欢迎来到天天文库
浏览记录
ID:36790077
大小:661.99 KB
页数:24页
时间:2019-05-15
《风险评估、管理等ISMS相关》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、教育部提昇校園資訊安全服務計畫B2風險評估、管理等ISMS相關文件製作實例說明教育部提昇校園資訊安全服務計畫課程大綱風險控制目標說明資訊資產評估說明風險評鑑說明風險管理說明2教育部提昇校園資訊安全服務計畫風險控制目標說明目標:了解教育體系資通安全規範條文與ISO27001條文要求教育部提昇校園資訊安全服務計畫風險控制目標說明1-1•教育體系資通安全規範–捌、三ISMS之建立:依據該單位之類型、規模、資源、業務性質等特性,定義ISMS之範圍;考慮相關法律、法規,以及合約之要求,於適度評估風險及應對措施後,訂出經由管理階層核准之ISMS政
2、策,並擬定一份適用性聲明書文件。4教育部提昇校園資訊安全服務計畫風險控制目標說明1-2•ISO27001條文規範–4.1建立與管理ISMS•本文4.2.1(c)界定組織的風險評鑑作法•本文4.2.1(d)識別各項風險•本文4.2.1(e)分析與評估各項風險•本文4.2.1(f)識別並評估風險處理之各項選項作法•本文4.2.1(g)選擇各項風險之處理的控制目標與控制措施•本文4.2.1(h)取得管理階層對所提議之各項剩餘風險的核准•本文4.2.2(a)架構風險處理計畫•本文4.2.2(b)實作風險處理計畫5教育部提昇校園資訊安全服務計畫
3、風險控制目標說明1-3–4.3文件化要求•本文4.3.1(d)風險評鑑方法論的描述•本文4.3.1(e)風險評鑑報告•本文4.3.1(f)風險處理計畫–5.管理階層責任•本文5.1(f)決定接受風險的準則與可接受風險等級的準則–7.ISMS之管理階層審查•本文7.2(e)於先前風險評鑑未適切因應之脆弱性或威脅•本文7.3(b)風險評鑑與風險處理計畫之更新•本文7.3(c)(6)風險等級或風險接受準則6教育部提昇校園資訊安全服務計畫資訊資產評估說明目標:1.建立資訊資產清冊2.C.I.A評分教育部提昇校園資訊安全服務計畫風險評鑑與管理程
4、序風險評鑑程序風險管理程序資訊資產鑑別決定可接受風險等級資訊資產評價擬訂風險處理計畫弱點及威脅分析執行風險處理計畫風險值計算評估風險處理計畫風險評鑑報告執行成效8教育部提昇校園資訊安全服務計畫資訊資產評估說明•組織/單位所面臨的風險誰最清楚?•範圍識別–適用性申明書–驗證範圍•服務•系統•區域(機房)9教育部提昇校園資訊安全服務計畫資訊資產識別•資訊資產分類–人員(People/PE)–資料(Data/DA)–軟體(Software/SW)–硬體(Hardware/HW)–環境保護(Environment/EV)•資訊資產機密等級–一
5、般–敏感–機密10教育部提昇校園資訊安全服務計畫資訊資產評估說明HConfidentialityAvailability機密性可用性Integrity完整性(正確性)LH資訊安全三要素11教育部提昇校園資訊安全服務計畫資訊資產價值鑑別(機密性)•機密性評估標準(定性)評估標準數值一般:此資訊資產無特殊之機密性要求1敏感:此資訊資產僅供內部相關業務承辦人員存2取機密:此資訊資產所包含資訊為組織或法律所規3範的機密資訊12教育部提昇校園資訊安全服務計畫資訊資產價值鑑別(完整性)•完整性評估標準(定性)評估標準數值資產本身完整性要求極低1資
6、產具有完整性要求,且完整性被破壞會對組織2造成傷害,但不至於太嚴重資產具有完整性要求,且完整性被破壞會對組織3造成傷害,甚至會造成業務終止13教育部提昇校園資訊安全服務計畫資訊資產價值鑑別(可用性)•可用性評估標準(定量)評估標準數值資訊資產容許失效≧3天18小時≦資訊資產容許失效<3天2資訊資產容許失效<8小時314教育部提昇校園資訊安全服務計畫風險評鑑說明目標:1.威脅與弱點識別2.威脅與弱點等級3.風險值計算教育部提昇校園資訊安全服務計畫風險評鑑說明•ISMS觀念釐清–管理制度變更–紀錄保存風險營運風險–防範未然資安風險–事後追
7、蹤–根因分析科技風險業務–…風險財務風險•何謂風險16教育部提昇校園資訊安全服務計畫識別威脅/弱點•威脅(Threat)•弱點(Vulnerability)技術人員技能不足明天下雨機率90%手機電池續航力不夠駭客工具取得容易愛上不該愛的人17教育部提昇校園資訊安全服務計畫風險評鑑指標AuditTechnologyBIARARiskAssessmentGapSecurityAnalysisIncident18教育部提昇校園資訊安全服務計畫風險值評鑑原則•建議一:–風險值=(C*V*T)+(I*V*T)+(A*V*T)•建議二:–風險值=
8、∑((C*V*T)+(I*V*T)+(A*V*T))•建議三:–風險值=MAX(C,I,A)*V*T•建議四:–風險值=∑(MAX(C,I,A)*V*T)19教育部提昇校園資訊安全服務計畫風險管理說明目標:•風險門檻分析
此文档下载收益归作者所有