資訊安全

資安三元素

資安三元素 不同行業別在資訊安全的機密性、完整性及可用性的優先重點各不相同。 軍事單位 研發單位 商業單位 學校單位

資安其他元素 不可否認性 (Non-repudiation) 驗證性 (Authenticity) 權限 ( Authority ) 防止使用者否認曾經執行過的動作，使交易收發雙方無法否認所執行的交易 驗證性 (Authenticity) 認證資訊使用者是他所聲明的身份 權限 ( Authority ) 依照職務或階級身份給予適當的權限 可歸責性( Accountability ) 對所有主要的資訊資產指定專人負責保護，且管理記錄必須是可以追溯

不可否認性 (Non-repudiation)

可歸責性( Accountability )

資訊安全政策 資訊安全政策是管理階層依照 組織營運要求 相關法律 政府規範 客戶合約要求 對組織資訊安全管理提出執行方向與支持承諾。

政策、規範與程序 資訊系統 矯正措施 稽核報告 需要符合組織所訂定之資訊安全政策、規範、與程序，並應定期檢視資訊系統的安全性 各項政策、規範與程序必須具有可行性 矯正措施 如果檢視過程中，發現有任何不符合事項，則應該執行矯正措施 實施之矯正措施，都應該適當予以記錄並保存。 稽核報告 應該由資深工程師或技術人員執行，並且產出適當的稽核報告。

政策、規範與程序 政策 規範 程序 最高指導原則，為什麼需要執行資訊安全管理 依照政策訂立，包含資訊安全管理的要求 依照規範制定的可行方法，說明如何執行手冊。

安全政策 指導使用者、員工與管理者，什麼可以做、什麼不可以做和什麼必須做，以管理與保護資訊資源，保證系統持續運作，降低業務損失，維護系統的機密性、完整性、與可用性。

規範 具體說明各種要求包含有許多文件，具體說明各種安全控管要求，適用於使用資訊的所有企業面向。 規範涵蓋各層的安全控管項目 實體 管理 技術

程序 適用於某一特定工作或是保護某一項資訊財產的安全步驟。 詳細說明要達到規範文件的要求，所需執行的實際作業。

資訊安全管理模型 1.Plan（策劃）： 根據風險評估、法律法規要求和組織之商務運作要求以確定控制目標與控制方式。 2.Do（實施）： 實施組織所選擇的控制目標與控制方式。 3.Check（檢查）： 進行有關政策、程序、標準與法律法規的符合性檢查，對存在的問題採取措施予以改進。 4.Action（行動）： 對政策與資訊安全管理體系進行評價，尋求改進的機會，採取行動措施。

資訊安全管理模型

資訊安全管控項目

安全政策 (Security Policy) 管理階層對資訊安全的指示 表達對資訊安全管理的支持和承諾。

安全組織 (Organizational Security) 建立一個管理架構，用於公司內部資訊安全的管理和控制，以及執行現有的資訊安全規定。 在組織中管理資訊安全，為維護資訊處理設施及資訊資產提供給第三方存取時之安全，或當資訊處理工作委外給其它組織時，仍能維持資訊安全。

資產管理 (Asset Classification and Control ) 維護資產受到適切的保護 確保資訊資產獲得適當之保護層級。 確保對組織各項資產的安全進行有效的保護。

人力資源安全 (Personnel Security) 降低人為錯誤、竊盜、詐欺、或誤用設施之風險 確保使用者了解資訊安全的威脅與問題，且有能力在日常工作中支持組織安全政策 將安全及失效事件所造成的損害降至最低，並監督這類事故並從中學習。 明訂所有人員在安全方面的職責和角色。

實體與環境安全 (Physical and Environmental Security) 避免營運場所及資訊遭受未經授權存取、損害與干擾 避免資產遺失、毀壞或受損，並避免營運活動中斷； 避免資訊及資訊處理設施受到危害或遭竊。

實體與環境安全 (Physical and Environmental Security)

通訊與作業管理 (Communications and Operations Management) 盡可能維持公司內外的溝通聯繫，以利於資訊安全管理系統的順利運行。 確保正確與安全地操作資訊處理設施，降低系統失效的風險； 保護軟體及資訊完整性免於受惡意軟體損害，維護資訊處理與通訊服務之完整性及可用性。 確保網路內資訊之安全，並保護支持之基礎建設，避免資產毀損及企業活動中斷； 避免組織間交換資料時遭受遺失，竄改、或誤用。

Site to Site VPN

client to site VPN

SSL VPN

Firewall

存取控制 (Access Control) 管制資訊之存取行為，確保資訊系統之存取權限適切地授權、配置及維持。 防止資訊系統中之資訊遭未經授權存取。 偵測未經授權的活動，確保使用行動式電腦作業與遠距工作設施時之資訊安全。 避免未獲授權之使用者存取 防止存取未經授權的電腦

存取控制 (Access Control)

FRR(False Rejection Rate)應該辨識通過的卻沒通過 FAR(False Acceptance Rate )應該不能通過辨識的卻通過 EER(Equal Error Rate )兩種辨識錯誤率相同的點

系統開發與維護 (Systems Development and Maintenance) 確保資訊系統已建置安全機制。 預防應用系統中之使用者資料遺失、遭到修改或誤用。 保護資訊之機密性、驗證性及完整性。 確保資訊技術專案及支援活動以安全模式執行。 維護應用系統軟體及資訊之安全性。

資安事故管理 ( Information Security Incident Management) 確保資訊系統有關的資訊安全事件與弱點，始能採取即時的矯正行動 資安事件的處理對策

Intrusion detection system Intrusion prevention systems

Computer Security Incident Response Plan

營運持續管理 (Business Continuity Management) 預防營運活動的中斷，保護重要營運過程不受重大故障或災害的影響。

遵循法規 (Compliance) 避免違反所有刑法、民法、行政命令、管理規定或合約義務及所有安全要求。 確保系統遵守組織安全政策與標準。 使系統稽核過程得到最大成效，並將稽核過程產生或受到之干擾降到最低。

Payment Card Industry Data Security Standard (PCI DSS)