歷史 過程導(dǎo)向 架構(gòu) (條文 ) 7001 的三要素 實(shí)作 ( 7001能帶來什麼好處 英國國家標(biāo)準(zhǔn)協(xié)會(huì) ,資訊安全管機(jī)制 國際標(biāo)準(zhǔn)化組織 ( 資訊安全管實(shí)務(wù)準(zhǔn)則之國家標(biāo)準(zhǔn) ，並提交 1996 個(gè)月後，沒通過 1998 英國公佈 ，並成為資訊安全管認(rèn)證之依據(jù) 2000 增修後之 通過 2002 英國 佈發(fā) 002修訂版 2002 我國經(jīng)濟(jì)部標(biāo)準(zhǔn)檢驗(yàn)局依據(jù) 7799及 002版公佈國家標(biāo)準(zhǔn) 005 7799(2005版 ) 2005/10/14 修定 通過 2007 將 7799改為 7002，使資訊安全標(biāo)準(zhǔn)成為 7000系 7799(7002)( ) 作業(yè)規(guī)範(fàn) 7001 ( ) 要求事項(xiàng) 7001是 統(tǒng)驗(yàn)證的判定標(biāo)準(zhǔn) 重於預(yù)防而非矯正措施 11個(gè)控制領(lǐng)域 , 39個(gè)控制目標(biāo) 133控制措施 鑑定改善需求 執(zhí)行改善工作 報(bào)告執(zhí)行結(jié)果 確認(rèn)目標(biāo)達(dá)成 持續(xù)追縱改善 善 建立 資訊安全政策 資訊安全目標(biāo) 資訊安全組織 風(fēng)險(xiǎn)評估及管理 確認(rèn)控制目標(biāo) 計(jì)劃 執(zhí)行監(jiān)控程序 風(fēng)險(xiǎn)再評估 定期施行稽核 績效評估 查 建立管理文件體系 建置控制方法 資訊安全程序文件 營運(yùn)持續(xù)運(yùn)作計(jì)畫 執(zhí)行管理程序 教育訓(xùn)練及宣導(dǎo) 執(zhí)行 資產(chǎn) ,資訊安全 ,可用性 . 4. 資訊安全系統(tǒng) ) 立 的 P) 作 的 D) 視與審查 () 持與改進(jìn) () 件化要求 (的 D) 部稽核 (的 C) (的 C) 進(jìn) (的 A) 資訊安全政策 資訊安全組織 資訊資產(chǎn)分類與管理 業(yè)務(wù)持續(xù)運(yùn)作之管理 法令規(guī)章之遵循 人 員 安 全 資安事件管理 實(shí)體與環(huán)境安全 通訊與操作管理 存 取 控 制 系統(tǒng)發(fā)展與維護(hù) 資 訊 系 統(tǒng) 稽 核 ( 資訊安全政策訂定與評估 ( 資訊安全組織 ( 資訊資產(chǎn)分與管制 ( 人員安全管與教育訓(xùn) ( 實(shí)體與環(huán)境安全 ( 通訊與作業(yè)安全管 ( 存取控制安全 ( 系統(tǒng)開發(fā)與維護(hù)之安全 ( 資訊安全事件之反應(yīng)及處 ( 業(yè)務(wù)永續(xù)運(yùn)作管 ( 相關(guān)法規(guī)與施單位政策之符合性 (政策 規(guī)範(fàn)、辦法 作業(yè)程序 表單、記錄 一階 二階 三階 四階 密性 保護(hù)資訊被非法存取或揭 確保資訊在任何階段沒有適當(dāng)?shù)男薷幕驌p毀 (如網(wǎng)頁被駭 ,就是完整性的問題 ) 用性 經(jīng)授權(quán)的使用者能適時(shí)的存取所需資訊 (如硬體故障 ,使得授權(quán)的使用者無法使用 ) 7001“以風(fēng)險(xiǎn)為基礎(chǔ) ”的方法論 ,定義政策 ,程序和適當(dāng)?shù)目刂祈?xiàng)目來管理風(fēng)險(xiǎn) 資訊就是一種資產(chǎn)，和其他重要的營運(yùn)資產(chǎn)一樣有價(jià)值，因此需要持續(xù)給予妥善保護(hù)。 資訊安全包含技術(shù)面與管理面，需要通過實(shí)施一整套適當(dāng)?shù)目刂拼胧┎拍軐?shí)現(xiàn)。 範(fàn)圍及界限 政策 為風(fēng)險(xiǎn)評鑑 ) f. 識(shí)別並評估風(fēng)險(xiǎn)處理的各項(xiàng)選項(xiàng)辦法 風(fēng)險(xiǎn)處理 ) 7001 只是一個(gè)要求事項(xiàng) 要達(dá)成 7001 的要求事項(xiàng)方法很多 可以是人工的 可以使用軟體工具 成立 組 界定公司 範(fàn)圍及界限 界定公司 政策 清查資訊資產(chǎn) 針對資訊資產(chǎn)評定其風(fēng)險(xiǎn)值 選擇風(fēng)險(xiǎn)處理的方法 寫一份適用聲明書 資訊安全官 管理代表 (簡稱 “管代 ”) 資訊安全部主管 管理部 文件管理中心 稽核 界定公司 範(fàn)圍及界限 例如 ： 界定公司 政策 公佈 政策 養(yǎng)成良好資安習(xí)慣 軟體 資料 硬體 文件 人員 環(huán)境 針對資訊資產(chǎn)評定其風(fēng)險(xiǎn)值 威脅性 中 ,高 ,極高 弱點(diǎn)等級(jí) 中 ,高 ,極高 風(fēng)險(xiǎn)等級(jí) =資訊資產(chǎn)價(jià)值 *威脅 *弱點(diǎn)等級(jí) 對於風(fēng)險(xiǎn)等級(jí)超過一定值 (例如 16分 )需要風(fēng)險(xiǎn)處理降低其風(fēng)險(xiǎn) 風(fēng)險(xiǎn)處理方法有 採取降低風(fēng)險(xiǎn)的措施 面對它 ,處理它 如果無法降低 接受它 (剩餘風(fēng)險(xiǎn) ) 迴避它 轉(zhuǎn)移風(fēng)險(xiǎn) 利用保險(xiǎn)或其他方式處理 取得管理階層對剩餘風(fēng)險(xiǎn)的核準(zhǔn) 擬一份適用性聲明書 中排除的理由說明 每年要複評 每三年要重新評鑑 7001能帶來什麼好處 資訊安全管理系統(tǒng)的運(yùn)行及 7001驗(yàn)證能為企業(yè)帶來許多重要的策略與營運(yùn)優(yōu)勢 強(qiáng)化企業(yè)安全： 透過資訊安全管理系統(tǒng)的運(yùn)行及 減少企業(yè)網(wǎng)路的弱點(diǎn)，並提高企業(yè)的風(fēng)險(xiǎn)控管能力。 減少弱點(diǎn)意味著較少的安全漏洞，詐騙行為、財(cái)物風(fēng)險(xiǎn)與法律風(fēng)險(xiǎn)也會(huì)跟著減少，當(dāng)然網(wǎng)路的連續(xù)運(yùn)作時(shí)間與顧客信心也會(huì)隨之提高。 提高安全規(guī)劃效率 127 條控制項(xiàng)目及其控制細(xì)項(xiàng)目，將明確導(dǎo)引企業(yè)如何進(jìn)行人力資源、法務(wù)與突發(fā)事件應(yīng)變的規(guī)劃。這些針對資訊安全而提出的全面性詳細(xì)建議，可使得企業(yè)開始導(dǎo)入安全措施時(shí)，作到更完善、更容易管控且非常符合經(jīng)濟(jì)效益。 提高安全管理成效 企業(yè)將開始制定或重新檢視其資訊安全政策與程序。與企業(yè)一般的安全計(jì)劃不同的是，且在實(shí)際商業(yè)資訊安全中測試過其成效。 持續(xù)保護(hù) 企業(yè)經(jīng)過驗(yàn)證後，稽核機(jī)構(gòu)的持續(xù)檢驗(yàn)與確保企業(yè)隨時(shí)了解最新的弱點(diǎn)以及最佳的實(shí)務(wù)準(zhǔn)則法則。 改善與供應(yīng)商的合作關(guān)係 為了讓企業(yè)網(wǎng)路受到更好的保護(hù)，同時(shí)又要能進(jìn)行電子資料交換，企業(yè)可以資訊安全管理系統(tǒng)的運(yùn)行及 安全的電子商務(wù) 資訊安全管理系統(tǒng)的運(yùn)行及 論是財(cái)務(wù)機(jī)構(gòu)或電子商城，消費(fèi)者都能輕易分辨出哪些是經(jīng)過驗(yàn)證值得信賴的電子商務(wù)公司。 提高顧客信心 隨著顧客與廠商對網(wǎng)路安全漏洞愈來愈