ISMS与公司治理.ppt

按一下以編輯母片標題樣式,按一下以編輯母片,第二層,第三層,第四層,第五層,*,*,*,ISMS,與公司治理,淡江大學 資訊管理學系,副教授兼系主任 蕭瑞祥,中華民國九十三年十月二日,ISMS,與公司治理,ISMS(Information Security Management System),資訊安全管理系統,(ISMS),是有系統的對,組織敏感資訊,進行管理，涉及到,人、程序和資訊科技,(,IT),系統,。,公司治理,使企業體透過法律的,制衡管控與設計,，在企業所有與企業經營分離的組織體系中，,有效監督其組織活動,，以及如何健全其組織運作，,防止脫法行為之經營弊端,，以實現企業社會責任之高度目標。,(,證券暨期貨市場發展基金會,),2,五項公司治理原則,OECD,（國際經濟合作暨發展組織）,公司治理架構應保護股東的基本權利和決策參與權。,公司治理架構應確保公平對待所有的大小股東及外國股東。,公司治理架構應鼓勵公司，就利害關係人之法定權益與角色在創造財富、工作及健全財務等方面積極合作。,公司治理架構應能確保有關公司財務狀況、績效、所有權及其他重大資訊之正確揭露及透明性。,公司治理架構應確保公司董事會的策略性指導及有效性監督。,3,資訊安全,資訊安全認知教育訓練,KPMG,朱成光,4,現在發生什麼事情？,5,6,資安事件三面向,(,資訊安全三要素,),政府機關資訊安全風險評估與管控 勤業眾信 萬幼筠,4/29/2004,7,資訊安全關聯圖,8,資訊安全架構,建構資訊安全管理系統,2002/10/23,李盈德 資安人雜誌,9,資訊安全管理系統國際標準,ISO/IEC 17799:2000,資訊安全管理系統作業要點,(,指導性文件,),10,大管理要項,36,個執行目標,127,種控制項目,BS 7799-2:2002,資訊安全管理系統要求,(,強制性要求,),CNS 17799,與,CNS17800,國家標準,(91,年,12,月,5,日,),10,BS7799,英國標準局,(BSI),制定之資訊安全管理標準,BS7799,內容包括：,Part One ISMS,規範,(Specification for Information Security Management Systems),Part Two,資訊安全管理實施要點,(Code of Practice for Information Security Management),BS7799 Part One,已納入,ISO 17799,國際標準,第三者認證基礎,、,強調預防性控制,11,BS7799,BS7799-1:2000/ISO 17799:2000,Part 1(,第一部分,),Code of practice for information security management,資訊安全管作業要點,(36 Control objectives&127 controls in 10 sections),分為,10,部分,共有,36,個控制目標及,127,個控制措施,BS 7799-2:2002,Part 2(,第二部分,),Specification for information security management systems,資訊安全管系統要求,12,CNS 17799,中央標準局制定國家標準,依據,ISO 17799,為基礎,翻譯及編修並編撰制定成為中華民國國家標準。,CNS 17800,中央標準局制定國家標準,CNS 17800,鼓勵組織建立,ISMS,採用,PDCA,過程模式,13,資訊安全管理安全模型,(,ISMS,管理架構,),(ISMS-ISO17799/BS7799-1/CNS17799),1.Security Policy,安全政策,2.Security,Organization,安全組織,3.,Assest,Classification,and Control,資產分類與控制,4.Personnel Security,人員安全,5.Physical and,Environmental Security,實體與環境安全,6.Computer,and,Network,Management,電腦與網路管理,7.System,Access,Control,系統存,取控制,8.System Development,and Maintenance,系統開發與維護,9.Business Continuity,Planning,業務持續運作規劃,10.Compliance,符合性,ISO(BS7799),資訊安全管理,準則草案,14,標準,目的,內容,安全政策,為資訊安全提供管理方向和支援。,建立安全政策文件,安全組織,建立組織內的管理體系以便安全管理。,組織內部資訊安全責任；資訊採集設施安全；可被第三方利用的資訊資產的安全；外部資訊安全評審；外包合約的安全。,資產分類與控制,維護組織資產的適當保護系統。,利用資產清單，分類處理，資訊標籤等對資訊資產進行保護。,人員安全,減少人為造成的風險。,減少錯誤，偷竊，欺騙或資源誤用等人為風險；保密協議；安全教育培訓；安全事故與教訓總結；懲罰措施。,實體與環境安全,防止對關於,IT,服務的未經許可的介入，損傷和干擾服務。,阻止對工作區與實體設備的非法進入；業務機密和資訊非法的存取、損壞、干擾；阻止資產的丟失，損壞或遭受危險；桌面與螢幕管理阻止資訊的洩漏。,電腦與網路管理,保證電腦與網路設備的正確和安全維護。,確保資訊處理設備的正確和安全的操作；降低系統失效的風險；,保護軟體和資訊的完整性；維護資訊處理和通訊的完整性和可用性；確保網路資訊的安全措施和支援基礎結構的保護；,防止資產被損壞和業務活動被干擾中斷；防止組織間的交易資訊遭受損壞，修改或誤用。,存取控制,控制對商業資訊的存取。,控制存取資訊；阻止非法存取資訊系統；確保網路服務得到保護；阻止非法存取電腦；檢測非法行為；,保證在使用移動電腦和遠端網路設備時資訊的安全。,系統開發與維護,保證系統開發與維護的安全,確保資訊安全保護深入到作業系統中；阻止應用系統中的用戶資料的丟失，修改或誤用；確保資訊的機密性，可靠性和可用性；確保,IT,專案工程及其支援活動在安全的方式下進行；維護應用程式軟體和資料的安全。,業務持續管理,防止商業活動中斷和災難事故的影響。,防止商業活動的中斷；防止關鍵商業過程免受重大失誤或災難的影響。,符合性,避免任何違反法令、法規、合約約定及其他安全要求的行為。,避免違背刑法、民法、條例，遵守契約責任以及各種安全要求；確保組織系統符合安全政策和標準；使系統審查過程的績效最大化，並將干擾因素降到最小。,15,資訊安全政策、規範與程序,安全政策說明為什麼,(why),要保護公司的資訊。,規範說明公司打算做些什麼,(what),來執行與管理資訊的安全。,程序則確切說明公司要如何,(how),達成上層規範與政策明文規定的要求。,資訊安全政策,組織必需思考、衡量資訊安全對組織的重要性在哪裡？,當資訊的安全性與便利性發生衝突時，組織應該如何取捨？,管理,管理系統必需清楚地定義哪些資訊安全的資產需要保護？有了詳細的清單，,風險評估,針對每項資產，計算其價值、分析其安全上的弱點以及可能的攻擊，就能加總定義出整個資訊安全的風險。,16,資訊安全管理制度,(ISMS),規劃,訂定資訊安全政策,界定資訊安全管理範圍,資訊安全風險評鑑,資訊安全風險管理,選擇資訊安全控管項目,評估安全威脅,及弱點之衝擊,及影響,確認資產,對於資訊安全風,險所採取的程序,訂定安全保證,等級,17,BS7799,為組織帶來什麼好處？,強化組織安全：,透過,BS7799,認證程序，可減少組織網路的弱點，並提高組織的風險控管能力。減少弱點意味著較少的安全漏洞，詐騙行為、財物風險與法律風險也會跟著減少，當然網路的連續運作時間與客戶信心也會隨之提高。,提高安全規劃效率：,BS7799,列舉了分屬於十項領域共,127,條控制項目及其控制細項目，導引組織如何進行人力資源、法務與突發事件應變的規劃。這些針對資訊安全而提出的全面性詳細建議，可使得組織開始導入安全措施時，作到更完善、更容易管控且非常符合經濟效益。,提高安全管理成效：,所有組織都必須開始制定或重新檢視其資訊安全政策與程序。與組織一般的安全計劃不同的是，,BS7799,已證實是資訊安全的最佳實務準則法則。諸如,BT,、,HSBC,、,Marks and Spenser,、,Shell International,與,Unilever,都對,BS7799,的制定多所貢獻，並且在實際商業環境中測試過其成效。,18,持續保護：,組織經過認證後，稽核機構的持續檢驗與,BS7799,的更新，將確保組織隨時了解最新的弱點以及最佳的實務準則法則。,改善合作關係：,為了讓組織網路受到更好的保護，同時又要能進行電子資料交換,(EDE),，組織可以,BS7799,認證作為合作夥伴與供應商的安全要求。,安全的電子商務：,BS7799,等於是一個安全徽章，無論是財務機構或電子商城，消費者都能輕易分辨出哪些是經過認證值得信賴的電子商務公司。,導入,BS7799,標準,企業責無旁貸賽門鐵克公司,19,提高客戶信心：,隨著客戶與廠商對網路安全漏洞愈來愈謹慎，他們也會開始尋求具體的安全保障，,BS7799,認證能提供他們需要的信心。,提高稽核投資報酬率,(ROI),：,BS7799,包含了一套認證程序與委託稽核機構。未來當,BS7799,成為業界標準時，便會有愈多的委託獨立稽核機構協助組織遵循稽核程序，以進行安全政策的檢測與評估，而安全稽核也會愈來愈準確可靠。,降低法律風險：,組織通過,BS7799,認證後，將可減少因為安全突發事件而面臨的法律問題，因為法庭將會把組織符合該項標準的事實，認定為組織已經做到足夠程度的安全防護。,20,資訊安全管理工作之挑戰,(,國內,ISMS,發展現況,),多未設專責的資通安全組織及人力,(,政策面,),資訊安全專業能力尚付加強（技術面）,資訊安全意識,(Awareness),及警覺性尚待加強,（教育面）,資訊安全管理制度尚待強化（教育面）,緊急處理及通報機制尚待建立（,技術面）,資訊安全相關規範尚待建立,(,法律面）,21,結論,資通安全管理是公司治理成功的關鍵因素之一,，還是,。,22,