Download presentation
Presentation is loading. Please wait.
1
大專校院校務資訊系統經驗交流研討會 ISMS的導入與後續之落實
主講人:南台科技大學 計網中心主任 蘇建郡
2
大綱 行政院對大學的基本要求 ISMS導入現狀 ISMS導入經驗分享 執行效益 後續需解決的問題 結論
3
行政院對大學的基本要求 建立SOC(選項 )、IDS、防火牆、防毒、郵件 過濾裝置
A級機關(構)於98年前通過ISMS第三者驗證 B級機關(構)於100年前通過ISMS第三者驗證 內稽每年至少一次 人員資安教育訓練,通過資安職能鑑定 至少一張資安專業證照 弱點掃描每年一次 民國l00年前完成郵件過濾裝置
4
南台科大ISMS導入現況
5
通過ISMS驗證之時程 於97年進行導入,98年通過ISMS第三者 驗證 先通過教育機構驗證,再進行ISO27001 驗證
98年5月14日通過教育機構資安驗證稽核,7月取得證書 98年6月12日通過ISO27001資安稽核,7月取得證書 先通過教育機構驗證,再進行ISO27001 驗證
6
ISMS導入時程 由國家資訊基本建設(NII)產業發展協進會協助導入 階段一:建立資訊安全管理架構 97/06/16 ~ 97/07/21
主要含業務分析、資安政策、文管機制、教育訓練…等 階段二:執行風險評鑑與管理作業 97/07/21~ 97/09/08 主要含風險評鑑、資訊資產清單…等 階段三:建置資訊安全管理系統 97/09/08 ~ 97/10/20 主要含四階文件、業務永續運作計畫及演練…等 階段四:制度落實與稽核驗證作業 97/10/20 ~ 98/06/30 主要含內部稽核、改善計畫…等
7
ISMS四階文件產出 1階政策-2本 2階程序書-14本 3階作業文件-4本 4階表單-42本
8
南台科大 ISMS驗證範圍 計算機與資訊網路中心維運服務作業, 部分代管主機除外
9
ISO27001與教育體系資通安全管理規範差異 教育體系資通安全管理規範 ISO27001:2005 11個領域、36控制目標、100控制項
驗證時間:1個人天 ISO27001:2005 11個領域、39控制目標、133控制項 驗證時間:5個人天(文件審查1人天、實地審 查4人天)
10
如何從教育體系資通安全管理規範升級至ISO27001
威脅弱點評估表、內部稽核項目、內部稽核 報告及適用性聲明書 重新進行風險評鑑 重新進行內部稽核 召開管理審查會議
11
ISMS導入經驗分享
12
高階主管的重視 希望先由計網中心通過第三方認證 再推動至全校各行政單位 人員與經費的支持(剛好有專案配合)
13
參與的人員 主要推動人員: 計中現有人力 (不含專案助理),全員 配合參與必要之業務執行及教育訓練課 程
網路組組長(先取得資安相關認證)及一位 文管人員全力配合業務之執行 計中現有人力 (不含專案助理),全員 配合參與必要之業務執行及教育訓練課 程 工作的分配、協調與不同見解,主管需 要介入或決定
14
輔導顧問的協助 顧問的角色可扮演初期主要的推動力量 教育訓練 協助ISMS制度的建立 提供文件範本 協助文件檢視 協助執行內部稽核 疑問解答
15
經費的投入 需要經費的部分 以上皆須視各校之狀況決定,並非絕對 必要,許多設備也應該原先就已經建置。 資安顧問的導入費用
虛擬化主機,支援備援機制 CDP即時資料備份 異地機房的建置 機房環控設備 門禁與錄影監視設備 入侵偵測系統、郵件過濾、防毒軟體、流量管理 弱點掃描(或用open source軟體)、原始碼漏洞檢測 購買正版軟體 以上皆須視各校之狀況決定,並非絕對 必要,許多設備也應該原先就已經建置。
16
執行效益 建置入侵偵測、防火牆、防毒、郵件過濾、流量管理、虛擬化主機備援 建置CDP資料庫即時備份 建置異地備援機房
ISMS相關制度的建立與內稽(new) 取得ISO27001主導稽核員認證3張(new) 檢測網站弱點每年進行二次(new) 帳號清查(new) 伺服器Log定期檢查、Patch修補程式(new) 機房重整 (new) 軟體開發會簽相關單位主管(new) 軟體原始碼的管控機制(new) 建置軟體開發測試平台及移除敏感資料(new) BCM營運持續管理系統的演練(new) 設備報廢時資料銷毀的必要措施(new)
17
後續需解決的問題 部分Patch修補無法馬上執行(現行系統須持 續運作) Log的檢視,需要更專業的判斷與集中管理
伺服器的管理需要更專業,以維持持續運行 代理人的參與程度需要提高,並於平時就參 與 如何推行至全校行政單位 大量文件的產出需要電子化
18
結論 ISMS是好的機制,可重新體檢整個計中的運作狀況 高階主管的支持度,決定了驗證的範圍
驗證的範圍決定了認證的困難度,可以簡單也可以 很困難,通過驗證不代表有很好的資安防護,若能 確實執行可以有效的檢視單位內的資安制度 通過資安驗證只是開端,落實於平日的工作常軌, 才可能確實執行 技術只能解決一部分的資訊安全問題,大部分資安 問題來自人為因素,需建立管理制度及長期的教育 訓練來解決。 來自教育部的公文要求,有助於長官對資安的認知, 如防範惡意電子郵件工程演練、網站弱點掃描…等
19
謝謝指教
Similar presentations