静宜大学导入ISO270012005资安管理系统经验分享.ppt
《静宜大学导入ISO270012005资安管理系统经验分享.ppt》由会员分享,可在线阅读,更多相关《静宜大学导入ISO270012005资安管理系统经验分享.ppt(45页珍藏版)》请在三一文库上搜索。
1、靜宜大學 導入ISO 27001:2005 資安管理系統經驗分享,計算機及通訊中心 張鳳伶 florapu.edu.tw,2,大綱,前言 靜宜大學計算機及通訊中心組織及執掌 導入ISO 27001:2005 經驗分享 ISO 27001:2005 V.S BS7799 資訊安全推動組織及管理權責 如何導入ISMS機制 導入甘苦談 認證後之持續運作與改善 執行ISMS的具體效益 教育體系資通安全管理規範 Q&A,3,前言,資訊安全管理(Information Security Management System,簡稱ISMS)對學校的重要性 ISMS推動作業之依據:行政院於94年7月21日核定政
2、府機關(構)資訊安全責任等級分級作業施行計畫,4,前言(一),資訊安全管理(Information Security Management System,簡稱ISMS)對學校的重要性 網路的快速發展,改變了既有的業務處理模式,不單是業界,學校單位也感受到此股新興力量,許多行政工作藉由網路無遠弗屆的特性,加速了程序的進行,提升了整體的效率。此時此刻,正是為各級學校單位量身訂作規範的時機,如此才能確保各個行政程序的安全性。 -摘錄自教育體系資通安全管理規範,5,前言(二),ISMS推動作業依據:行政院於94年7月21日核定政府機關(構)資訊安全責任等級分級作業施行計畫 訓練資訊安全責任分級包含本所
3、屬機關及各公私立學校區分: A 級:教育部、台大醫院、成大醫院 B 級:大學、區域網路中心、縣(市)教育網路中心 C 級:學院、專科學校部屬館所 D 級:高中職、國中小學,6,靜宜大學計算機及通訊中心組織及執掌,靜宜大學計通中心合作團隊 靜宜大學計通中心組織 靜宜大學計通中心各組業務,7,靜宜大學計通中心合作團隊,8,靜宜大學計通中心組織圖,9,靜宜大學計通中心各組業務,行政教學組(6人) 主要工作項目: 遠距教學 教學平台 多媒體教學支援 數位內容 電腦教室軟硬體設備管理 全校電腦軟硬維修 網路通訊組(4人) 主要工作項目: 校園電腦網路骨幹與主機規劃、維護及使用者網點故障排除 維護對外電腦
4、網路之正常運作 電話通訊系統 衛星電視系統 系統支援組(2人) 主要工作項目: 中心各主機及入口網站之設定、管理、維護及相關業務 全校校園IC卡應用及門禁系統規劃 軟體開發組(7人) 主要工作項目: 校務與師生服務系統開發與建置 校務資料庫系統維護,10,導入ISO 27001:2005 經驗分享,ISO 27001:2005 V.S BS7799 資訊安全推動組織及管理權責 如何導入ISMS機制 導入甘苦談,11,ISO 27001:2005 V.S BS7799,什麼是BS7799? BS7799 是一套資訊安全防護機制的規範 Information Security Management
5、 Systems ( 簡稱 ISMS) ,由英國標準協會 (British Standards Institute ,簡稱 BSI) 制訂並在 1995 頒布,期望透過 BS7799 這套計畫能夠有效建構資訊安全防護機制。一家企業只要能夠做到 BS7799 的要求並且通過獨立稽核機構的評鑑,便可獲頒 BS7799 資訊安全認證。 什麼是 ISO27001 ? 和 BS7799 差別在哪? BS7799 的 Part I 2000 年被採納為 ISO17799:2000 ,並在 2005 年修定成 ISO 17799:2005;只是一個 implementation guidance BS779
6、9 Part II 2005 年被採納為 ISO 27001 國際標準,並於 2005 年 10 月正式出版發行; ISO 27001 則是一套完整的驗證標準,12,ISO 27001:2005 V.S BS7799(續),ISO27001:2005 的內容 總共分成 11 個領域、 39 個控制目標、 133 個控制要點。 11 個領域包括 A.1 Security Policy A.2 organization of information security A.3 Asset management A.4 Human resources security A.5 Physical and
7、 environmental security A.6 Communications and operations management A.7 Access control A.8 Information systems acquisition, development and maintenance A.8 Information security incident management A.10 Business continuity management A.11 Compliance,13,資訊安全推動組織及管理權責,14,資訊安全推動組織及管理權責(續),管理權責 資訊安全推動委員
8、會 建立資訊安全管理制度並推動資訊安全相關事宜。 召集人(由中心主任擔任) 負責召集資訊安全管理審查會議,並追蹤其決議事項。 督導本中心風險評鑑作業。 督導本中心持續營運計畫之修訂與演練。 資訊安全稽核小組(5人) 執行資訊安全管理之內部稽核作業。 資訊安全工作小組(10人) 評估人員進用之安全性。 辦理資訊安全教育訓練。 資訊資產之安全需求研議、使用管理及保護等事項。 程序及規範書草擬,15,資訊安全推動組織及管理權責(續),管理事項如下: 資訊安全政策制定及評估 組織的資訊安全與分工 資產管理 人力資源的安全 實體與環境安全 通訊與作業管理 存取控制 資訊系統取得、開發及維護 資訊安全事故
9、管理 營運持續管理 遵循性,16,如何導入ISMS機制,步驟一:制訂政策 步驟二:定義ISMS範圍 步驟三:進行風險評鑑 步驟四:進行風險管理 步驟五:制訂程序規範、及參考相關法規,17,如何導入ISMS機制(續),步驟六:資安設備建置、實體環境改善 步驟七:災害演練營運計畫演練 認證程序 稽查時注意事項,18,步驟一:制訂政策,管理階層對資訊安全的指示及支持 政策文件應經管理階層核准、發行,宣導至中心所有員工 政策應定期審查,如有影響變更時,應確保其適切性。 確保本校資訊服務永續提供 及完整資訊的合法存取,19,步驟二:定義ISMS範圍,定義ISMS實施與認證範圍 全機關? 部門? 工作場所
10、? 應用系統? 選擇重要核心業務計算機及通訊中心所提供的 網路骨幹管理、伺服器主機管理、校務系統資料庫管理、 電子郵件服務管理及全球資訊網服務管理之資訊安全管理 系統。場地為計中1F及各學院校園骨幹設備機房、異地備 份場所。,組織核心業務必須納入 切割介面必須清楚明確 排除項目必須說明理由,20,步驟三:進行風險評鑑,風險評鑑程序 資訊資產鑑別 文件類:電子類文件、紙本類文件。 軟體類:商用軟體、內部發展軟體。 人員類:內部人員、外部人員。 實體類:一般硬體、電訊、電腦媒體、電腦保護設施。 服務類:內部服務、外部服務、基礎架構、一般公共設施、建築、建築保護設施。 資訊資產評價(機密性、完整性、
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 大学 导入 ISO270012005 管理 系统 经验 分享
链接地址:https://www.31doc.com/p-2393629.html