資訊安全管理系統(ISMS)建置說明基隆市教育網路中心講師：王言俊.

Slides:

Advertisements

Similar presentations

第十章資訊安全管理本投影片（下稱教用資源）僅授權給採用教用資源相關之旗標書籍為教科書之授課老師（下稱老師）專用，老師為教學使用之目的，得摘錄、編輯、重製教用資源（但使用量不得超過各該教用資源內容之80%）以製作為輔助教學之教學投影片，並於授課時搭配旗標書籍公開播放，但不得為網際網路公開傳輸之遠距教學、網路教學等之使用；除此之外，老師不得再授權予任何第三人使用，並不得將依此授權所製作之教學投影片之相關著作物移作他用。

Advertisements

《网络信息安全》中国科学技术大学肖明军席菁

南亞技術學院行政人員資訊安全訓練教材資訊安全基本認知

電子商務安全防護線上交易安全機制.

資訊安全管理與個人資訊安全防護日期：99年12月01日 13:30~16:30 地點：e化專科教室主講人：黃尚文.

經濟部行政院第3458次院會會議政府機關及學校四省專案計畫執行進展報告經濟部報告人：能源局林局長全能 104年7月23日 1 1.

經濟部政府機關及學校四省專案計畫執行進展報告 1 1.

電子商務：數位時代商機‧梁定澎總編輯‧前程文化出版

安全衛生實務 H1 查核使用指引.

审核性教学工作评估动员李永苍 2015年5月22日.

第五章資訊科技基礎建設與新興科技.

管理學院核心能力計算與檢討以系所評鑑種子系所為例財務金融學系.

資訊安全與防毒 Chapter 認識資訊安全 14-2 網路帶來的安全威脅 14-3 電腦病毒/特洛依木馬/網路蠕蟲

專題報告污染預防規劃姓名:陳信宏班級:休閒97辛38號.

主講:圖資處薛甘霖 (ISO LA 、BS LA、CEH)

樂樂西玩西玩門門.

信息安全概论电子科技大学计算机学院信息安全系秦志光教授（博导）.

信息安全标准、法律法规及等级保护温州市继续教育院 -信息安全继续教育培训陆军波 /

信息安全保障基本知识培训机构名称讲师名字.

第八章資料庫安全本投影片（下稱教用資源）僅授權給採用教用資源相關之旗標書籍為教科書之授課老師（下稱老師）專用，老師為教學使用之目的，得摘錄、編輯、重製教用資源（但使用量不得超過各該教用資源內容之80%）以製作為輔助教學之教學投影片，並於授課時搭配旗標書籍公開播放，但不得為網際網路公開傳輸之遠距教學、網路教學等之使用；除此之外，老師不得再授權予任何第三人使用，並不得將依此授權所製作之教學投影片之相關著作物移作他用。

06資訊安全-加解密.

第一节注册会计师审计目标第二节被审计单位管理当局的认定和具体审计目标第三节审计过程和审计业务约定书

各位领导、各位专家上午好！对你们的到来，双多公司全体干部员工表示热烈的欢迎.

危機就在你身邊.

CH 6 五大網路管理功能.

光隆家商優質化計畫簡報校長楊瑞明教務主任高美麗

Part4-課程教材教材名稱:雲端運算PART4

資訊管理第十五章資訊使用與倫理.

基隆區創意發展校園簡報光隆家商校長楊瑞明光隆教務主任高美麗

教育部資通訊人才培育先導型計畫寬頻有線教學推動聯盟中心第十章資安事件管理.

ISO14001環境管理系統簡介及推行程序經濟部工業局高世錦 2018年11月19日 ISO

資電學院計算機概論 F7810 第十七章資訊安全陳邦治編著旗標出版社.

CHAPTER 15 控制工具與技術新陸書局股份有限公司發行.

電子商務付費系統講師：王忍忠.

CS 網路安全 Network Security

The Issue of Information Security Management 資安管理專題

嵩贊油封工業股份有限公司內部稽核課程職業安全衛生管理系統 TOSHMS & OHSAS 系統介紹講師 : 林明洲協理

主講人:黃鎮榮東方設計學院觀光與休閒事業管理系

資訊安全管理概論(一) 1-10題解析吳玄玉.

第八章軟體品質與軟體度量.

主講人:黃鎮榮東方設計學院觀光與休閒事業管理系

第一章資訊安全導論本投影片（下稱教用資源）僅授權給採用教用資源相關之旗標書籍為教科書之授課老師（下稱老師）專用，老師為教學使用之目的，得摘錄、編輯、重製教用資源（但使用量不得超過各該教用資源內容之80%）以製作為輔助教學之教學投影片，並於授課時搭配旗標書籍公開播放，但不得為網際網路公開傳輸之遠距教學、網路教學等之使用；除此之外，老師不得再授權予任何第三人使用，並不得將依此授權所製作之教學投影片之相關著作物移作他用。

為何電子商務的安全性令人擔憂？電子商務資訊安全實體商務也擔心安全-但數位化的偽造數量會更多更快

品質管理授課教師：○○○老師.

小学生交通安全主题班会课件安全 security 上派学区中心校校园安全管理办公室.

資訊安全概論 Introduction to Information Security

为全面推进深化医药卫生体制改革，积极稳妥推进公立医院改革，逐步建立我国医院评审评价体系，促进医疗机构加强自身建设和管理，不断提高医疗质量，保证医疗安全，改善医疗服务，更好地履行社会职责和义务，提高医疗行业整体服务水平与服务能力，满足人民群众多层次的医疗服务需求，在总结我国第一周期医院评审和医院管理年活动等工作经验的基础上，我部印发了.

有效執行邁向成功的階梯 ( 摘錄自李開復先生著作 :做最好的自己 ).

学生干部角色的定位与转换肖志文 2013年9月16日.

東海大學推動ISO 14001之成果分享報告人：東海大學環保組.

資訊安全管理系統(ISMS)建置說明基隆市教育網路中心講師：王言俊.

服務單位：臺中市立光榮國民中學報告人：張雅萍報告日期：

品管圈活動訓練壹、活動圈組成 1.

淡江大學職業安全衛生管理系統條文說明 OHSAS 18001職業安全衛生管理系統推行人員訓練許宏銘顧問師茂識管理顧問有限公司

如何兼顧網路安全與效能的規劃網路安全架構的瓶頸.

整合線上軟體開發工具、線上廣播與加密技術之軟體工程線上考試系統

財團法人高等教育評鑑中心基金會處長王保進教授

資訊安全概論樹德科技大學資訊工程系林峻立助理教授.

為何電子商務的安全性令人擔憂？第二節電子商務資訊安全實體商務也擔心安全-but數位化的偽造數量會很多網際網路是互聯的（匿名與距離性）

財團法人高等教育評鑑中心基金會處長王保進教授

105年度大學校院第二週期系所評鑑實施計畫說明會

2017学考复习信息管理（导引P37）.

永續校園規劃與管理第十二講永續校園管理授課教師彭立沛 2003/05/24.

長期照護機構如何應用資訊工具協助管理主講：周中和.

Computer Security and Cryptography

Website: 第1章密码学概论 Website: 年10月27日.

《现代密码学》导入内容方贤进

整合、改善學生修課資訊建構全校課程地圖報告單位：弘光科技大學通識學院報告日期：100 年01月11日報告人：通識學院楊士奇組長.

Presentation transcript:

資訊安全管理系統(ISMS)建置說明基隆市教育網路中心講師：王言俊

何謂資訊安全 Informational Security(INFOSEC) 資訊可透過網路來互通共享，部份資訊可公開，但部份資訊屬機密，不可公開且不可篡改，必須作保密的管制以防使用者有意或無意的讀取或更改，而有關資訊保護之研究的總合稱為資訊安全。保護資訊的機密性、完整性及可用性的手段、作法、研究…就稱為資訊安全。在資訊安全的範疇內得增加諸如鑑別性、可歸責性、不可否認性與可靠性等特性。

何謂機密性：確保只有經過授權的人才可取得資訊，避免資訊洩露。資料不得被未經授權之個人、實體或程序所取得或揭露。 Confidentiality 機密性 Integrity 完整性 Availability 可用性何謂機密性：確保只有經過授權的人才可取得資訊，避免資訊洩露。資料不得被未經授權之個人、實體或程序所取得或揭露。

何謂完整性：可歸責性 (Accountability)：確保實體之行為可唯一追溯到該實體的特性。 Confidentiality 機密性 Integrity 完整性 Availability 可用性何謂完整性：可歸責性 (Accountability)：確保實體之行為可唯一追溯到該實體的特性。鑑別性 (Authenticity)：確保一主體或資源之識別就是其所聲明者的特性。適用於如使用者、程序、系統與資訊等實體。不可否認性 (Non-repudiation)：對一已發生之行動或事件的證明，使該行動或事件往後不能被否認的能力。簡言之就是確保資訊不受未經授權的竄改與資訊處理方法的正確性。

何謂可用性：確保經授權的使用者，在需要時可以取得資訊，並使用相關資產。 Confidentiality 機密性 Integrity 完整性 Availability 可用性何謂可用性：確保經授權的使用者，在需要時可以取得資訊，並使用相關資產。

資訊管理的內容 Confidentiality 機密性 Integrity 完整性 Availability 可用性基礎建設安全管理Frastructure Security Management 實體安全 Physical Security 人員安全 Personal Security Confidentiality 機密性 Integrity 完整性 Availability 可用性風險管理 Risk Management 平台安全 Platform Security 防火牆與連線安全Firewall & Connectivity Management 復原計畫 Fallback Planning 加密Encryption 企業永續營運管理Bussiness Community Management 密碼管理 Password Management 意外事回應與犯罪管理 Incident Response & Crisis Management 身份驗證與存取控制Authentication & Access Control 認證註冊與管理Certificate Registration Management 監督與入侵偵測Monitoring & Intrusion Detection 滲透測試 Penetration Testing 病毒防治 Virus Prevention

何謂ISMS(Information Security Management System) 透過規劃(Plan)、執行(Do)、檢查(Check)與行動(Act)以建立完善的制度以進行資訊管理。規劃 Plan 建立ISMS 執行 Do 行動 Act 實作ISMS 維持改進ISMS 審查ISMS 檢查 Check

規劃：建立與管理風險及改進資訊安全相關之 ISMS的政策、目標、過程及程序，以產產生與組織整體政策和目標一致的結果執行：實做與運作ISMS的政策、控制措施、過程和程序。檢查：依據ISMS政策、目標及實際經驗、評鑑及在試用時測量過程績效，並將結果回報給管理階層審查。行動：基於ISMS內部稽核與管理階層稽查結果或其它相關資訊採取矯正與預防措施，以達成ISMS的持續改進。

部份學校目前的資安現況原資訊組長調校，因為沒有書面紀錄，新任資訊組長對學校資訊設備的位置、功能等不盡了解，甚至還要請教平日協助維護的廠商。因書面資料不全，學校沒有人明白到底校內有多少合法授權的軟體；軟體授權書、序號也沒有列管而散失。學校Server是「前前前任資訊組長」架設，沒有書面交接資料(或交接不全)，只能使用其上的網頁應用程式，無人能以最高權限管理者登入該Server，故無法更新及維護系統，一旦發生入侵事件不知該如何是好。資訊組長請假或公出，學校的電腦或是網路發生異常狀況，無人能夠處理，只得急Call資訊組長回校，若資訊組長出國旅遊，異常狀況會持續到他銷假。

外界對國中小學資安現況的看法市府研考處： 1.某校的電腦機房亂成一團，進出也沒有管制，好像任何人都可以進去。 2.某校的行政用電腦，沒有設定通行碼，任何人一開機就能使用；有行政用電腦有設定，但通行碼是123456，隨便猜都進的去。 3.某校的行政用電腦內發現有安裝p2p程式，疑似有非法下載的行為。部份電腦廠商： 1.某校好像是個大毒窟，隨身碟一旦放入該校的電腦，該隨身碟就會中毒。 2.某校的網路線拉的亂七八糟，我想幫他重拉都不知如何幫起。

部份資訊組長或資訊教師的困境我是師範系統畢業，我只會教學生，資訊非我所學，我是年資較淺才「被迫」承擔資訊組長。我每週上課時數2X節，不但要備課還要應付行政事務，根本沒有餘力維護學校資訊設備與處理資安事件。我兼任班導師，需以學生為主，所以對維護學校資訊設備與處理資安事件有心沒力! 如果你有上述的困境，更需要將ISMS導入貴校。