返回
资讯安全入门手册

资讯安全入门手册

ID:42840529

大小:228.50 KB

页数:77页

时间:2019-09-23

资讯安全入门手册_第1页
资讯安全入门手册_第2页
资讯安全入门手册_第3页
资讯安全入门手册_第4页
资讯安全入门手册_第5页
资源描述:

《资讯安全入门手册》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、資訊安全─入門手冊第9章資訊安全最佳實務1第9章資訊安全最佳實務『最佳安全實務』的概念是指-提供一套合宜的安全建議。最佳實務內容所討論的各項實務建議,多數組織都已經證明是最有效的實務經驗。29-1認識管理安全這些措施主要是希望找出對於公司非常重要的資訊和資訊系統,並向員工解釋這些資訊和資訊系統的重要性。管理安全實務也會定義出可用來做為適當風險管理的資源,並指出應該負責資訊安全風險的負責人。認識管理安全熟悉技術安全應用ISO17799標準39-1-1政策和程序組織的安全政策,是用來定義組織應該遵循的安全規範。在政策定義之後,大多數的員

2、工都應該遵守共同的規範。縱使無法完全遵守政策的內容,但政策本身仍是一套完整、牢靠的安全計畫重要元素,因此也應該包含在實務建議之中。最佳實務至少必須含有的政策如下:資訊政策:定義組織的機密性資訊,並制定如何儲存、傳輸、標示和銷毀的標準程序。安全政策:使用者和系統管理員,需要在所有系統上建置的控制技術和安全設定。4使用政策:訂定如何使用組織的電腦系統,以及系統操作不當的罰則。同樣也需要確認是否在電腦系統上安裝合法的軟體,因此也被稱為電腦使用許可政策。備份程序:訂定備份資訊的頻率,以及離線備份的需求,同時也訂定回存備份資料的時間點。5單有

3、政策不足以做為組織安全計畫的指導方針組織應該制定的程序如下:使用者管理程序:程序的內容包含了『允許誰可以存取組織的哪些電腦系統』、『系統管理員用來確認發出求助需求的使用者相關資訊』。程序之中也定義『系統管理員該如何處理無效的帳號』、『真正擁有帳號的人員,才能夠存取組織的網路和系統』。6系統管理程序:此一程序詳細描述組織應該在哪些系統上,建置哪種類型的安全政策,另外也同樣描述系統修補的管理和應用。設定管理程序:這些程序制定如何變更生產系統的步驟。軟硬體升級、新系統上線、移除不再使用的系統等,都包含在變更的範圍中。設計法則應該確認出『如

4、何』、『何時』應該要設計和建置安全。修補管理已經變成許多公司非常頭痛的問題。隨時修補才能減少系統的弱點,且在修補生產系統之前必須詳細測試過(這樣才不會造成生產系統停機),這是一項耗時但卻非常重要的工作。79-1-2資源為了建置適當的安全實務,就必須配置相關的資源。必須考量組織的大小、組織的業務性質和組織的風險等因素,才能計算出組織所需的資源。依據適當、完整的風險評估和風險管理計畫,才能決定組織所需的資源。圖9-1顯示了資源、時間和專案範圍之間的關係。8圖9-1專案管理三角關係9員工不論組織規模的大小,都必須指派負責資訊安全風險管理的

5、人員。針對規模較小的組織而言,這些工作可能會指派給資訊技術人員。規模較大的組織,可能會有安全方面的專責部門。最佳實務不是要建議專門負責的人數,而是強烈地建議至少要有一位職責範圍中,含有執行安全相關工作的員工。10安全部門員工應該具有下列技術:安全管理:瞭解日常管理的安全設備。政策發展:具有發展和維護安全政策、程序和計畫的經驗。架構:瞭解新系統的網路、系統的架構並建置。研究:調查新的安全技術,並評估是否影響組織的風險。評估:執行組織或部門的風險評估。評估的範圍也可能包含滲透測試、安全測試在內。稽核:執行系統或程序的稽核經驗。11預算預

6、算的多寡會依據安全專案的範圍和時間長短而定,而不是依據組織的規模為準。擁有良好安全計畫的大型組織,所需的預算可能會比剛起步的小型組織來得少。安全計畫預算是非常重要的。基本上,安全計畫預算可以區分為基本支出、日常運作和教育訓練三方面。許多組織在採購安全工具時,經常都會發生訓練費用不足的錯誤。12新的安全工具多半都需要人工操作而不是自動化處理。增加新的安全工具並不會提高效率。相反的,購置新的安全工具不但會增加員工的工作量(因而增加員工人數),同時也會增加新的流程。最佳實務應該要以安全專案計畫做為預算編列的基礎(以組織的風險為準)。有了充

7、分的預算之後,才能貫徹安全專案計畫。139-1-3責任某些組織會編制管理資訊安全風險的專責人員。近來,大型組織多半都是指派專責的管理階層人員,我們稱為『首席安全執行長(ChiefInformationSecurityOfficer,CISO)』。不論是哪一個管理階層擔任通報點,執行長都必須體認到-安全工作是職責範圍非常重要的工作項目之一。不論是制定組織的政策、簽署所有安全相關的政策,執行長都必須獲得組織的充分授權。14組織的安全長應該要訂定評量的標準,才能評量目前安全工作的進展。這些標準可能包含系統的弱點數量、違反安全專案計畫的程序

8、、或邁向最佳實務的程序。應該定期向高階主管報告(最好每個月一次),而且也應該將報告呈送給組織的董事會。在銀行業務和醫療保健的章程上,要求定期向理事會回報安全狀態。159-1-4教育員工的教育,是管理資訊安全風險最重要的部分之一。如果沒

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。