Your browser does not support JavaScript!

 

 
分類清單
首頁 > 資訊安全宣導 > 簡介
簡介
隨著電子科技、網路發展的一日千里,21世紀的來臨,您是否已預知未來的企業經營與交易環境會是什麼樣的型態?經營與交易環境的變化其依賴資訊的重要度亦將相對的提高。因此資訊(Information)是當今最重要的無形資產,也是企業成功的基礎。
  什麼是資訊:資訊是一種資產,像其他重要的商業資產(Business assets)一樣,對一個組織而言是具有價值的。資訊可以多種形式存在(如:列印或寫在紙上,電子形式貯存,透過電子郵件傳輸,顯示在膠片上或表達在會話中,不論資訊採用什麼方式,採用什麼手段共用和貯存,它都必須得到妥善保護,使資訊避免一系列威脅,保障商業(Business)的連續性,最大限度商業的損失,最大限度獲取投資和商業的回饋。如何確保顧客與企業內部資訊的保密性、完整性及可用性則是當今最重要的課題。

  資訊安全管理系統(Information Security Management System簡稱ISMS)因此孕育而生,並由英國工業貿易部倡導,現正在全球推行當中。

為何資訊安全是如此重要?

竊取:每一英磅資訊技術的設備漏失或損害,將瓦解商業成本十英磅以上。
網際網路:美國五角大廈每日可偵測80~100個駭客入侵。
電腦犯罪:電腦入侵每年以45%的速率在成長。
電子郵件:10%資訊是垃圾,9%含機密性資料,2%笑話及2%含病毒。
病毒:超過10,000次病毒常態性的影響,每月有150~200隻新的病毒產生。

資訊安全管理系統發展史

 

BS 7799標準概要性的介紹,其可分為兩大部份:

第一部份(BS 7799-1)-
資訊安全管理實施細則(Code of practice for information Security management):是作為系統規範要求的最佳應用指南,不能作為驗證標準。

第二部份(BS 7799-2)-
資訊安全管理系統規劃(Specification for information Security management system):可以作為整個組織或部份單位其資訊安全管理系統(ISMS)評估的基準,也就是它可以做為一個正式驗證的標準。

由於BS 7799是一個管理系統,因此其推展與方法相對與ISO 9000、ISO 14000並無太大差異,同樣是依循PDCA循環作持續改善、訂定政策、文件管制、內部稽核,較大差異在於資訊安全的風險評估及36項目標訂定與127個控制點的選擇需具有專業認知與方法,且涵蓋財務面。

BS 7799資訊安全管理系統的實施指引

 

組織對資訊安全需求的來源

(一)來自對組織的風險之評估,透過風險評估,鑑別出對資產的威脅,估計發生的脆弱點和可能發生性,預測潛在的影響。
(二)來自組織貿易夥伴、承包商和服務供應商必須符合的法律、法規、規章和合約的要求。
(三)來自組織已制定維持其運作的資訊處理原則、目標和要求。

  綜合上項來源,匯集所有對的控制點、適當的需求,從資訊安全計劃的過程就開始,才是最終成效的關鍵。經驗顯示,關鍵性成功因素來自組織內部的實施方針:

1.反映商業(Business)目標的安全政策、目標和活動。
2.與組織文化一致之實施安全的方法。
3.管理階層的有形支援和承諾。
4.對安全要求、風險評估和風險管理的良好理解。
5.向管理幹部及所有員工推行安全意識。
6.向所有員工和供應商發佈資訊安全政策指導綱要和標準。
7.提供適當的訓練和教育。
(調查顯示在公司內有80%違反安全的事件,都是由被授權的人做錯的事情所引起)

資訊安全-結構

資訊安全不是強調產品的建置,重點在於安全之需求及管理(安全機制代表品質,也代表著企業文化)

名詞定義:

資訊安全Information security
-保持資訊的保密性、完整性和可用性。

風險評估Risk assessment
-對資訊和資訊處理設施的威脅、影響和脆弱點及三者發生之可能性評估。

風險管理Risk management
-以可接受的成本來鑑別、控制、降低或消除可能影響資訊系統的安全風險之過程。

機密性Confidentiality
-確保資訊僅可讓被授權的人員存取。

完整性Integrity
-保護因非授權所造成的損害,保護資訊和流程方法的準確和完善(含備份後之完整)。

可用性Availability
-資訊是可用的,確保被授權的人需要時可以獲取資訊和相關的資產。