资讯安全管理-资讯安全政策(ppt 94页)(1)

資訊安全管理5-1資訊安全管理委辦單位：教育部顧問室資通安全聯盟執行單位：淡江大學資訊管理學系資訊安全管理5-2課程模組大綱•Module1：資訊安全管理概論•Module2：資訊安全風險•Module3：先期規劃•Module4：風險評鑑•Module5：資訊安全政策•Module6：資訊安全管理組織•Module7：資產管理•Module8：人力資源管理•Module9：實體與環境安全管理資訊安全管理5-3•Module10：通信與作業管理•Module11：存取控制•Module12：資訊系統的取得、開發及維護•Module13：資安事故管理•Module14：營運持續管理•Module15：法令、政策、標準、及技術的符合性•Module16：內部稽核•Module17：管理審查•Module18：持續改進資訊安全管理5-4Module5：資訊安全政策資訊安全管理5-5學習目的1.本模組目的在於學習資訊安全政策之基本概念、資安政策之實施要點，以及資安政策之範例等。2.本模組的重點是瞭解什麼是資訊安全政策，以及資安政策之實施要點，包括：資安政策文件內容、資安政策之公布傳達，以及資安政策之審查等。並透過某公司與某大學資訊中心IDC機房ISMS政策之範例，具體瞭解資安政策。資訊安全管理5-6Module5：資訊安全政策•Module5-1：概述•Module5-2：實施要點•Module5-3：範例•參考文獻•習題資訊安全管理5-7Module5-1：概述資訊安全管理5-8Module5-1：概述•資安政策（InformationSecurityPolicy）是組織建置資安管理制度不可或缺的重要元素。•資安政策是管理階層依照組織營運要求（如：保護公司資產、保護客戶資訊、…）、相關法律、法規（如：個人資料保護法、智慧財產權、組織營業秘密保護法、…）與客戶合約要求，對組織資安管理提出執行方向與支持承諾。Module5-1資訊安全管理5-9•如同組織的經營願景與方向，管理階層必須設定並提出與營運目標一致之明確資安政策指示。•經由溝通與發布至整個組織，展現對資訊安全的支持與承諾。當組織訂有明確的資安政策後，所有同仁將可清楚認知資安責任。•只要落實政策要求，將可達成資安管理目標，提供交易夥伴信心，增加商業機會及營運競爭力。Module5-1資訊安全管理5-10Module5-2：實施要點資訊安全管理5-11Module5-2：實施要點•資安政策文件應陳述管理階層的承諾，提出組織管理資訊安全的作法，由管理階層核准，並公布傳達給所有員工與相關外部團體。Module5-2資訊安全管理5-12一、資安政策文件內容•資安政策文件一般包括下列事項的具體陳述：（可參閱例5-1）–資安政策目的及範圍：•闡述資安政策之目的，明確界定資安範圍，強調保護資訊之安全制度重要性。Module5-2資訊安全管理5-13–管理階層意向的聲明：•資安政策應能明確看出管理階層之資安態度及期望。除其展現支持與營運策略目標一致的資安目的及原則外，並應適當提供資源，表達對資安之支持與承諾。Module5-2-一資訊安全管理5-14–資安目標：•說明組織所設定的資安目標，以建立組織整體意識及關於資訊安全之各項行動原則。資安目標宜具體量化，以利審查資安活動之有效性及適切性。如：年度資安事件數量、重要資訊系統之可用率，或資訊處理之正確率等。Module5-2-一資訊安全管理5-15–風險評鑑與風險管理的結構：•說明組織如何運用風險評鑑方法對風險進行評估，及如何設定各項控制目標與控制措施，對風險進行處理及管理。有關風險評鑑及風險處理，請參閱Module4。Module5-2-一資訊安全管理5-16–資安責任：•界定資安管理的一般與特定責任，資安政策尚應包括核准、審查及評估安全政策之管理責任。•例如：最高管理階層負有核准、審查之責，各管理階層負有評估、修正之責，所有同仁負有遵循責任等。Module5-2-一資訊安全管理5-17–法令法規遵循性(Compliance)：•考量營運與法律或法規要求，以及合約的安全義務，簡要說明安全政策、原則、標準以及對組織特別重要之遵循性要求。–遵循法律、法規及合約要求。–安全教育、訓練及認知要求。–營運持續管理（BusinessContinuityManagement,BCM）。–違反資訊安全政策的後果。Module5-2-一資訊安全管理5-18–政策支援文件：•資安政策可能會需要其他支援補充文件。•例如：針對特定資訊系統所展開的細部安全政策和程序，或使用者應遵循的安全規則，可能包括可攜式媒體政策、網路使用政策或通行碼使用政策等。相關的政策文件應考慮針對預期之使用者，以其方便取得及易於瞭解的形式，向整個組織的使用者傳達。Module5-2-一資訊安全管理5-19–其他注意事項：•資安政策可視為一般管理政策文件的一部分。•若資安政策散布至組織外，應注意避免揭露組織敏感性資訊。Module5-2-一資訊安全管理5-20二、資安政策之公布傳達•資安政策制定後，應透過適當方式公布及傳達至所有相關組織及人員（包括外部團體及第三方使用者），以使同仁清楚瞭解政策內容，有效落實安全要求。Module5-2資訊安全管理5-21•政策公布及傳達方式，可考慮組織特性及文化而定，可參考下列作法：–張貼公告。–以電子形式傳遞給所有人員週知（例如：電子郵件）。–政令宣導方式。–管理會議中宣達。Module5-2-二資訊安全管理5-22–教育訓練方式（須著重於訓練之有效性）。–主動告知模式（例如：外部人員或訪客，於到訪時主動告知資安政策，並要求遵循配合）。–合約或協議形式（例如：委外合約中提及資安政策相關要求）。Module5-2-二資訊安全管理5-23•傳達及溝通方式之重點，在使相關人員能夠意識其資安責任，任何形式的傳達溝通，應避免流於形式，而應著重效果。•特別值得注意的是，如何使外部團體或人員（包括：委外廠商、第三方使用者或訪客等）瞭解組織的資安政策及要求，傳達方式應考慮其可行性及有效性。•例如：在訪客會客櫃台處公告相關資安政策及要求，並由接待人員提醒訪客遵守。Module5-2-二資訊安全管理5-24三、資安政策之審查•資安政策攸關資安管理之成敗，故必須確保其一貫性並適用於整個組織。•資安政策應於規劃期間或當發生重大變更時進行審查，以確保其持續的適用性、充分性及有效性。Module5-2資訊安全管理5-25•例如：組織可定期於年度管理階層審查會議中，審查資安政策是否持續適用，或討論是否須作任何調整修改。•或當組織發生重大變更時，如：組織策略、規模、地點、高階管理人員、產品、技術或服務等營運內容改變時，立即進行不定期審查。Module5-2-三資訊安全管理5-26•資安政策審查應包括評估組織資安及管理方法之改進空間，以因應組織環境、營運環境、法律條件或技術環境的改變。資安政策審查應與管理審查結果方向一致。•有關管理審查，將詳細說明於Module17。Module5-2-三資訊安全管理5-27Module5-3：範例一--XX公司資訊安全政策資訊安全管理5-28Module5-3：範例一--XX公司資訊安全政策•目的(Objective)–此文件說明”XX公司資訊安全管理系統”之資安政策，係依據資訊安全管理標準ISO27001：2005（CNS27001）制定，並依此作為執行資訊安全管理系統之方向。Module5-3資訊安全管理5-29•範圍(Scope)–本資訊安全管理系統適用於本公司全部範圍及所有業務，包括全體員工、往來廠商、約聘人員及廠商委派支援本公司之工作人員等所有相關資訊資產。Module5-3-一資訊安全管理5-30•資安政策聲明(InformationSecurityPolicyStatement)資訊安全人人有責Module5-3-一資訊安全管理5-31•本公司將確保:服務過程，安全無虞服務資訊，精準正確服務結果，迅速及時•為保護本公司的相關資訊資產，包括實體軟硬體設施、資料、資訊等安全，免於因外在的威脅或內部人員不當的管理遭受洩密、破壞或遺失等風險，特制訂本政策，以供全體同仁共同遵循。Module5-3-一資訊安全管理5-32•安全目標(SecurityObjective)–零資安事件–帳務處理之正確率99.95%–帳務資訊系統之可用率99.97%Module5-3-一資訊安全管理5-33•責任(Responsibilities)–本公司高階主管應適時覆核、修訂本政策，以確保該政策符合現行需求。–資訊安全管理人員應透過適當程序落實本政策之要求。–全體員工、約聘人員及簽約廠商都有責任遵循本安全政策。–全體員工都有責任透過適當回報系統，回報所發現的資訊安全意外事故或資訊安全弱點。–任何危及資訊安全的行為，都應訴諸適當的懲罰程序或法律行動。–相關的資訊安全措施或規範應符合現行法令的要求。Module5-3-一資訊安全管理5-34•本公司成立資安委員會，依資安政策及資安管理手冊相關要求，負責管理本公司資訊安全，其組織職責如下：–主席（資訊安全管理代表）：–總經理。負責安全政策制定，定期主持安全管理會報、…。–召集人（資訊安全管理代表代理人）：–副總經理。負責………。–委員（各部門主管）：–業務部經理：XXX。負責………。–研發部經理：XXX。負責………。–資訊部經理：XXX。負責………。Module5-3-一資訊安全管理5-35•風險評鑑(RiskAssessment)–本公司依據已鑑別之企業資訊安全以及法律與法規要求，特制定適合本資訊安全管理系統之系統化風險評鑑方法。並設定資訊安全管理系統之政策與目標，以降低風險至可接受程度。詳細作業程序參考下列文件:•風險評鑑程序文件參考資料RA011•資產鑑別作業辦法文件參考資料AI111•………………•資產清單記錄編號AL001•風險評鑑報告記錄編號RA001Module5-3-一資訊安全管理5-36•風險處理與管理(RiskTreatment&Management)–控制措施作業辦法文件參考資料00113–風險管理程序文件參考資料RM001–………………–安全會報總結報告Module5-3-一資訊安全管理5-37•適用性聲明(StatementofApplicability)–文件參考資料00110Module5-3-一資訊安全管理5-38•參考文件(References)–資安組織程序參考編號XXXX–資產管理程序參考編號XXXX–人員安全程序參考編號XXXX–實體安全程序參考編號XXXX–資訊備份程序參考編號XXXX–存取管制程序參考編號XXXX–系統開發程序參考編號XXXX–事故管理程序參考編號XXXX–營運持續程序參考編號XXXX–風險評鑑程序參考編號XXXX–風險管理程序參考編號XXXX–文件管制程序參考編號XXXX–………………Module5-3-一資訊安全管理5-39Module5-3：範例二–XX大學資訊中心IDC機房ISMS政策資訊安全管理5-40•目標•範圍•權責•管理原則•要求事項•參考文件•附件Module5-3：範例二–XX大學資訊中心IDC機房ISMS政策Module5-3資訊安全管理5-41•目標–XX大學資訊中心IDC（InternetDataCenter,網際網路數據中心）機房乃提供本校校級伺服器集中管理之機房，其資訊的品質及資訊安全是資訊中心的命脈，因此資訊中心的資訊安全管理系統(InformationSecurityManagementSystems,ISMS)之首要目標，在於確保IDC持續運作之安全性、穩定性及備份的機密性、完整性及可用性，尤以機房實體安全是IDC安全管理的重點。Module5-3-二資訊安全管理5-42•範圍–ISMS範圍：位於XX大學XX大樓的資訊中心IDC機房實體安全及資料備份與復原。此範圍為資訊中心之命脈。基於安全需求，由資訊中心先行推動ISMS，至於其他資訊系統、網路，因涉及全校各單位(教職員生)，尚須多方面溝通協調及配合，將視協商情況逐步納入驗