文档详情

ISMS簡介與法規案例教材PPT-中華科技大學.ppt

发布:2017-01-13约5.13万字共183页下载文档
文本预览下载声明
ISMS簡介與法規案例說明 主講人 查傳憲 ISMS簡介 ISO 標準-家族之架構 IS0 的五大精神 資訊安全管理系統認證簡史 1990年:世界經濟合作開發組織(OECD)轄下之資訊、電腦與通訊政策組織開始草擬資訊系統安全指導綱要」。 1992年:OECD於1992年11月26日正式通過「資訊系統安全指導綱要」。 1993年:英國工業與貿易部頒布:「資訊安全管理實務準則」。 1995年:英國訂定「資訊安全管理實務準則」之國家標準BS 7799第一部分,並提交國際標準組織(International Organization for Standardization ,簡稱ISO)成為ISO DIS14980。 1996年:BS 7799(Part Ι)提交國際標準組織(ISO)審議,沒有通過成為ISO標準之要求。 資訊安全管理系統認證簡史(二) 1998年:英國公布BS 7799(Part-2) 「資訊安全管理規範」並為資訊安全管理認證之依據。 2000年:增修後之7799(Part-1)於2000年12月1日通過ISO審議,成為ISO/IEC 17799國際標準。 7799(Part-2) 2002 年12 月5 日未通過審議,我國經濟部標準檢驗局分別基於ISO/IEC 17799 與BS 7799 -2,發布國家標準CNS 17799及CNS 17800。 2005年6月15日,ISO/IEC 17799:2005(E)正式發行。ISO於ISO/IEC 17799:2005(E)之前言敘明於2007年將發行ISMS的27000標準系列。 ISO/IEC 17799:2005(E)將由ISO/IEC 27000系列取代。 2005年10月15日ISO/ IEC 27001與ISO/ IEC 27002正式發行。 資訊科技與資訊安全之演進 資訊安全脆弱性 環境和基礎結構 1.1 缺乏建築物、門、窗等實體的保護 (可能會被利用威脅例:失竊的威脅) 。 1.2 建築物、房間等實體進出控制的不足或不小心之疏忽 (可能會被利用的威脅例:故意損害的威脅) 。 1.3 不穩定的電源 (可能會被利用的威脅例:電源波動的威脅) 。 1.4 位於容易淹水的區域 (可能會被利用的威脅例:淹水的威脅) 。     硬體 2.1 缺少定期置換機制 (可能會被利用的威脅例:儲存媒介劣化的威脅)。 2.2 電壓容易變動 (可能會被利用的威脅例:電源波動的威脅) 。 2.3 溫度容易變動 (可能會被利用的威脅例:極端溫度的威脅) 。 2.4 容易潮濕、有灰塵 (可能會被利用的威脅例:灰塵的威脅) 。 2.5 對於電磁輻射敏感 (可能會被利用的威脅例:電磁輻射的威脅) 。 2.6 儲存媒介維護不夠/安裝失敗 (可能會被利用的威脅例:錯誤之維護威脅) 。 2.7 缺乏有效的組態變更控制 (可能會被利用的威脅例:操作人員執行錯誤的威脅) 。 資訊安全脆弱性 3.軟體 3.1 開發者的規範不清楚或不完整。(可能會被利用的威脅例:軟體失能的威脅) 3.2 沒有軟體測試或軟體測試不足。(可能會被利用的威脅例:未經授權使用者使用軟體的 威脅) 3.3 複雜的使用者介面。 (可能會被利用的威脅例:操作人員執行錯誤的威脅) 3.4 識別與鑑別(像是使用者鑑別)機制的不足。(可能會被利用的威脅例:偽裝使用者身分 的威脅) 3.5 缺乏稽核軌跡。(可能會被利用的威脅例:在未經授權的方式下使用軟體的威脅) 3.6 軟體的瑕疵。(可能會被利用的威脅例:未經授權的使用者使用軟體的威脅) 3.7 密碼表保護不足。(可能會被利用的威脅例:偽裝使用者身分的威脅) 3.8 密碼管理不足(易猜到密碼、未清除不應儲存的密碼、變更密碼的頻率不足)。 (可能會被利用的威脅例:偽裝合法使用者身分的威脅) 3.9 存取權限指派錯誤。(可能會被利用的威脅例:未經授權下使用軟體的威脅) 3.10 未控制軟體的使用和下載。(可能會被利用的威脅例:惡意軟體的威脅) 3.11 離開工作站時沒有”登出”。(可能會被利用的威脅例:未經授權的使用者使用資訊資源 的威脅) 3.12 缺乏有效變更控制的管理。(可能會被利用的威脅例:軟體失能的威脅) 3.13 缺乏文件。(可能會被利用的威脅例:操作人員執行錯誤的威脅) 3.14 缺乏複製備份。(可能會被利用的威脅例:惡意軟體或火災的威脅) 3.15 沒有適當刪除就處置或重覆使用儲存媒介。(可能會被利用的威脅例:未經授權的使用 者使用
显示全部
相似文档