返回
教育体系资通安全管理规范_2001170117023912.doc

教育体系资通安全管理规范_2001170117023912.doc

ID:32149209

大小:538.50 KB

页数:66页

时间:2019-01-31

教育体系资通安全管理规范_2001170117023912.doc_第1页
教育体系资通安全管理规范_2001170117023912.doc_第2页
教育体系资通安全管理规范_2001170117023912.doc_第3页
教育体系资通安全管理规范_2001170117023912.doc_第4页
教育体系资通安全管理规范_2001170117023912.doc_第5页
资源描述:

《教育体系资通安全管理规范_2001170117023912.doc》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、教育體系資通安全管理規範中華民國96年5月30日2目錄壹、緣起3貳、簡介3參、適用範圍3肆、目標期程4伍、引用標準4陸、關於適用性聲明(StatementofApplicability)4柒、用詞解釋4捌、關於資訊安全管理系統(ISMS)建置步驟5玖、關於資訊安全管理系統(ISMS)建置需求6附錄A控制目標與控制措施7A.5資訊安全政策訂定與評估8A.6資訊安全組織10A.7資訊資產分類與管制13A.8人員安全管理與教育訓練15A.9實體與環境安全18A.10通訊與作業安全管理22A.11存取控制安全36A.12系統開發與維護之安全48

2、A.13資訊安全事件之反應及處理56A.14業務永續運作管理58A.15相關法規與施行單位政策之符合性60附錄B刪除之規範與控制項6266壹、緣起網路的快速發展,改變了既有的業務處理模式,不單是業界,學校單位也感受到此股新興力量,許多行政工作藉由網路無遠弗屆的特性,加速了程序的進行,提升了整體的效率。然而,如同其他新興產業、領域碰到的問題一樣,相關的法令制定、控制規範,往往跟不上日新月異的變化,因此,不單只是產業界,其實學校單位對於通用性資通安全規範的需求,早時有所聞。鑑於實務界已經發展成熟的資安規範,如CNS17799、ISPGuid

3、e73:2002、BS7799等,此時此刻,正是為各級學校單位量身訂作規範的時機,如此才能確保各個行政程序的安全性。另外,考量到學校單位的重要性、急迫性以及可分配資源等因素,教育體系最適合進行資通安全管理規範的設計與施測;所以,本規範將以教育體系為對象,期能設計出最適合相關單位施行的管理規範。貳、簡介本規範之制定乃為提供教育體系及相關單位之管理階層、資訊業務人員及一般教職人員一套有效建置與管理資訊安全管理系統(InformationSecurityManagementSystem,以下簡稱ISMS)模式;評估各單位資安管理上的需求、目標

4、、結果,並考量加入特有之作業程序、規模、架構等因素,量身訂做出有別於業界所採用之ISMS規範。為了讓施行資安管理單位能以花費最低成本、人力等資源,採漸進的方式逐步達成可行之規章條款,本規範強調實行度與執行效率,期望能將此資安規範及相關之實施經驗推行到各單位,進而強化TANet中各連線學校單位的資通安全。參、適用範圍本標準適用於教育部電算中心、部屬館所、縣市網中心、大專院校以及高中職資訊管理單位等資訊業務相關單位(或其他管理單位認為應加入ISMS規範範圍之部門),針對「學術網路系統」以及「行政資訊系統」兩大業務範疇,訂定教育體系所屬機關、

5、學校資訊安全管理規範,以提升資訊安全管理能力。有鑑於上述之單位,無論是層級、位置、規模有著不小的差異,為避免施行單位面對部分規範窒礙難行的問題,本標準將適用單位分為二群,群組屬性為:一、第一群:本群適用單位以教育部電算中心、部屬館所、縣市網中心以及公私立大專院校(計網中心及校務行政)等為主;本群所屬單位之特性,適用之規範須遵從較高的嚴謹度,除因規模較小或資源缺乏等限制得以轉換至第二群外,其他不得變更(除了原屬第二群之單位外)。二、66第二群:本群適用單位以公私立高中職學校(資訊管理單位或因規模、資源因素轉至本群者及校務行政)為主要對象

6、;適用規範之嚴謹度較為寬鬆,乃為配合此群中所屬單位之規模與經費之故,但亦可根據自身的需求,轉往依循第一群之準則。壹、目標期程本規範的最終目標,在於讓所有教育體系與相關單位,在有限的資源下,建置最為合適、有效的ISMS。有鑑於各單位在資訊業務管理上,受限於人力、經費等各項資源,加上建置ISMS過程中須與相關單位以及管理階層多加協調溝通;因此,各單位在正式建置ISMS時,建議採階段式進行,以三年為期自行設定合理的期程目標,逐步達成每年度預定的進程比例,而非耗盡內部資源全力投入的模式;藉由如此的模式,在不過於影響單位運作的情況下,成功建置合適

7、的ISMS。貳、引用標準本規範主要參考ISO/IEC27001:2005(E)ISMS規範內的條款,再依據教育體系與相關單位的特性及需求,設計出較為合適的標準,希冀能有效提升各單位的資通安全程度。下列本標準之參考文件:l行政院及所屬各機關資訊安全管理規範。lISO/IEC27001:2005(E)規範。lISO/IEC17799:2005資訊技術─安全技術─資訊安全管理之作業要點。lCNS17799資訊技術─資訊安全管理之作業要點。參、關於適用性聲明(StatementofApplicability)本標準之設計為適用於教育體系與相關單

8、位,但鑑於類型、規模、資源、業務性質等因素,若本標準列出之任何條款無法適用於某單位時,可考慮予以排除,但必須在不影響該單位提供資訊安全能力與責任之情況下,並提出理由。在建置完該單位之ISMS後,必須提出符合

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。