政大區網會議-導入資訊安全制度教育部與ISO27001版本 報告者 : 梁士杰 時間 : 2009/6/23 天主教輔仁大學資訊中心網路組
大綱 導入過程 差異說明 相關問題 導入建置效益 未來導入建議 未來規劃
導入過程 八校聯合輔導時期 ISO27001導入時期 緣由:節省經費 97年8月19日啟動 97年12月中完成 緣由:共識 97年12月16日啟動 98年6月7日通過
導入過程 輔仁大學資訊安全組織架構
導入過程 ISO27001導入過程 八校聯合輔導導入方式 人力:網路組成員8人+顧問1人 訓練:於各校舉辦 輔導會議:顧問每兩週到校實地訪談 資安文件核准方式:電子公文來往 文件公開:紙本傳閱簽名 宣導方式:透過資訊中心主管會議、校務會議宣導 ISO27001導入過程 人力:網路組成員8人+顧問2人 輔導會議:顧問每週到校實地訪談
差異說明 方案 原案: 教育體系資通安全管理規範校園聯合輔導專案 本案: 校園通過ISO 27001資安認證委外輔導專案(以原案為基礎擴充實施) 使用規範 教育部公告之「教育體系資通安全管理規範」 ISO/IEC 國際標準組織公告之ISO/IEC 27001: 2005國際資安規範 適用範圍 中華民國TANet連線之教育單位 適用於全球各組織與行業(亦包含學校機構) 成功案例 國立成功大學技中、各縣市教育網路中心(已完成系統建置) 、台大等9個國立大學區域網路中心(已開始建置) 全球有超過4000個組織選擇ISO 27001國際驗證,包含國內國立交通大學、國立中興大學、淡江大學、東海大學、靜宜大學等超過20所大學 第三方驗證方式 教育機構資安認證中心-國立清華大學 由TAF等機構核可之驗證公司(多數為外商機構)進行第三方驗證,通過後取得國際資安認證證書 效益 使各校得在有限資源與環境限制下,快速滿足相關之資通安全要求,符合教育主管機關期望 執行完整之PDCA資安管理循環,可強化學校行政管理能力與宣示對師生資料保護之決心,同時對於大學評鑑與校務招生亦有加分效益
差異說明 方案 原案: 教育體系資通安全管理規範校園聯合輔導專案 本案: 校園通過ISO 27001資安認證委外輔導專案(以原案為基礎擴充實施) 輔導顧問 原2校共用1位(不含專案管理辦公室、教育訓練講師等) 額外增加2位(並將專案管理整合於原案專案管理辦公室中) 業務流程分析 到校進行分析與討論 文件客製化服務 主要以電話、電郵討論 主要為到校討論與確認 資訊風險評鑑 主要以聯合工作研討會進行討論 主要為到校執行並確認 管理審查活動 到校進行管理審查協助 業務持續與事故通報演練 以聯合演練中心統一控管演練流程,各校分別演練 到校個別執行演練 內部稽核與驗證活動 到校進行稽核與驗證協助 資安技術風險檢測 無 透過網路針對各校對外網站進行滲透測試並提供深度建議報告 課程客製化服務 以聯合輔導訓練計畫為統一執行依據 可依各校需求客製化 各項資安演練客製化服務 無(以聯合輔導訓練計畫為執行依據) 內稽與驗證服務 到場執行內稽與教育部認證協助 到場執行內稽、預評與正評協助
相關問題 教育訓練時數 資訊安全委員會 資訊中心 利用非同步遠距教學平台,宣導資訊安全政策與提供資訊安全教育訓練 委員對政策與施作方式有疑慮 校級資安會議 資訊中心 業務作業流程 教育部版本與ISO版本差異 文件作業 政策與程序
導入建置效益 文件化 定期檢視與習慣養成 紀錄保留 業務與作業流程 災害檢測方式與復原計畫 至少每年一次報告高層 定期檢測認證範圍內資產 文件與電子 Log server與log功能
未來導入建議 導入時機 Budget 資安組織與層級 人力資源 編列預算 資源(顧問公司) 未來涵蓋範圍 那些長官需要進來 審查層級不可過多 Team work 職務調整
未來規劃 業務範圍擴大 認證範圍擴大 資安委員會部份權責下放
感謝! 問題與討論