資訊安全概論與實務 第二篇:安全架構.

Slides:



Advertisements
Similar presentations
偵辦侵害營業秘密犯罪之執行情形 法務部調查局. 一、前言 ( 一 )102 年 1 月 30 日公告施行營業秘密法 ( 一 )102 年 1 月 30 日公告施行營業秘密法 修正案,增加侵害營業秘密之刑事 修正案,增加侵害營業秘密之刑事 責任,對於意圖在境外使用而竊取 責任,對於意圖在境外使用而竊取.
Advertisements

第七节 心 悸 郑祖平. 一、概述 心悸是一种自觉心脏跳动的不适感或心 慌感。当心率加快时感到心脏跳动不适, 心率缓慢时则感到搏动有力。心悸时,心 率可快、可慢,也可有心律失常,心率和 心律正常者亦可有心悸。 一般认为与心肌收缩力心搏量的变化及 患者的精神状态注意力是否集中等多种因 素有关。
1/67 美和科技大學 美和科技大學 社會工作系 社會工作系. 2/67 社工系基礎學程規劃 ( 四技 ) 一上一下二上二下三上 校訂必修校訂必修 英文 I 中文閱讀與寫作 I 計算機概論 I 體育 服務與學習教育 I 英文 II 中文閱讀與寫作 II 計算機概論 II 體育 服務與學習教育 II.
1 計量技術人員考訓制度. 2 簡 報 大 綱 計量考訓制度簡介 應考須知說明 考試範圍內容、題型及配分權重.
管理學 --- 台灣五百大企業之 化學材料及製品業 組員 : 財金三 楊智詠 水保二 江兆倫 中文二 李書安 動科四 曾于倫 化學一 詹孟儒 物理一 張元豪 森林一
徐州工业职业技术学院. 人才市场需求 2013 年我国安全类专业统计表 学历层次专业名称专业代码毕业生数招生数在校生数开设学校数 本科 安全工程 专科 安全技术管理 中专 0000.
認識食品標示 東吳大學衛生保健組製作.
第十章 資訊安全管理 本投影片(下稱教用資源)僅授權給採用教用資源相關之旗標書籍為教科書之授課老師(下稱老師)專用,老師為教學使用之目的,得摘錄、編輯、重製教用資源(但使用量不得超過各該教用資源內容之80%)以製作為輔助教學之教學投影片,並於授課時搭配旗標書籍公開播放,但不得為網際網路公開傳輸之遠距教學、網路教學等之使用;除此之外,老師不得再授權予任何第三人使用,並不得將依此授權所製作之教學投影片之相關著作物移作他用。
公職人員利益衝突迴避法 報告人:海巡署政風處 王筱妮.
第八章 互换的运用.
颞下颌关节常见病.
「健康飲食在校園」運動 2008小學校長高峰會 講題:健康飲食政策個案分享 講者:啟基學校-莫鳳儀校長 日期:二零零八年五月六日(星期二)
上海九晶电子材料股份有限公司 招聘简章.
供应商信息录入操作指引 ----山东钢铁集团房地产有限公司.
清代章回小說----儒林外史 製作群:侑桂、品希、萱容、怡靜、佩涓、凸凸.
研究所升學考試 準備策略 蘇武楨.
政府採購錯誤行為態樣 報告人:張錦川 日 期:96年7月.
致理科技大學保險金融管理系 實習月開幕暨頒獎典禮
現代中國 議題: 「一帶一路」.
高中研究性学习简介 九江三中科研处: 曹荣星 2011、5、20.
2009年周口市公共机构高效照明产品推介会
營利事業所得稅查核準則 相關概念介紹 南區國稅局 新營分局 林俊標 各位學員大家好:
脊柱损伤固定搬运术 无锡市急救中心 林长春.
第四章 創業的策略.
採購法規概要 報告人:臺北市政府法規委員會 編審 陳世超 土木技師高考及格 結構技師高考及格 公務人員高考及格 國立中興大學土木工程碩士
2013年二手车市场环境分析.
運輸安全白皮書(Ⅲ) 軌道安全篇 主辦單位:運輸安全組.
結腸直腸腫瘤的認知.
微博红人:留几手.
經歷復活的愛 約翰福音廿一1-23.
招投标知识培训 培训人: 日期:2011年04月08日 西安翼舞时风数码科技有限公司.
採購法規概要 報告人:臺北市政府法規委員會 編審 陳世超 土木技師高考及格 結構技師高考及格 公務人員高考及格 國立中興大學土木工程碩士
郭詩韻老師 (浸信會呂明才小學音樂科科主任)
『兩岸四地- 校園節能文化推廣』 座談會 2008年1月26日 澳門大學 校園管理總監 宋傑堯.
管理: 浸大中醫藥研究所有限公司 實驗室: 中藥材標準實驗室, 中醫藥學院 ISO實驗室, 研究及開發部, 中醫藥學院
中国教科文卫体工会全国委员会 陈志标 (2012年5月9日,中山大学)
組織發展與變革 教師: 姚秀琴.
學 號:997I0010、997I0024 組 員:洪韋鈴、王婷婷 日 期: 指導老師:王立杰 老師
第 1 章 醫院之組織與功能 作者:邱文達.
郑钦明 200分的人生.
第七章 安全模型理论.
第11章 访问控制机制.
东宝大厦简介及服务特色.
滨海学坛 周刊 总第13期 2012年10月22日 本期编辑:李秀青 温州滨海学校教科室主办.
质量管理 刘春霞
2. 戰後的經濟重建與復興 A. 經濟重建的步驟與措施 1.
好好學習 標點符號 (一) 保良局朱正賢小學上午校.
公司法(六) 股份有限公司 1.
學生:蔡耀峻、許裕邦 座號:23號、21號 指導老師:黃耿凌 老師
4. 聯合國在解決國際衝突中扮演的角色 C. 聯合國解決國際衝突的個案研究.
財物及勞務採購作業程序及注意事項 報告人 劉麗琴
新陸書局股份有限公司 發行 第十九章 稅捐稽徵法 稅務法規-理論與應用 楊葉承、宋秀玲編著 稅捐稽徵程序.
全面品質管理 主講人:楊長林 輔仁大學企業管理學系.
民法第四章:權利主體 法人 楊智傑.
網路安全與ISMS -以醫療產業為例 姓名:張碩倫 學號:A 老師:梁明章 2018/12/30.
第 11 章 品質管理 授課教師:__________ 工業工程與管理概論 陳潭,洪堯勳,姚銘忠,黃欽印 著 前程文化出版.
第 五 章 数据库安全策略 1.
四年級 中 文 科.
全面品質管理 主講人:楊長林 輔仁大學企業管理學系.
第五章 三角比 二倍角与半角的正弦、余弦和正切 正弦定理、余弦定理和解斜三角形.
聖誕禮物 歌羅西書 2:6-7.
執行單位:國家品質獎工作小組 報 告 人:傅 士 龍 經理 主辦單位: 經濟部 頒發單位:行 政 院.
國際行銷管理期末報告 以劍湖山渡假大飯店為例
方案假設 因果連結 (如果…就會…) 將問題情況轉變為所需服務 確保方案的合理性 利於方案評估 例:青少年墮胎
依撒意亞先知書 第一依撒意亞 公元前 740 – 700 (1 – 39 章) 天主是宇宙主宰,揀選以民立約,可惜他們犯罪遭
全面品質管理 主講人:楊長林 輔仁大學企業管理學系.
網路安全與ISMS 期末報告 A 蔣嘉祐 指導老師:梁明章老師.
基督是更美的祭物 希伯來書 9:1-10:18.
經文 : 創世紀一章1~2,26~28 創世紀二章7,三章6~9 主講 : 周淑慧牧師
Presentation transcript:

資訊安全概論與實務 第二篇:安全架構

第六章 資訊安全架構與設計

組織管理架構 (I) – TQM TQM (total quality management) 中文翻譯為「全面品質管理」,由美 國教授戴明 (Edward Deming) 在日本提出的品質改進循環,從1980年代 開始就極受歡迎,它是 ISO 9001 與許多其它管理標準的基礎。 簡單的說,TQM 的觀念是:1. 品質可以被管理;2. 管理應該程序化。 ISO 9001 的最新版為 2000 年之 “ISO 9001:2000 Quality Management Systems – Requirements.” 雖然這個標準一開始為製造業所訂定,但現今已被建置在各種不同 行業組織中。在 ISO 詞彙中,一個需要品質要求的「產品」可以是 一個實體物品、軟體、或服務。

組織管理架構 (II) – ISMS ISMS (Information Security Management System) 中文翻譯為「資訊安全 管理系統」,它整理了資訊安全最佳實務 (best practice) 並予以條文化, 訂定為國際標準 ISO 27001:2005。 ISMS 依據以下六個步驟來建置: 定義一個資訊安全政策:由組織最高層指定方向、展現決心。 定義一個實施 ISMS 的範圍:例如以電腦機房或是以資訊中心為範圍。 實施資訊安全風險評鑑:找出範圍內的安全弱點與可能遭遇的威脅。 管理風險:風險分類後,有的風險需要降低、有的風險可以忽略。 找出適合的控制項目來應用:ISMS 提供許多控制項目 (即安全防禦 的做法),應依據範圍內所需要降低的風險,選擇適當的項目來實施。 將這些項目寫成「適用性聲明 (statement of applicability, SoA)」。

組織管理架構 (III) – ITSM ITSM (Information Technology Service Management) 中文翻譯為「資訊 技術服務管理」,是廣受支持的資訊服務最佳做法,並被訂為國際標 準 ISO 20000。它的主要特色如下: 將組織內、外各單位當做資訊部門的「客戶」;與客戶訂定服務約 定,並量化各項服務的價值,藉此評估資訊部門的貢獻度與投資報 酬率。 「技術」固然是資訊服務不可或缺的成分;但資訊服務還要從組織、 流程、與人員等方面做管理,藉以降低人事與系統更動所帶來的衝 擊。 強調完整服務 (end-to-end service) 的觀念。使用者只應感受到資訊 服務的可用性,卻不需要看到複雜的基礎架構與技術。資訊部門有 一套內部流程可以處理從簡單到複雜的問題,並且累積經驗。

機密等級劃分 美國軍方機密等級劃分 機密等級 定義 舉例 不列管 Unclassified 資料不敏感且不列管。 電腦使用手冊 新兵招募文宣 敏感但不列管 Sensitive but unclassified 較不嚴重的機密; 洩漏後會造成一些損害。 醫療紀錄 考試成績 秘密 Confidential 洩漏後足以使國家安全或利益遭受損害之事項。 電腦程式原始碼 一般人事資料 機密 Secret 洩漏後足以使國家安全或利益遭受重大損害之事項。 軍隊移防計畫 核彈部屬位置 最高機密 Top secret 洩漏後足以使國家安全或利益遭受非常重大損害之事項。 新型武器設計圖 核彈發射密碼 我國公務機密之等級區分法為:「絕對機密」、「極機密」、「機密」三等級 為國家機密;一般公務機密列為「密」等級。

瞭解主體與物件 主體 物件 使用者 電腦 程式 檔案 印表機 伺服器 磁碟片 資料庫 主體 (subject) 主體這個詞被用來描述一個實 體,它會要求存取 (access) 一 個資源,但它必須要符合某些 條件。這些條件通常是安全政 策所定義的權限或身分。 物件 (object) 物件這個詞被用來描述一個系 統中需要受到安全保護的資源。 通常物件會被分級並標示,以 識別它在組織內的價值。

Bell-LaPadula 模型示意圖 被指定的 機密等級 讀 寫 讀與寫 較低層的 較高層的 No read up No write down Constrained

Biba 模型 被指定的 正確等級 讀 寫 送出服務命令 較低層的 較高層的 No read down No write up No higher invocation

Clark-Wilson 模型 TP CDI 1 CDI 2 CDI 記錄 IVP 使用者 UDI CDI