資訊安全管理系統(ISMS)建置說明 基隆市教育網路中心 講師:王言俊
何謂資訊安全 Informational Security(INFOSEC) 資訊可透過網路來互通共享,部份資訊可公開,但部份資訊屬機密,不可公開且不可篡改,必須作保密的管制以防使用者有意或無意的讀取或更改,而有關資訊保護之研究的總合稱為資訊安全。 保護資訊的機密性、完整性及可用性的手段、作法、研究…就稱為資訊安全。在資訊安全的範疇內得增加諸如鑑別性、可歸責性、不可否認性與可靠性等特性。
何謂機密性: 確保只有經過授權的人才可取得資訊,避免資訊洩露。 資料不得被未經授權之個人、實體或程序所取得或揭露。 Confidentiality 機密性 Integrity 完整性 Availability 可用性 何謂機密性: 確保只有經過授權的人才可取得資訊,避免資訊洩露。 資料不得被未經授權之個人、實體或程序所取得或揭露。
何謂完整性: 可歸責性 (Accountability):確保實體之行為可唯一追溯到該實體的特性。 Confidentiality 機密性 Integrity 完整性 Availability 可用性 何謂完整性: 可歸責性 (Accountability):確保實體之行為可唯一追溯到該實體的特性。 鑑別性 (Authenticity):確保一主體或資源之識別就是其所聲明者的特性。適用於如使用者、程序、系統與資訊等實體。 不可否認性 (Non-repudiation):對一已發生之行動或事件的證明,使該行動或事件往後不能被否認的能力。 簡言之就是確保資訊不受未經授權的竄改與資訊處理方法的正確性。
何謂可用性: 確保經授權的使用者,在需要時可以取得資訊,並使用相關資產。 Confidentiality 機密性 Integrity 完整性 Availability 可用性 何謂可用性: 確保經授權的使用者,在需要時可以取得資訊,並使用相關資產。
資訊管理的內容 Confidentiality 機密性 Integrity 完整性 Availability 可用性 基礎建設安全管理Frastructure Security Management 實體安全 Physical Security 人員安全 Personal Security Confidentiality 機密性 Integrity 完整性 Availability 可用性 風險管理 Risk Management 平台安全 Platform Security 防火牆與連線安全Firewall & Connectivity Management 復原計畫 Fallback Planning 加密Encryption 企業永續營運管理Bussiness Community Management 密碼管理 Password Management 意外事回應與 犯罪管理 Incident Response & Crisis Management 身份驗證與存取控制Authentication & Access Control 認證註冊與管理Certificate Registration Management 監督與入侵偵測Monitoring & Intrusion Detection 滲透測試 Penetration Testing 病毒防治 Virus Prevention
何謂ISMS(Information Security Management System) 透過規劃(Plan)、執行(Do)、檢查(Check)與行動(Act)以建立完善的制度以進行資訊管理。 規劃 Plan 建立ISMS 執行 Do 行動 Act 實作ISMS 維持改進ISMS 審查ISMS 檢查 Check
規劃:建立與管理風險及改進資訊安全相關之 ISMS的政策、目標、過程及程序,以產 產生與組織整體政策和目標一致的結果 執行:實做與運作ISMS的政策、控制措施、過 程和程序。 檢查:依據ISMS政策、目標及實際經驗、評鑑 及在試用時測量過程績效,並將結果回 報給管理階層審查。 行動:基於ISMS內部稽核與管理階層稽查結果 或其它相關資訊採取矯正與預防措施, 以達成ISMS的持續改進。
部份學校目前的資安現況 原資訊組長調校,因為沒有書面紀錄,新任資訊組長對學校資訊設備的位置、功能等不盡了解,甚至還要請教平日協助維護的廠商。 因書面資料不全,學校沒有人明白到底校內有多少合法授權的軟體;軟體授權書、序號也沒有列管而散失。 學校Server是「前前前任資訊組長」架設,沒有書面交接資料(或交接不全),只能使用其上的網頁應用程式,無人能以最高權限管理者登入該Server,故無法更新及維護系統,一旦發生入侵事件不知該如何是好。 資訊組長請假或公出,學校的電腦或是網路發生異常狀況,無人能夠處理,只得急Call資訊組長回校,若資訊組長出國旅遊,異常狀況會持續到他銷假。
外界對國中小學資安現況的看法 市府研考處: 1.某校的電腦機房亂成一團,進出也沒有管制,好像任何人 都可以進去。 2.某校的行政用電腦,沒有設定通行碼,任何人一開機就能 使用;有行政用電腦有設定,但通行碼是123456,隨便猜 都進的去。 3.某校的行政用電腦內發現有安裝p2p程式,疑似有非法下 載的行為。 部份電腦廠商: 1.某校好像是個大毒窟,隨身碟一旦放入該校的電腦,該隨 身碟就會中毒。 2.某校的網路線拉的亂七八糟,我想幫他重拉都不知如何幫 起。
部份資訊組長或資訊教師的困境 我是師範系統畢業,我只會教學生,資訊非我所學,我是年資較淺才「被迫」承擔資訊組長。 我每週上課時數2X節,不但要備課還要應付行政事務,根本沒有餘力維護學校資訊設備與處理資安事件。 我兼任班導師,需以學生為主,所以對維護學校資訊設備與處理資安事件有心沒力! 如果你有上述的困境,更需要將ISMS導入貴校。