欢迎来到天天文库
浏览记录
ID:37239632
大小:413.52 KB
页数:20页
时间:2019-05-20
《ISMS风险评估手册》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、信息安全管理制度风险评估手册目录二、本文.................................................................................31风险的定义及其本质................................................................32信息风险管理对信息安全管理系统的重要性............................................63信息风险管理与
2、信息风险评估之关连..................................................94各种信息风险评估作业程序之比较与建议.............................................145结论.............................................................................186参考文件与标准..................................
3、.................................20三、作者简介:..........................................................................20编序自从行政院于民国九十年一月十七日第二七一八次院会通过「建立我国通信息基础建设安全机制计划」,并成立「国家资通安全会报」后,即开始结合内政、外交、国防、财政、教育、法务、经济、交通等部会,针对电力、电信、金融、交通等国家基础建设之安全防护,共同研讨相关因应作为,
4、其中对于教育训练的重视与人才之培育,更是重点工作项目之一。依照国家资通安全会报综合业务组之规划,整个教育训练的时程大致上可分为资通安全基础训练建置,资通安全防护及运用训练,资通安全专业训练三大阶段;而编撰本手册之源由,系配合国家资通安全会报对于政府机构建立信息安全的基本防范能力,以及建立信息安全的防范体系所做的一连串配套措施之一,旨在提升政府机构人员对于信息安全管理系统的基本认知以及针对实际建置管理系统所需的程序提供相关教育训练。本手册编撰由中华民国计算机稽核协会负责,将发行给政府单位作为执行信
5、息安全管理制度时之参考书籍。有鉴于大多数政府机关人员对于信息安全管理系统及其建置程序并未有完整之观念,或是仍存有部份之迷思,其中有关于信息风险评估的原理及执行程序是最易令人产生困惑之处,因此本手册之编排方式将先针对信息风险的定义及其本质予以简介,然后说明如何管理信息风险以及介绍信息安全管理系统建置程序;最后再引导至风险评估对于整个信息安全管理系统的重要性以及介绍目前国际上较为通用的风险评估方式,期望能协助各单位有所依循且有效地执行信息安全管理制度之推行。国家资通安全会报技术服务中心谨订中华民国九
6、十二年四月Page:2of20一、前言运用信息技术尚需注意人性的管理:很多人在一接触到信息安全管理系统(InformationSecurityManagementSystem,简称ISMS)时,首先浮现的念头大多是「一种非常专业的知识,只有信息相关的从业人员才可以胜任」。但有趣的是,当发生了信息安全事件时,信息人员也常表示「我们己经提供了最佳设备及软件,也对相关人员实施了相关的教育训练」;那么信息安全事件何以还是在我们的周遭不断地重复发生呢?当从新闻媒体或是报章杂志得知了台湾又发生了信息安全事件
7、时,很多人总想一探究竟地了解到底在安全系统中是哪里出现了漏洞,让为非做歹者有机可乘。而事实是,不论是在金融业、公共事业或是其它与信息相关的产业,绝大部份造成信息安全事件的原因都不是专业技术的层面,而是在人性面上出现的漏洞所导致。不可否认的是,蓄意犯罪的人员的专业素养及用功认真的程度是远高过于我们一般的从业人员,尤其在信息安全事件方面,有鉴于此,我们也必须要有一套能在组织中展开的信息安全管理机制,藉由组织内人员的知识及警觉来形成信息安全的防护网,使得有心人士不会那么容易的得逞,即使是提高了犯罪的成
8、本或是难度,这也就是某种程度的信息安全防护了。风险评估是信息安全管理制度的重要建置步骤:近年来各大媒体对于信息安全事件的报导日渐增多,不定期发生的病毒警示发布、网络银行的账户密码遭破解盗取存款、中美网络黑客大战等等,在报章媒体失真地报导与过度地渲染之下,「信息安全」也成为本世纪以来谈及因特网时的热门议题。但一般人对于「信息安全」所蕴含的意义,仅止于将报章杂志上耸动的标题-黑客攻击、计算机病毒及信息战等,与信息安全划上等号。若企业经营管理阶层、信息从业人员亦有此错误之认知,认为防火墙之购买及防毒软
此文档下载收益归作者所有