大專校院校務資訊系統經驗交流研討會 ISMS的導入與後續之落實

Slides:



Advertisements
Similar presentations
1 計量技術人員考訓制度. 2 簡 報 大 綱 計量考訓制度簡介 應考須知說明 考試範圍內容、題型及配分權重.
Advertisements

Excel - 九十七年度教職員工資訊教育訓練 董建弘.
上海九晶电子材料股份有限公司 招聘简章.
企業海外投資與 管理策略之實務 斌視企業股份有限公司 主講人:王錦和 董事長 103年 3 月 24 日.
現代中國 議題: 「一帶一路」.
2009年周口市公共机构高效照明产品推介会
政大區網會議-導入資訊安全制度教育部與ISO27001版本
採購法規概要 報告人:臺北市政府法規委員會 編審 陳世超 土木技師高考及格 結構技師高考及格 公務人員高考及格 國立中興大學土木工程碩士
靜宜大學 導入ISO 27001:2005 資安管理系統經驗分享
桃園市政府資訊中心 C級與C+級機關應辦事項規定輔導課程.
ISO 介紹.
系統管理組工作簡報 組 長:陳灯能 九 十 八 年 十一 月 十日 1.
Certified OpenStack Administrator
亞洲大學的數位學習資源與應用 鍾仁宗老師 101年12月4日.
第一篇 Unix/Linux 操作介面 第 1 章 Unix/Linux 系統概論 第 2 章 開始使用 Unix/Linux
電子商務基本概念 電子商務的定義 1-1 電子商務的特性 1-2 電子商務的演進 1-3.
無線射頻識別系統(RFID) 基本原理及發展與應用
網路安全管理 期末報告 分散式阻斷服務攻擊 - DDoS 指導教授:梁明章 教授 學生:陳皓昕 A
網路安全與ISMS -以醫療產業為例 姓名:張碩倫 學號:A 老師:梁明章 2018/12/30.
OpenID與WordPress使用說明
商用軟體 OFFICE 2003.
國際資訊安全標準ISO 27001之網路架構設計 –以國網中心為例探討風險管理
私立南山高中 信息組 電腦研習 電腦資料的備份 中華民國 99年4月20日 星期二.
RFID資訊系統 建國科技大學資管系 饒瑞佶 2010/2011.
指導老師:黃貞芬 老師 專題組員:B 黃育宇 B 魏志軒 B 平震宇
Cloud Computing – Challenges & Opportunities
網路安全技術期末報告 Proxy Server
(五) 校務會議 資訊執秘 業務報告.
網路安全技術 OSI七層 學生:A 郭瀝婷 指導教授:梁明章.
Firewall-pfsense Mars Su
電子商務新版面問題排除.
研究用資料庫 REDCap 台大醫院新竹分院 心臟內科 謝慕揚.
授課老師:楊維邦教授 組長:劉秋良 成員:李政均、郭瀚文、鄒震耀
網頁程式概論 建國科技大學資管系 饒瑞佶 2015/9 V1 2016/4 V2 2016/9 V3.
講師:陳永芳 網際網路資源運用 講師:陳永芳
2011清大電資院學士班 「頂尖企業暑期實習」 經驗分享心得報告 實習企業:工研院 實習學生:電資院學士班 楊博旭.
Colife 現場直播 免註冊快速登入手冊.
第十三章 品質成本分析.
資訊網路專題 Special Topics on Information Networks
106年度教育雲服務策略聯盟計畫 酷學習 COOL CLASS.
賽門鐵克安全系統進化史-正確選用賽門鐵克防護系統
智慧型手機程式設計 建國科技大學資管系 饒瑞佶 2011年(992).
馬偕醫學院 圖書館
PSoC(Programmable SoC)的架構與優勢
產業實務實習工作說明 Kay Chang ASD
(Mobile User music–Sharing Innovation Center)
電腦軟體設計 建國科技大學 資管系 饒瑞佶 2010年.
資訊安全和資訊倫理宣導 永康區復興國小教務處.
第 7 章 主要商業功能.
電腦概論考題分析 佛學資訊組 碩一 張榮顯.
如何改善本港保護兒童機制 跨專業研討會 二零零四年七月十三日 葉劍影高級督察 保護兒童政策組
臺北市立教育大學 張德銳、丁一顧、李俊達、 簡賢昌、高紅瑛
System Center 2012 發布時程、促銷專案、Q&A
報告人:黃 宜 純 校 長 日 期:106年4月20日.
第四章 通訊與網路管理 授課老師:褚麗絹.
網路安全與ISMS 期末報告 A 蔣嘉祐 指導老師:梁明章老師.
資料擷取與監控應用實務.
介紹Saas 以Office 365為例 組員: 資工四乙何孟修 資工四乙 黃泓勝.
Identifying your company’s real intelligence needs
校外實習媒合資訊平台介紹 報告人:王上明 指導單位: 教育部技職司 承辦單位: 明志科技大學 、 國立高雄第一科技大學.
Introduction of School-based Curriculum Development Support Services for Secondary Schools 中學校本課程發展支援服務簡介 School-based Curriculum Development (Secondary)
決策支援系統 實例簡介.
廖志宏 助理教授 學歷 經歷 公部門與民間產學研究計劃案 證照 De La Salle University, Philippines
由Facebook看SNS的現況與未來發展趨勢
多站台網路預約系統之 AJAX即時資料更新機制
Discussion.
單元三:敘述統計 內容: * 統計量的計算 * 直方圖的繪製.
營運模式.
立昕企管顧問有限公司 網址: ISO 9001: 2015 改版重點 立昕企管顧問有限公司 網址:
昂首踏實- 大專校院校外實習媒合資訊平台 主講人:王上明 中華民國 100年6月 教育部產學合作資訊網
Presentation transcript:

大專校院校務資訊系統經驗交流研討會 ISMS的導入與後續之落實 主講人:南台科技大學 計網中心主任 蘇建郡

大綱 行政院對大學的基本要求 ISMS導入現狀 ISMS導入經驗分享 執行效益 後續需解決的問題 結論

行政院對大學的基本要求 建立SOC(選項 )、IDS、防火牆、防毒、郵件 過濾裝置 A級機關(構)於98年前通過ISMS第三者驗證 B級機關(構)於100年前通過ISMS第三者驗證 內稽每年至少一次 人員資安教育訓練,通過資安職能鑑定 至少一張資安專業證照 弱點掃描每年一次 民國l00年前完成郵件過濾裝置

南台科大ISMS導入現況

通過ISMS驗證之時程 於97年進行導入,98年通過ISMS第三者 驗證 先通過教育機構驗證,再進行ISO27001 驗證 98年5月14日通過教育機構資安驗證稽核,7月取得證書 98年6月12日通過ISO27001資安稽核,7月取得證書 先通過教育機構驗證,再進行ISO27001 驗證

ISMS導入時程 由國家資訊基本建設(NII)產業發展協進會協助導入 階段一:建立資訊安全管理架構 97/06/16 ~ 97/07/21 主要含業務分析、資安政策、文管機制、教育訓練…等 階段二:執行風險評鑑與管理作業 97/07/21~ 97/09/08 主要含風險評鑑、資訊資產清單…等 階段三:建置資訊安全管理系統 97/09/08 ~ 97/10/20 主要含四階文件、業務永續運作計畫及演練…等 階段四:制度落實與稽核驗證作業 97/10/20 ~ 98/06/30 主要含內部稽核、改善計畫…等

ISMS四階文件產出 1階政策-2本 2階程序書-14本 3階作業文件-4本 4階表單-42本

南台科大 ISMS驗證範圍 計算機與資訊網路中心維運服務作業, 部分代管主機除外

ISO27001與教育體系資通安全管理規範差異 教育體系資通安全管理規範 ISO27001:2005 11個領域、36控制目標、100控制項 驗證時間:1個人天 ISO27001:2005 11個領域、39控制目標、133控制項 驗證時間:5個人天(文件審查1人天、實地審 查4人天)

如何從教育體系資通安全管理規範升級至ISO27001 威脅弱點評估表、內部稽核項目、內部稽核 報告及適用性聲明書 重新進行風險評鑑 重新進行內部稽核 召開管理審查會議

ISMS導入經驗分享

高階主管的重視 希望先由計網中心通過第三方認證 再推動至全校各行政單位 人員與經費的支持(剛好有專案配合)

參與的人員 主要推動人員: 計中現有人力 (不含專案助理),全員 配合參與必要之業務執行及教育訓練課 程 網路組組長(先取得資安相關認證)及一位 文管人員全力配合業務之執行 計中現有人力 (不含專案助理),全員 配合參與必要之業務執行及教育訓練課 程 工作的分配、協調與不同見解,主管需 要介入或決定

輔導顧問的協助 顧問的角色可扮演初期主要的推動力量 教育訓練 協助ISMS制度的建立 提供文件範本 協助文件檢視 協助執行內部稽核 疑問解答

經費的投入 需要經費的部分 以上皆須視各校之狀況決定,並非絕對 必要,許多設備也應該原先就已經建置。 資安顧問的導入費用 虛擬化主機,支援備援機制 CDP即時資料備份 異地機房的建置 機房環控設備 門禁與錄影監視設備 入侵偵測系統、郵件過濾、防毒軟體、流量管理 弱點掃描(或用open source軟體)、原始碼漏洞檢測 購買正版軟體 以上皆須視各校之狀況決定,並非絕對 必要,許多設備也應該原先就已經建置。

執行效益 建置入侵偵測、防火牆、防毒、郵件過濾、流量管理、虛擬化主機備援 建置CDP資料庫即時備份 建置異地備援機房 ISMS相關制度的建立與內稽(new) 取得ISO27001主導稽核員認證3張(new) 檢測網站弱點每年進行二次(new) 帳號清查(new) 伺服器Log定期檢查、Patch修補程式(new) 機房重整 (new) 軟體開發會簽相關單位主管(new) 軟體原始碼的管控機制(new) 建置軟體開發測試平台及移除敏感資料(new) BCM營運持續管理系統的演練(new) 設備報廢時資料銷毀的必要措施(new)

後續需解決的問題 部分Patch修補無法馬上執行(現行系統須持 續運作) Log的檢視,需要更專業的判斷與集中管理 伺服器的管理需要更專業,以維持持續運行 代理人的參與程度需要提高,並於平時就參 與 如何推行至全校行政單位 大量文件的產出需要電子化

結論 ISMS是好的機制,可重新體檢整個計中的運作狀況 高階主管的支持度,決定了驗證的範圍 驗證的範圍決定了認證的困難度,可以簡單也可以 很困難,通過驗證不代表有很好的資安防護,若能 確實執行可以有效的檢視單位內的資安制度 通過資安驗證只是開端,落實於平日的工作常軌, 才可能確實執行 技術只能解決一部分的資訊安全問題,大部分資安 問題來自人為因素,需建立管理制度及長期的教育 訓練來解決。 來自教育部的公文要求,有助於長官對資安的認知, 如防範惡意電子郵件工程演練、網站弱點掃描…等

謝謝指教