The Issue of Information Security Management 資安管理專題

Slides:



Advertisements
Similar presentations
1 進階商用資料庫的第一堂課 Oracle 10g database administration workshop I Instructor: 中華大學資訊管理系助理教授李之中 URL: 2012/09/02.
Advertisements

1-1 第八章 創造優質產出:生產與作業管理. 1-2 參考資料 企業管理:全球導向的運作 鄭紹成/著 前程 企業概論 吳淑華 / 編譯 華泰書局 R.J., Ebert and R.W., Griffin, “Business Essentials” , 5th Ed., Prentice-Hall.
第十章 資訊安全管理 本投影片(下稱教用資源)僅授權給採用教用資源相關之旗標書籍為教科書之授課老師(下稱老師)專用,老師為教學使用之目的,得摘錄、編輯、重製教用資源(但使用量不得超過各該教用資源內容之80%)以製作為輔助教學之教學投影片,並於授課時搭配旗標書籍公開播放,但不得為網際網路公開傳輸之遠距教學、網路教學等之使用;除此之外,老師不得再授權予任何第三人使用,並不得將依此授權所製作之教學投影片之相關著作物移作他用。
預防工作策進會議
第10章 信息安全管理.
工程施工品質管理作業法則 (第一次修訂) 主講人: 曾 義 誠.
資訊安全.
突破经营瓶颈、迈向世界水平 国际医院评审认证(JCI).
曲延棣 副教授兼系主任 義守大學 醫務管理學系
資訊安全管理系統(ISMS)建置說明 基隆市教育網路中心 講師:王言俊.
软件工程实践 软件学院 高海昌 作业提交 课件下载
大綱 基本觀念 安全的重要性 取捨 一些安全防護技術和制度的基本原理 你只需要知道原理 你自己要有因應的措施 企業安全規範 1.
生產與作業管理小組報告 第七章:品質經營 指導教授:盧淵源 教授 小組成員: M 蕭妃伶 M 陳珮甄
資訊安全概論 Introduction to Information Security
信息安全标准、法律法规及等级保护 温州市继续教育院 -信息安全继续教育培训 陆军波 /
专业选修课 学年第一学期 谢少敏 中国会计与审计专题 What Are Audits? 专业选修课 学年第一学期 谢少敏
CHAPTER 9 采购 Procurement.
香港大学深圳医院政策性文件管理办法 解析 Introduction of Document Control Policy
2012届(数计院) 企业人事管理系统 ——指导老师: 学生:.
第一节 注册会计师审计目标 第二节 被审计单位管理当局的认定 和具体审计目标 第三节 审计过程和审计业务约定书
針扎之處置,追蹤,與預防---- 醫療品質與病人安全
CH 6 五大網路管理功能.
人際溝通 Interpersonal Communication
Part4-課程教材 教材名稱:雲端運算PART4
都市計畫概論論文概述及評論: 彰化高鐵站區域計畫
1 報告人:張克章教授 資訊安全 政策與管理 Dept. Information Management Chang Gung University Information security policy and management 資訊安全政策與管理 資訊安全政策與管理 Information Security.
Hong Kong Library Education and Career Forum 2011
ISO 9001條文簡介 ( 2000年版) ISO9001訓練教材之二 顧問師 林弘炤.
企業會計資訊系統發展現況與電腦審計實務分享
教育部資通訊人才培育先導型計畫 寬頻有線教學推動聯盟中心 第十章 資安事件管理.
第四章 系統內部控制設計.
組織理論與管理 Organization Theory and Management 授課簡介
CHAPTER 15 控制工具與技術 新陸書局股份有限公司 發行.
Special Topics in Social Media Services 社會媒體服務專題
COBIT 資訊及相關技術的管理、控制與稽核
9 資訊安全 Information Security: A Managerial Perspective 國立中央大學.資訊管理系 范錚強
1 Maturity Mechanics and Model Elements成熟度机理和模型的元素
品質管理系統 華南品規課 鴻准精密模具有限公司 2018/12/6.
Data Mining 資料探勘 Introduction to Data Mining Min-Yuh Day 戴敏育
嵩贊油封工業股份有限公司 內部稽核課程 職業安全衛生管理系統 TOSHMS & OHSAS      系統介紹 講師 : 林 明 洲 協理
IT基础设施运营管理服务 – 定义、实现、展示
主講人:黃鎮榮 東方設計學院觀光與休閒事業管理系
HSG 245職業傷害事故調查 于樹偉 財團法人安全衛生技術中心
Hong Kong Library Education and Career Forum 2009
Maturity Mechanics and Model for Large-Scale Construction Project Management 大型建设工程项目管理成熟度机理 及其模型 贾广社.
第 一章 資訊安全導論 本投影片(下稱教用資源)僅授權給採用教用資源相關之旗標書籍為教科書之授課老師(下稱老師)專用,老師為教學使用之目的,得摘錄、編輯、重製教用資源(但使用量不得超過各該教用資源內容之80%)以製作為輔助教學之教學投影片,並於授課時搭配旗標書籍公開播放,但不得為網際網路公開傳輸之遠距教學、網路教學等之使用;除此之外,老師不得再授權予任何第三人使用,並不得將依此授權所製作之教學投影片之相關著作物移作他用。
员工入职培训手册 PPT模板 EMPLOYEE ORIENTATION MANUAL 人在一起的叫聚会, 心在一起叫团队!
電子商務 E-Commerce.
中油公司推行ISO 14001實例 紀佳雄/中油公司工安環保處 2019年4月8日 黃士滔製作.
美国图书馆的自我发展体系: 从评估到提升 美国图书馆的自我发展体系: 从评估到提升
電子商務安全 Secure Electronic Commerce
Error Control Coding Spring 2016 Course Syllabus
資訊安全概論 Introduction to Information Security
人際溝通 Interpersonal Communication
自我介紹 李易如 小c 桃園人 交大運管系 聽音樂、慢跑、旅遊 黃家耀老師lab.
資訊安全管理系統(ISMS)建置說明 基隆市教育網路中心 講師:王言俊.
交通大學 運輸科技與管理學系 博士班二年級 朱佑旌
4.環境管理系統與稽核 一個系統化的方法去達成妳設定的環境目標 環境政策 規劃 執行 檢查/矯正 管理審查 持續 改善.
綠色線纜生產~軟硬件的配合 營 業 及 市 場 總 監 莊 桂 榮 先 生 樂 庭 實 業 有 限 公 司.
資訊數位服務 Information Service
採購契約 報告人:張錦川 日期:97年8月.
人際溝通 Interpersonal Communication
資訊安全概論 樹德科技大學 資訊工程系 林峻立 助理教授.
網路安全與ISMS 期末報告 A 蔣嘉祐 指導老師:梁明章老師.
Operating System Software School of SCU
長期照護機構如何應用資訊工具協助管理 主講:周中和.
商業智慧實務 Practices of Business Intelligence
质量管理体系与工具 工程管理学
Computer Security and Cryptography
CAI-Asia China, CATNet-Asia
Presentation transcript:

The Issue of Information Security Management 資安管理專題 Course Orientation for Information Security Management 資安管理專題課程介紹 1012ISM01 MI4 Mon 8, 9 (15:10-17:00) (B703) Min-Yuh Day 戴敏育 Assistant Professor 專任助理教授 Dept. of Information Management, Tamkang University 淡江大學 資訊管理學系 http://mail. tku.edu.tw/myday/ 2013-02-18

淡江大學101學年度第2學期 課程教學計畫表 (2013.02 - 2013.06) 課程名稱:資安管理專題 (The Issue of Information Security Management) 授課教師:戴敏育 (Min-Yuh Day) 開課系級:資管四P(TLMXB4P) 開課資料:選修 單學期 2 學分 (2 Credits, Elective) 上課時間:週一 8, 9 (Mon 15:10-17:00) 上課教室:B703

課程簡介 本課程介紹資訊安全管理基本概念與實務。 課程內容包括 ISO 27001 資訊安全管理系統, 資訊安全風險,先期規劃,風險評鑑, 資訊安全政策, 資訊安全管理組織, 資產管理,人力資源管理, 實體與環境安全管理,通信與作業管理, 存取控制,資訊系統的取得、開發及維護, 資安事故管理,營運持續管理, 法令、政策、標準、及技術的符合性, 內部稽核,管理審查,持續改進。

Course Introduction This course introduces the fundamental concepts and practices of information security management. Topics include Introduction to ISO 27001 Information Security Management System (ISMS), Information Security Risk, Risk Assessment, Information Security Policy, Organization of Information Security, Assets Management, Human Resources Management, Physical and Environmental Security, Communications and Operations Management, Access Control, Information Systems Acquisition, Development and Maintenance, Information Security Incident Management, Business Continuity Management, Compliance, Internal Audit, Management Review, Continuous Improvement

課程目標 (Objective) 學生將能夠瞭解及應用資訊安全管理基本概念與實務。 Students will be able to understand and apply the fundamental concepts and practices of information security management.

教學方法與評量方法 教學方法 講述、討論、賞析、問題解決 評量方法 紙筆測驗、報告、上課表現

課程大綱 (Syllabus) 週次 日期 內容(Subject/Topics) 1 102/02/18 資安管理專題課程介紹 (Course Orientation for Information Security Management) 2 102/02/25 ISO 27001 資訊安全管理系統介紹 (Introduction to ISO 27001 Information Security Management System; ISMS) 3 102/03/04 資訊安全風險 (Information Security Risk); 風險評鑑 ( Risk Assessment) 4 102/03/11 資訊安全政策 (Information Security Policy) 5 102/03/18 資訊安全管理組織 (Organization of Information Security); 資產管理 (Assets Management) 6 102/03/25 人力資源管理 (Human Resources Management); 實體與環境安全管理 (Physical and Environmental Security); 通信與作業管理 (Communications and Operations Management); 存取控制 (Access Control) 7 102/04/01 教學行政觀摩日 (Off-campus study)

課程大綱 (Syllabus) 週次 日期 內容(Subject/Topics) 8 102/04/08 資訊系統的取得、開發及維護 (Information Systems Acquisition, Development and Maintenance) 9 102/04/15 期中報告 (Midterm Presentation) 10 102/04/22 期中考試週 11 102/04/29 資安管理專題演講 (Invited Talk on Information Security Management)(Invited Speaker) 12 102/05/06 資安事故管理 (Information Security Incident Management); 營運持續管理 (Business Continuity Management); 法令、政策、標準、及技術的符合性 (Compliance) 13 102/05/13 內部稽核 (Internal Audit); 管理審查 (Management Review); 持續改進 (Continuous Improvement) 14 102/05/20 期末報告 (Final Presentation) 15 102/05/27 畢業考試週

教材課本與參考書籍 教材課本 (Textbook): 參考書籍 (References): 講義 (Slides) 資訊安全管理教材,教育部顧問室資通安全聯盟 Alan Calder and Steve Watkins (2012), IT governance: a manager’s guide to data security and ISO 27001/ ISO 27002, 5th edition, Kogan Page.

學期成績計算方式 期中評量:30.0 % 期末評量:30.0 % 其他 (課堂參與及報告討論表現):40.0 % (3 篇作業)

資訊安全 (information security) 保存資訊的機密性、完整性及可用性; 此外, 亦能涉及如鑑別性、可歸責性、 不可否認性及可靠度等性質。 [CNS 17799] information security preservation of confidentiality, integrity and availability of information; in addition, other properties such as authenticity, accountability, non-repudiation and reliability can also be involved [ISO/IEC 17799:2005] Source: ISO/IEC 27001:2005, CNS 27001

資訊安全管理系統 (Information Security Management System, ISMS) 整體管理系統的一部分, 以營運風險導向(作法)為基礎, 用以建立、實作、運作、監視、審查、維持及改進資訊安全。 備考: 管理系統包括組織架構、政策、規劃活動、 責任、實務、程序、過程及資源。 information security management system (ISMS) that part of the overall management system, based on a business risk approach, to establish, implement, operate, monitor, review, maintain and improve information security NOTE: The management system includes organizational structure, policies, planning activities, responsibilities, practices, procedures, processes and resources. Source: ISO/IEC 27001:2005, CNS 27001

Source:潘天佑 (2011),資訊安全概論與實務,第二版,碁峰 資訊安全是管理議題 許多人誤以為資訊安全是個「技術」議題; 事實上它是一個需要技術輔助的「管理」議題。 【管理疏失案例】在 2003 與 2004 年,世界知名的 Wells Fargo 銀行員工的筆記型電腦有兩次在公司外遭竊。最敏感的客戶交易紀錄及二十萬筆信用卡資料外洩,造成公司嚴重的財務與形象損失。 Source:潘天佑 (2011),資訊安全概論與實務,第二版,碁峰

資訊安全的三元素 實體安全 Physical Security 營運安全 Operational Security 資訊安全 三元素 Security triad 管理與政策Management and Policies Source:潘天佑 (2011),資訊安全概論與實務,第二版,碁峰

Source:潘天佑 (2011),資訊安全概論與實務,第二版,碁峰 資訊安全的目標 資訊安全的目標 (Goals) 預防 (Prevention):預防電腦或資訊被違規使用。 偵測 (Detection): 事件發生時能夠即時的偵測。 反應 (Response): 發展策略因應遭受的攻擊與損失。 Source:潘天佑 (2011),資訊安全概論與實務,第二版,碁峰

PDCA model applied to ISMS processes Source: ISO/IEC 27001:2005

適用於 ISMS 過程之PDCA 模型 Source: CNS 27001

Source: 教育部顧問室資通安全聯盟,“資訊安全管理”教材 我國資安管理法源/政策 Source: 教育部顧問室資通安全聯盟,“資訊安全管理”教材

Source: 教育部顧問室資通安全聯盟,“資訊安全管理”教材 我國資通安全共通規範架構 Source: 教育部顧問室資通安全聯盟,“資訊安全管理”教材

資訊安全管理專業國際證照 ISO 27001 (ISO 27001 Lead Auditor) Security+ BSI: (The British Standards Institution) Security+ CompTIA CISSP (Certified Information Systems Security Professional) (ISC)2 : (International Information Systems Security Certification Consortium) SSCP (Systems Security Certified Practitioner) CEH (Certified Ethical Hacker) EC-Council

Contact Information 戴敏育 博士 (Min-Yuh Day, Ph.D.) 專任助理教授 淡江大學 資訊管理學系 電話:02-26215656 #2347 傳真:02-26209737 研究室:i716 (覺生綜合大樓) 地址: 25137 新北市淡水區英專路151號 Email: myday@mail.tku.edu.tw 網址:http://mail.tku.edu.tw/myday/