理作業法則 (第一次修訂) 主講人: 曾 義 誠.
第一章 会计信息系统 第一节 计算机会计概述.
研究所升學考試 準備策略 蘇武楨.
审核性教学工作评估动员 李 永 苍 2015年5月22日.
第五章 資訊科技基礎建設與新興科技.
資訊安全管理系統(ISMS)建置說明 基隆市教育網路中心 講師:王言俊.
大綱 基本觀念 安全的重要性 取捨 一些安全防護技術和制度的基本原理 你只需要知道原理 你自己要有因應的措施 企業安全規範 1.
管理學院核心能力計算與檢討 以系所評鑑種子系所為例 財務金融學系.
專題報告 污染預防規劃 姓名:陳信宏 班級:休閒97辛38號.
主講:圖資處 薛甘霖 (ISO LA 、BS LA、CEH)
Visitor Attractions Management
信息安全标准、法律法规及等级保护 温州市继续教育院 -信息安全继续教育培训 陆军波 /
經濟部 行政院第3458次院會會議 政府機關及學校四省專案計畫 執行進展報告 經濟部 報告人:能源局林局長全能 104年7月23日.
物聯網安全 物聯網的應用安全開發生命週期與需求管理.
ISO14001:2004 环境管理体系要求及使用指南
京东金融 介绍.
Information Security Fundamentals and Practices 資訊安全概論與實務
各位领导、各位专家上午好! 对你们的到来,双多公司全体干部员工表示热烈的欢迎.
关于医疗质量考评 质量管理科.
工業工程與管理系 碩士班簡介 明新科技大學 工業工程與管理系所.
追求设备零故障 --全员设备保养(TPM) 实战
CH 6 五大網路管理功能.
光隆家商 優質化計畫 簡報 校 長 楊瑞明 教務主任 高美麗
第十章 饭店服务质量管理 第一节 饭店服务质量概述 第二节 饭店服务质量管理体系 第三节 饭店全面质量管理 【学习目标】
第 4 章 CRM資料倉儲.
基隆區創意發展校園 簡報 光隆家商校長 楊瑞明 光隆教務主任 高美麗
ISO 9001條文簡介 ( 2000年版) ISO9001訓練教材之二 顧問師 林弘炤.
教育部資通訊人才培育先導型計畫 寬頻有線教學推動聯盟中心 第十章 資安事件管理.
第四章 系統內部控制設計.
ISO14001環境管理系統簡介及推行程序 經濟部工業局 高 世 錦 2018年11月19日 ISO
資電學院 計算機概論 F7810 第十七章 資訊安全 陳邦治編著 旗標出版社.
CHAPTER 15 控制工具與技術 新陸書局股份有限公司 發行.
CS 網路安全 Network Security
Manufacturing Execution System (MES)
9 資訊安全 Information Security: A Managerial Perspective 國立中央大學.資訊管理系 范錚強
The Issue of Information Security Management 資安管理專題
现场看板管理.
嵩贊油封工業股份有限公司 內部稽核課程 職業安全衛生管理系統 TOSHMS & OHSAS      系統介紹 講師 : 林 明 洲 協理
AIS系統發展生命週期 東吳大學會計學系 謝 永 明.
主講人:黃鎮榮 東方設計學院觀光與休閒事業管理系
「寬頻匯流網路管理」教材 模組四: 第一章 網路管理架構
第 一章 資訊安全導論 本投影片(下稱教用資源)僅授權給採用教用資源相關之旗標書籍為教科書之授課老師(下稱老師)專用,老師為教學使用之目的,得摘錄、編輯、重製教用資源(但使用量不得超過各該教用資源內容之80%)以製作為輔助教學之教學投影片,並於授課時搭配旗標書籍公開播放,但不得為網際網路公開傳輸之遠距教學、網路教學等之使用;除此之外,老師不得再授權予任何第三人使用,並不得將依此授權所製作之教學投影片之相關著作物移作他用。
為何電子商務的安全性令人擔憂? 電子商務資訊安全 實體商務也擔心安全-但數位化的偽造數量會更多更快
9 資訊安全 Information Security: A Managerial Perspective 國立中央大學.資訊管理系 范錚強
全面品質管理 主講人:楊長林 輔仁大學企業管理學系.
指導老師: 翁明珠 老師 組 員: 張娟華 陳玉瑜 王玉霏 黃豐勝
小学生交通安全主题班会课件 安全 security 上派学区中心校校园安全管理办公室.
2018 资产管理处 采购系统简介.
資訊安全概論 Introduction to Information Security
为全面推进深化医药卫生体制改革,积极稳妥推进公立医院 改革,逐步建立我国医院评审评价体系,促进医疗机构加强自身 建设和管理,不断提高医疗质量,保证医疗安全,改善医疗服务, 更好地履行社会职责和义务,提高医疗行业整体服务水平与服务 能力,满足人民群众多层次的医疗服务需求,在总结我国第一周 期医院评审和医院管理年活动等工作经验的基础上,我部印发了.
有效執行 邁向成功的階梯 ( 摘錄自李開復先生著作 :做最好的自己 ).
学生干部角色的定位与转换 肖志文 2013年9月16日.
資訊安全管理系統(ISMS)建置說明 基隆市教育網路中心 講師:王言俊.
品管圈活動訓練 壹、活動圈組成 1.
如何兼顧網路安全與效能的規劃 網路安全架構的瓶頸.
資訊安全概論 樹德科技大學 資訊工程系 林峻立 助理教授.
為何電子商務的安全性令人擔憂? 第二節 電子商務資訊安全 實體商務也擔心安全-but數位化的偽造數量會很多 網際網路是互聯的(匿名與距離性)
105年度大學校院第二週期系所評鑑 實施計畫說明會
永續校園規劃與管理 第十二講 永續校園管理 授課教師 彭立沛 2003/05/24.
長期照護機構如何應用資訊工具協助管理 主講:周中和.
整合、改善學生修課資訊 建構全校課程地圖 報告單位:弘光科技大學通識學院 報告日期:100 年01月11日 報 告 人:通識學院楊士奇組長.
Presentation transcript:

資訊安全

資安三元素

資安三元素 不同行業別在資訊安全的機密性、完整性及可用性的優先重點各不相同。 軍事單位 研發單位 商業單位 學校單位

資安其他元素 不可否認性 (Non-repudiation) 驗證性 (Authenticity) 權限 ( Authority ) 防止使用者否認曾經執行過的動作,使交易收發雙方無法否認所執行的交易 驗證性 (Authenticity) 認證資訊使用者是他所聲明的身份 權限 ( Authority ) 依照職務或階級身份給予適當的權限 可歸責性( Accountability ) 對所有主要的資訊資產指定專人負責保護,且管理記錄必須是可以追溯

不可否認性 (Non-repudiation)

可歸責性( Accountability )

資訊安全政策 資訊安全政策是管理階層依照 組織營運要求 相關法律 政府規範 客戶合約要求 對組織資訊安全管理提出執行方向與支持承諾。

政策、規範與程序 資訊系統 矯正措施 稽核報告 需要符合組織所訂定之資訊安全政策、規範、與程序,並應定期檢視資訊系統的安全性 各項政策、規範與程序必須具有可行性 矯正措施 如果檢視過程中,發現有任何不符合事項,則應該執行矯正措施 實施之矯正措施,都應該適當予以記錄並保存。 稽核報告 應該由資深工程師或技術人員執行,並且產出適當的稽核報告。

政策、規範與程序 政策 規範 程序 最高指導原則,為什麼需要執行資訊安全管理 依照政策訂立,包含資訊安全管理的要求 依照規範制定的可行方法,說明如何執行手冊。

安全政策 指導使用者、員工與管理者,什麼可以做、什麼不可以做和什麼必須做,以管理與保護資訊資源,保證系統持續運作,降低業務損失,維護系統的機密性、完整性、與可用性。

規範 具體說明各種要求包含有許多文件,具體說明各種安全控管要求,適用於使用資訊的所有企業面向。 規範涵蓋各層的安全控管項目 實體 管理 技術

程序 適用於某一特定工作或是保護某一項資訊財產的安全步驟。 詳細說明要達到規範文件的要求,所需執行的實際作業。

資訊安全管理模型 1.Plan(策劃): 根據風險評估、法律法規要求和組織之商務運作要求以確定控制目標與控制方式。 2.Do(實施): 實施組織所選擇的控制目標與控制方式。 3.Check(檢查): 進行有關政策、程序、標準與法律法規的符合性檢查,對存在的問題採取措施予以改進。 4.Action(行動): 對政策與資訊安全管理體系進行評價,尋求改進的機會,採取行動措施。

資訊安全管理模型

資訊安全管控項目

安全政策 (Security Policy) 管理階層對資訊安全的指示 表達對資訊安全管理的支持和承諾。

安全組織 (Organizational Security) 建立一個管理架構,用於公司內部資訊安全的管理和控制,以及執行現有的資訊安全規定。 在組織中管理資訊安全,為維護資訊處理設施及資訊資產提供給第三方存取時之安全,或當資訊處理工作委外給其它組織時,仍能維持資訊安全。

資產管理 (Asset Classification and Control ) 維護資產受到適切的保護 確保資訊資產獲得適當之保護層級。 確保對組織各項資產的安全進行有效的保護。

人力資源安全 (Personnel Security) 降低人為錯誤、竊盜、詐欺、或誤用設施之風險 確保使用者了解資訊安全的威脅與問題,且有能力在日常工作中支持組織安全政策 將安全及失效事件所造成的損害降至最低,並監督這類事故並從中學習。 明訂所有人員在安全方面的職責和角色。

實體與環境安全 (Physical and Environmental Security) 避免營運場所及資訊遭受未經授權存取、損害與干擾 避免資產遺失、毀壞或受損,並避免營運活動中斷; 避免資訊及資訊處理設施受到危害或遭竊。

實體與環境安全 (Physical and Environmental Security)

通訊與作業管理 (Communications and Operations Management) 盡可能維持公司內外的溝通聯繫,以利於資訊安全管理系統的順利運行。 確保正確與安全地操作資訊處理設施,降低系統失效的風險; 保護軟體及資訊完整性免於受惡意軟體損害,維護資訊處理與通訊服務之完整性及可用性。 確保網路內資訊之安全,並保護支持之基礎建設,避免資產毀損及企業活動中斷; 避免組織間交換資料時遭受遺失,竄改、或誤用。

Site to Site VPN

client to site VPN

SSL VPN

Firewall

存取控制 (Access Control) 管制資訊之存取行為,確保資訊系統之存取權限適切地授權、配置及維持。 防止資訊系統中之資訊遭未經授權存取。 偵測未經授權的活動,確保使用行動式電腦作業與遠距工作設施時之資訊安全。 避免未獲授權之使用者存取 防止存取未經授權的電腦

存取控制 (Access Control)

FRR(False Rejection Rate)應該辨識通過的卻沒通過 FAR(False Acceptance Rate )應該不能通過辨識的卻通過 EER(Equal Error Rate )兩種辨識錯誤率相同的點

系統開發與維護 (Systems Development and Maintenance) 確保資訊系統已建置安全機制。 預防應用系統中之使用者資料遺失、遭到修改或誤用。 保護資訊之機密性、驗證性及完整性。 確保資訊技術專案及支援活動以安全模式執行。 維護應用系統軟體及資訊之安全性。

資安事故管理 ( Information Security Incident Management) 確保資訊系統有關的資訊安全事件與弱點,始能採取即時的矯正行動 資安事件的處理對策

Intrusion detection system Intrusion prevention systems

Computer Security Incident Response Plan

營運持續管理 (Business Continuity Management) 預防營運活動的中斷,保護重要營運過程不受重大故障或災害的影響。

遵循法規 (Compliance) 避免違反所有刑法、民法、行政命令、管理規定或合約義務及所有安全要求。 確保系統遵守組織安全政策與標準。 使系統稽核過程得到最大成效,並將稽核過程產生或受到之干擾降到最低。

Payment Card Industry Data Security Standard (PCI DSS)