大專院校資通安全管理制度建置與導入服務 KPMG 安侯企業管理股份有限公司

Presentation on theme: "大專院校資通安全管理制度建置與導入服務 KPMG 安侯企業管理股份有限公司"— Presentation transcript:

1 大專院校資通安全管理制度建置與導入服務 KPMG 安侯企業管理股份有限公司
INFORMATION RISK MANAGEMENT March 6, ADVISORY

2 Manageable Secure Infrastructure
KPMG完整的資訊安全建制與稽核服務 資安 技術方案 資安 管理流程 資安認知與能力 Manageable Secure Infrastructure

3 KPMG 擁有完整資安服務的機構 認證輔導 Provided by: 教育訓練 Provided by: 系統驗證 Provided by:

4 KPMG輔導成功經驗- 超過24家通過認證 淡江大學 台灣大哥大 台灣客服 高雄市國稅局 永豐紙業 行政院衛生署 台灣電力公司核一二三廠
台灣電力公司電力調度室 台灣電力公司資訊處 樂彩股份有限公司 立法院 外交部領事事務局 內政部 中華電信數據通信分公司網路資料中心 美商安泰人壽網路資料中心 關貿網路 國家衛生研究院 認證通過

5 專案範圍 現況診斷與制度導入以「資訊中心」所有作業活動為範圍。 風險評估及驗證以機房操作為範圍(外加指定之一重要應用系統)
實際專案範圍須依個別討論確定

6 KPMG開發之資訊安全管理輔導方法論 以最有效益的方式，完成ISMS 建置與認證 累積二十三家事業機構輔導成功案例，形成之輔導方法論
分析企業核心作業流程，進行風險評鑑 專屬風險評鑑工具，使風險評鑑作業更有效率 公正、客觀的輔導方式，協助客戶在效率與安全取得平衡點

7 資訊風險 v.s 控制

8 風險評鑑工具

9 專案時程規劃 一 專案啟動 第一階段 專案規劃 暨專案啟動 專案執行計畫書 專案啟動會議簡報 專案啟動會議紀錄 二 專案服務執行
項次 工作 項目 工作階段 日曆日 第一月 第二月 第三月 第 四 月 第 五 月 交付項目 一 專案啟動 第一階段 專案規劃 暨專案啟動 專案執行計畫書 專案啟動會議簡報 專案啟動會議紀錄 二 專案服務執行 第二階段 差異分析 差異分析報告 資訊資產清冊 資訊安全組織架構 文件及記錄管制辦法 三 第三階段 風險評鑑 暨風險管理 風險評估與風險管理政策文件 風險評鑑報告 第四階段 資訊安全管理制度建置 資訊安全政策 營運持續計畫 資訊安全反應機制文件 四 第五階段 實施與維護監控 資訊安全內部稽核計畫 資訊安全內部稽核報告格式 第六階段 驗證諮詢顧問服務 資訊安全改善建議書

10 專案所需文件一覽表範例

11 資訊安全與稽核課程規劃 KPMG資訊風險管理學院所開設之課程，提供客戶依需求彈性調整選擇資安與稽核課程
BS7799 LA主導稽核員課程，是IRCA 認可授權課程 KPMG BS7799 LA課程， 目前已開辦二十多期，授課學員超過500人次，授證學員單位有立法院、台灣網路認證、中華電信數據分公司、台北捷運公司、台灣證券交易所、資策會、遠傳電信股份有限公司、數位聯合電信股份有限公司等。 KPMG BS7799 LA課程， 是93年度行政院國家資通安全會報唯一指定採用課程。 CISSP國際資訊安全管理師課程，是台灣唯一採用CBK教材，由ISC2授權之課程。

12 KPMG 與大專院校合作推廣電腦審計與資訊安全課程
台灣大學商學院會計系所(電腦審計) 政治大學XBRL 研討 中興大學科技法律研究所國際研討會 台北大學會計系所電腦審計研討會 淡江大學會計系所(電腦審計) 資管學系(資通安全) 東吳大學會計系所(電腦審計) 雲林科技大學電腦審計研討會 北京大學國際關係學系 浙江大學軟體學院

13 KPMG資訊風險管理服務 資訊風險管理部(Information Risk Management Group) 提供客戶資訊安全輔導與認證服務，包括: 資訊治理與管理績效提升(ISG/ITPI) 資訊安全諮詢-BS7799/ISO17799建制輔導&認證 資訊管理諮詢-ITIL/BS15000 建制輔導&認證 電腦稽核制度與技術 企業營運系統控制 專案風險管理 資訊安全與電腦審計教育訓練

14 陳瑞祥副總經理 KPMG Taiwan 電話: 27159999 ext
陳瑞祥副總經理 KPMG Taiwan 電話: ext.1141 手機: The information contained herein is of a general nature and is not intended to address the circumstances of any particular individual or entity. Although we endeavor to provide accurate and timely information, there can be no guarantee that such information is accurate as of the date it is received or that it will continue to be accurate in the future. No one should act on such information without appropriate professional advice after a thorough examination of the particular situation.