ISO/IEC 17799 ＞資訊安全管理系統 國際標準簡介＜

甚麼是ISO/IEC 17799？ 資訊安全管理國際標準 ＞ ISO/IEC 17799 ＞國際標準化組織 ＞國際電子技術委員會 ISO：International Organization for Standardization ＞國際電子技術委員會 IEC：International Electro technical Commission

甚麼是ISO/IEC 17799？ + BS PD0003 Nov 97- April 99 Industry DISC DTI BSI + Nov 97- April 99 BS 7799-2:1998 BS 7799-1:1999 BS 7799-2:1999 ISO 17799

ISO 17799 國際標準的發展歷史 1995 BS7799 Part 1 Code of practice 施行細則 specification 認證標準 1999 BS7799 part 1 1999 BS7799 Part 2 2000 ISO/IEC 17799 (BS7799 Part 1) Code of practice 施行細則 2001 CNS 17799-1(ISO 17799) & CNS 17799-2(BS 7799 part 2)

技術委員會 BDD/2 金融服務: Association of British Insurers, Institute of Chartered Accountants in England and Wales, Institute of Internal Auditors, Lloyds TSB, Nationwide Building Society, HSBS 通訊: British Telecommunications plc Racal Network Services 零售: Marks and Spencer plc 其他: Shell International Petroleum, Uniliver plc Whitbread, KPMG

ISO 17799 與 BS7799 part 2 ISO 17799 (CNS 17799-1) 施行細則 參考文件 完整的最佳資訊安全管理範例 BS7799 Part 2 (CNS 17799-2) 以 ISO 17799 為基礎 規範了建立執行和文件劃一套資訊安全管理系統的要求 驗證標準

『ISO 17799』的內容 10 管理要項 36 執行目標 127 管制方法

『ISO 17799』的結構 資訊安全範圍 風險審查與風險管理 資訊安全政策 安全管理架構 資訊安全管理系統維護與審查

十大管理要項 一、資訊安全政策 二、組織與權責 三、資產分類與管理 四、人員安全管理 五、設備與環境之安全管理 六、通訊及作業之安全 七、存取管制 八、資訊系統之開發與維護 九、業務活動永續運作之管理 十、法令依循

三十六個執行目標 ☆ 外來單位存取組織內資訊及資訊 處理設施時之安全管理。 ☆ 委外加工處理時相關資訊之安全 管理。 ☆ 降低人為錯誤、偷竊、欺騙或設 備誤用之風險。

三十六個執行目標(續) ☆ 發生易發事件及故障時如何將損害 降至最小，監督類似事件並從中學習。 ☆ 當發生重大系統失效或人為疏失時，不 會中斷企業活動且能保護企業的關鍵流程。 ☆ 避免觸犯任何刑事或民事法令和已成文 的、受控制的規範、合約及義務，還有 資訊安全要求。

一百二十七種管制方法 【例】4.1 安全政策 4.1.1 資訊安全政策 目標☆ 提供管理階層對資訊安全的指示與支援 4.1.1.1 資訊安全政策文件 資訊安全政策文件，需經管理階層核可，發 行並充分溝通，如果可行，應遍及每一位員工。 4.1.1.2 審查與評估 安全政策應該按時的被審查，且如果有影響性的 更改時，需確保它的適合性。

一百二十七種管制方法 【例】4.2 組織與權責 4.2.1 資訊安全基礎架構 目標☆ 如何在組織內管理資訊安全 4.2.1.1 資訊安全管理委員會 4.2.1.2 部門間協調 4.2.1.3 權責分配 4.2.1.4 資訊處理設備之授權流程 4.2.1.5 專業資訊安全顧問 4.2.1.6 組織間合作 4.2.1.7 資訊安全審核之獨立性

一百二十七種管制方法 【例】4.4 人員安全管理 4.4.3 資訊安全事件及故障之回報 目標☆發生資訊安全事件及故障時如何將損害降至 最小，如何監督類似事件並從中學習。 4.4.3.1 事件回報 4.4.3.2 安全漏洞回報 4.4.3.3 軟體功能障礙回報 4.4.3.4 如何從事件中學習 4.4.3.5 違規懲戒之流程

一百二十七種管制方法 【例】4.10 法令依循 4.10.1 符合法令要求 目標☆ 避免觸犯任何刑事或民事法令和已成文的、受 控制的規範、合約及義務，以及資訊安全要求。 4.10.1.1 相關法令要求之鑑別 4.10.1.2 智慧財產權 4.10.1.3 組織有關紀錄之防護措施 4.10.1.4 資料保護及個人隱私 4.10.1.5 防止資訊處理設備之誤用 4.10.1.6 加密技術之法令規定 4.10.1.7 證據收集

國際趨勢 全世界已有八個國家超過50個組織通過BSi BS7799 的驗證 (台灣預計年底前有兩家) 日韓與中國大陸都將於近期內轉換為其國家標準 .

Q & A