Presentation is loading. Please wait.

Presentation is loading. Please wait.

ISO/IEC >資訊安全管理系統 國際標準簡介<

Similar presentations


Presentation on theme: "ISO/IEC >資訊安全管理系統 國際標準簡介<"— Presentation transcript:

1 ISO/IEC 17799 >資訊安全管理系統 國際標準簡介<

2 甚麼是ISO/IEC 17799? 資訊安全管理國際標準 > ISO/IEC 17799 >國際標準化組織 >國際電子技術委員會
ISO:International Organization for Standardization >國際電子技術委員會 IEC:International Electro technical Commission

3 甚麼是ISO/IEC 17799? + BS PD0003 Nov 97- April 99 Industry DISC DTI
BSI + Nov 97- April 99 BS :1998 BS :1999 BS :1999 ISO 17799

4 ISO 17799 國際標準的發展歷史 1995 BS7799 Part 1 Code of practice 施行細則
specification 認證標準 1999 BS7799 part 1 1999 BS7799 Part 2 2000 ISO/IEC (BS7799 Part 1) Code of practice 施行細則 2001 CNS (ISO 17799) & CNS (BS 7799 part 2)

5 技術委員會 BDD/2 金融服務: Association of British Insurers, Institute of
Chartered Accountants in England and Wales, Institute of Internal Auditors, Lloyds TSB, Nationwide Building Society, HSBS 通訊: British Telecommunications plc Racal Network Services 零售: Marks and Spencer plc 其他: Shell International Petroleum, Uniliver plc Whitbread, KPMG

6 ISO 與 BS7799 part 2 ISO (CNS ) 施行細則 參考文件 完整的最佳資訊安全管理範例 BS7799 Part 2 (CNS ) 以 ISO 為基礎 規範了建立執行和文件劃一套資訊安全管理系統的要求 驗證標準

7 『ISO 17799』的內容 10 管理要項 36 執行目標 127 管制方法

8 『ISO 17799』的結構 資訊安全範圍 風險審查與風險管理 資訊安全政策 安全管理架構 資訊安全管理系統維護與審查

9 十大管理要項 一、資訊安全政策 二、組織與權責 三、資產分類與管理 四、人員安全管理 五、設備與環境之安全管理 六、通訊及作業之安全
七、存取管制 八、資訊系統之開發與維護 九、業務活動永續運作之管理 十、法令依循

10 三十六個執行目標 ☆ 外來單位存取組織內資訊及資訊 處理設施時之安全管理。 ☆ 委外加工處理時相關資訊之安全 管理。
☆ 降低人為錯誤、偷竊、欺騙或設 備誤用之風險。

11 三十六個執行目標(續) ☆ 發生易發事件及故障時如何將損害 降至最小,監督類似事件並從中學習。 ☆ 當發生重大系統失效或人為疏失時,不
會中斷企業活動且能保護企業的關鍵流程。 ☆ 避免觸犯任何刑事或民事法令和已成文 的、受控制的規範、合約及義務,還有 資訊安全要求。

12 一百二十七種管制方法 【例】4.1 安全政策 4.1.1 資訊安全政策 目標☆ 提供管理階層對資訊安全的指示與支援
資訊安全政策文件 資訊安全政策文件,需經管理階層核可,發 行並充分溝通,如果可行,應遍及每一位員工。 審查與評估 安全政策應該按時的被審查,且如果有影響性的 更改時,需確保它的適合性。

13

14 一百二十七種管制方法 【例】4.2 組織與權責 4.2.1 資訊安全基礎架構 目標☆ 如何在組織內管理資訊安全
資訊安全管理委員會 部門間協調 權責分配 資訊處理設備之授權流程 專業資訊安全顧問 組織間合作 資訊安全審核之獨立性

15 一百二十七種管制方法 【例】4.4 人員安全管理 4.4.3 資訊安全事件及故障之回報 目標☆發生資訊安全事件及故障時如何將損害降至
最小,如何監督類似事件並從中學習。 事件回報 安全漏洞回報 軟體功能障礙回報 如何從事件中學習 違規懲戒之流程

16 一百二十七種管制方法 【例】4.10 法令依循 4.10.1 符合法令要求 目標☆ 避免觸犯任何刑事或民事法令和已成文的、受
控制的規範、合約及義務,以及資訊安全要求。 相關法令要求之鑑別 智慧財產權 組織有關紀錄之防護措施 資料保護及個人隱私 防止資訊處理設備之誤用 加密技術之法令規定 證據收集

17 國際趨勢 全世界已有八個國家超過50個組織通過BSi BS7799 的驗證 (台灣預計年底前有兩家)
日韓與中國大陸都將於近期內轉換為其國家標準 .

18 Q & A


Download ppt "ISO/IEC >資訊安全管理系統 國際標準簡介<"

Similar presentations


Ads by Google