政大区网会议-导入资讯安全制度教育部与ISO27001版本

1政大區網會議-導入資訊安全制度教育部與ISO27001版本報告者:梁士杰時間:2009/6/23天主教輔仁大學資訊中心網路組2大綱導入過程差異說明相關問題導入建置效益未來導入建議未來規劃3導入過程八校聯合輔導時期緣由:節省經費97年8月19日啟動97年12月中完成ISO27001導入時期緣由:共識97年12月16日啟動98年6月7日通過4導入過程輔仁大學資訊安全組織架構5導入過程八校聯合輔導導入方式人力:網路組成員8人+顧問1人訓練:於各校舉辦輔導會議:顧問每兩週到校實地訪談資安文件核准方式:電子公文來往文件公開:紙本傳閱簽名宣導方式:透過資訊中心主管會議、校務會議宣導ISO27001導入過程人力:網路組成員8人+顧問2人輔導會議:顧問每週到校實地訪談6差異說明方案原案:教育體系資通安全管理規範校園聯合輔導專案本案:校園通過ISO27001資安認證委外輔導專案(以原案為基礎擴充實施)使用規範教育部公告之「教育體系資通安全管理規範」ISO/IEC國際標準組織公告之ISO/IEC27001:2005國際資安規範適用範圍中華民國TANet連線之教育單位適用於全球各組織與行業(亦包含學校機構)成功案例國立成功大學技中、各縣市教育網路中心(已完成系統建置)、台大等9個國立大學區域網路中心(已開始建置)全球有超過4000個組織選擇ISO27001國際驗證，包含國內國立交通大學、國立中興大學、淡江大學、東海大學、靜宜大學等超過20所大學第三方驗證方式教育機構資安認證中心-國立清華大學由TAF等機構核可之驗證公司(多數為外商機構)進行第三方驗證，通過後取得國際資安認證證書效益使各校得在有限資源與環境限制下，快速滿足相關之資通安全要求，符合教育主管機關期望執行完整之PDCA資安管理循環，可強化學校行政管理能力與宣示對師生資料保護之決心，同時對於大學評鑑與校務招生亦有加分效益7差異說明方案原案:教育體系資通安全管理規範校園聯合輔導專案本案:校園通過ISO27001資安認證委外輔導專案(以原案為基礎擴充實施)輔導顧問原2校共用1位(不含專案管理辦公室、教育訓練講師等)額外增加2位(並將專案管理整合於原案專案管理辦公室中)業務流程分析到校進行分析與討論到校進行分析與討論文件客製化服務主要以電話、電郵討論主要為到校討論與確認資訊風險評鑑主要以聯合工作研討會進行討論主要為到校執行並確認管理審查活動到校進行管理審查協助到校進行管理審查協助業務持續與事故通報演練以聯合演練中心統一控管演練流程，各校分別演練到校個別執行演練內部稽核與驗證活動到校進行稽核與驗證協助到校進行稽核與驗證協助資安技術風險檢測無透過網路針對各校對外網站進行滲透測試並提供深度建議報告課程客製化服務以聯合輔導訓練計畫為統一執行依據可依各校需求客製化各項資安演練客製化服務無(以聯合輔導訓練計畫為執行依據)可依各校需求客製化內稽與驗證服務到場執行內稽與教育部認證協助到場執行內稽、預評與正評協助8相關問題教育訓練時數利用非同步遠距教學平台,宣導資訊安全政策與提供資訊安全教育訓練資訊安全委員會委員對政策與施作方式有疑慮校級資安會議資訊中心業務作業流程教育部版本與ISO版本差異文件作業政策與程序9導入建置效益文件化業務與作業流程災害檢測方式與復原計畫定期檢視與習慣養成至少每年一次報告高層定期檢測認證範圍內資產紀錄保留文件與電子Logserver與log功能10未來導入建議導入時機Budget編列預算資源(顧問公司)資安組織與層級未來涵蓋範圍那些長官需要進來審查層級不可過多人力資源Teamwork職務調整11未來規劃業務範圍擴大認證範圍擴大資安委員會部份權責下放12感謝!問題與討論