it资讯安全服务管理

it资讯安全服务管理

ID:16019779

大小:129.50 KB

页数:8页

时间:2018-08-07

it资讯安全服务管理_第1页
it资讯安全服务管理_第2页
it资讯安全服务管理_第3页
it资讯安全服务管理_第4页
it资讯安全服务管理_第5页
资源描述:

《it资讯安全服务管理》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、IT资讯安全服务管理IT资讯安全服务管理简财源KentSmith升阳聘任资安专业顾问Topics??资讯安全全貌??资讯安全管理标准:BS7799/ISMS??资讯安全管理如何导入???资讯安全风险如何计算???资讯安全管理需搭配什麼技术???资讯安全管理分什麼辅导等级???资讯安全管理方案及技术要点资讯安全的范围与定义合法客户在授权范资讯安全政策实际运作的资讯系合法客户在授权范资讯安全政策实际运作的资讯系围内的资料加密与系统存取控制统与网路的安全防围内的资料加密与系统存取控制统与网路的安全防身份验证等机制,业务永续运作规划护,如存取控制骇身份验证等机制,业务永续运作规划护,如存

2、取控制骇涵如SSL、PKI、CA等人员、实体与环境的安全客入侵侦测等。如SSL、PKI、CA等人员、实体与环境的安全客入侵侦测等。盖范围应用安全网路安全管理系统的安全应用安全网路安全管理系统的安全资讯安全定产品服务产品服务义专业服务防火墙防毒VPNCA专业服务防火墙防毒VPNCA系统整合PKI加密安全评估系统整合PKI加密安全评估认证服务等等...认证服务等等...资讯安全之架构安全政策安全组织资产分类与控制实体及环境通讯及操作设作系统发展及维护人员的安全管理的安全管理设备的安全管理上的安全管理存取控制商业持续性管理符合性资讯安全现况??国家资通安全会报要求3,713个行政单位须

3、於2003-2004年达成相关资安要求,一时之间BS7799/ISMS变得非常热门。??但BS7799标准中有30%部分需运用资安技术来达成,因此如何搭配、部署BS7799与相关资安技术,即是重点所在。BS7799/ISMS资讯安全管理系统??英国标准协会(BritishStandardsInstitute,BSI)制定了许多标准,如各位所熟知的ISO9000等,起初是由BSI提出,尔后由ISO组织通过成为世界标准。??在资讯安全方面:–BSI在1999年发行BS7799Part-1andPart-2–ISO在2000年将通过成为:BS7799Part-1ISO/IEC17799

4、:Informationtechnology–Codeofpracticeforinformationsecuritymanagement。–於2002年又修订为,全名是BS7799Part-2ISMSnformationecurityanagementystems–SpecificationISMSwithguidanceforuse。BS7799Part-1与Part-2的差异??BS7799Part-1:主要是实施指南,告诉您如何实作。–BSISO/IEC17799:2000BS7799-1:2000–资讯管理-资讯安全管理细则??BS7799Part-2:主要是陈述与验证

5、的依据,亦即如果各位要取得BS7799验证及证书,必须遵循Part-2的要求。–BS7799-2:2002–资讯安全管理系统-规范及应用指引BS7799??10大管控项目??36个管控目标??127个管控措施目的是建立一套完整的资讯安全管理系统,使企业的资讯安全目标得以达成,这其中包含企业组织内所定义范围内的资产存在哪些威胁、风险的高低、如何运用管控措施使风险降低或转移;欲达成此目标,需管理面与技术面的统合,缺一不可。至於风险是无法完全去除的,当采取不同的措施以降低风险时,每个企业所能接受的风险程度会有差异,而这也就是BS7799在导入时,会因应企业需求的不同而建议采用不同的方式

6、。资讯安全三要素在导入BS7799时需定义执行范围,该范围的资产必须做资产清册,也就是必须统计完整;而企业在评估其资讯资产时,有3大要素要考虑:1.资料的要求(Confidentiality):性-确保只有被授权的用户可以依权限存取资料。2.资料的要求(Integrity):完整性-确保资料是完整的,没有被窃取或不当修改。3.资料的(Availability):可取用性-确保被授权的用户,当有需要存取资料时,得以顺利获得。导入BS7799/ISMS的流程1.订定策略2.定义ISMS范围3.进行风险评估4.风险管理5.选择欲选取的控制目标与要点6.准备适用性声明风险计算×××风险=

7、价值×威胁×弱点×发生的机率风险管理,目的为1.1.降低、避免风险:是一种较正面的方式,由正确的资讯安全政策导入及相关技术方面的整合,消除或减少风险的威胁。例如,企业尚未安装防毒软体,则遭受病毒的攻击可能性甚高。藉由防毒软体的建置,及要求使用者定期更新病毒的训练,以将受病毒的感染可能性降到最低。2.2.转移风险:最有效的方式是以透过保险的方式,将风险转嫁到第三者。如地震等天灾一旦发生,总是造成立即资讯的损失。若有良好的灾害应变计画加上保险等方式,则可以达到风险降低及将风险转嫁到保

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。