资讯安全管理系统

ISMS資訊安全管理系統A0933361盧宗禹指導老師：梁明章老師資訊的定義by維基百科•對組織來說，資訊可以是有形或無形的資產，與其他資產一樣需要受到保護•資訊可以任何形式存在威脅的定義資訊安全的目的保護組織的資訊資產•減少弱點•避免威脅•降低衝擊•提升投資報酬率•資訊的『機密性、完整性、可用性』InformationSecurityManagementSystem•ISMS是一套有系統的分析與管理資訊安全風險的方法•100%的資訊安全是過高的期望•ISMS的目標是透過方法，降低資訊風險至可接受的範圍內ISMS的目標•為組織架設一套資訊安全防護機制、建立『安全等級』制度，讓企業具備資訊安全管理能力•防範各種外部威脅，遭受攻擊時系統仍能正常運作ISMS的發展歷史•1993年9月，由英國貿工部（DTI）組織、許多企業參與編寫了一個資訊安全管理的文本－“資訊安全管理實用規則（Codeofpracticeforinformationsecuritymanagement）”。•1995年2月，BSI將該文本轉化為為英國國家標準，即BS7799-1:1995信息安全管理實用規則。•1998年2月，BSI又推出用于ISMS認證的國家標準，即BS7799-2:1998，當時稱為信息安全管理體系規範（SpecificationforInformationSecurityManagementSystem）。•1999年BSI將上述兩部分標準修訂，正式推出1999版本。•2000年12月，BS7799-1:1999被採納成為國際標準，即ISO/IEC17799:2000。而BS7799-2沒有能購成為國際標準。•2002年，BSI又將BS7799-2修訂，使其與ISO9001:2000保持高度一致，發布了BS7799-2:2002。•2005年6月15日，ISO/IEC發布ISO/IEC17799:2000的修訂版本，即ISO/IEC17799:2005。•2005年10月15日，ISO/IEC發布ISMS要求標準，即ISO/IEC27001:2005，其藍本就是BS7799-2:2002。ISMS運作模式ISMS之建立ISMS之實施與操作•研擬風險處理計畫•實施風險處理計畫•實施控制措施•實施訓練與認知計畫•作業管理•資源管理•實施安全事件程序及控制措施ISMS之監控與審查•監控（隨時）•審查（定期）•審查殘餘可接受風險•內部稽核•管理階層審查•紀錄ISMS之持續改善•實施ISMS改進活動。•採取適當矯正及預防措施。•與相關單位就結果與各項措施進行溝通並取得同意。•確保各項改進措施達到預期目標。法務部資訊安全行政規則體系成功推行ISMS的關鍵要素•安全政策要能反映企業的目標•執行的方法要配合公司的文化•管理階層的承諾與支持•充分的了解安全需求、風險評估及風險管理•將安全觀念有效的推廣傳達至每位管理者及員工•將資訊安全政策及標準的指導原則讓所有員工及合作夥伴了解•提供適當的教育訓練•一個廣泛及穩定之審查制度，借以評估資訊安全管理的執行效能並提供改善建議。