返回
资讯安全之风险管理及评估-以BS7799为例

资讯安全之风险管理及评估-以BS7799为例

ID:43530544

大小:1023.50 KB

页数:48页

时间:2019-10-10

资讯安全之风险管理及评估-以BS7799为例_第1页
资讯安全之风险管理及评估-以BS7799为例_第2页
资讯安全之风险管理及评估-以BS7799为例_第3页
资讯安全之风险管理及评估-以BS7799为例_第4页
资讯安全之风险管理及评估-以BS7799为例_第5页
资源描述:

《资讯安全之风险管理及评估-以BS7799为例》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、資訊安全之風險管理及評估-以BS7799為例組長:廖健智組員:蔡宗軒、黃國聯、黃逸平、蔡怡真、鄭雅招指導老師:曹民和老師Agenda一、前言二、資訊安全三、資訊安全規範-BS7799四、誰適合BS7799五、資訊安全之風險評估六、資訊安全應用七、結語八、參考文獻一、前言全球商業環境隨時面對有意圖性的資訊系統攻擊,評估每年大約損失150億美元,且損失金額逐年升高。2003年8月全球各地上百萬台電腦在短短12天內被接續出現的Blaster、Welchia與Sobig.F三種新生病毒感染而遭受系統癱瘓或作業中斷的衝擊,評估這些威脅所造成的損失約為20億美元。2004年5月殺手病毒(Sasser)肆

2、虐造成全台灣三分之一的郵局即430個支局共約1,600個工作站電腦當機影響金融業務的交易甚鉅。根據美國CERT/CC統計資料(Computersecurityincidentsreported)顯示,2003年資訊安全事件共137,529件較2002年增加67.5%(2002年82,094件),成長速度急遽攀升足以揭示現今企業組織的資訊安全面臨日益升高的威脅。此類層出不窮的事件傳達一項明確的訊息-「不安全是昂貴的」,資訊安全的風險阻礙經濟發展的潛能及嚴重影響企業日常的運作。如何建構有效的資訊安全的風險管理已是刻不容緩的議題。美國CERT/CC資訊安全事件統計資料二、資訊安全何謂資訊「資料」是

3、指未經處理之原始訊息,其內容可能包含數值、文字、事件描述等多樣化格式之眾多呈現方式。「資訊」則是將眾多資料藉由整理或分析的過程,使其成為有意義之內容,具有價值及重要性之資訊也將成為決策制定之參考依據。為有效確保重要資訊的保存,防止非法存取、竄改或惡意毀損與破壞,資訊安全之維護成為個人、企業組織或國家相當重視的議題。資料1資料3資料2工具/方法整理分析方針1方針2資料資訊二、資訊安全資訊的重要性隨著「知識經濟」時代的來臨,「資訊」的收集與保護對企業組織與個人都越來越重要。資料資訊知識智慧資料蒐集預測未來二、資訊安全何謂資訊安全現今資訊安全重點強調的是由上而下的整體架構,重視的是「管理」而非「技

4、術」,單以密碼學的角度看資訊安全並不正確。機密010011001010111011010%$%$#%#$%$@#$@#$@#$二、資訊安全何謂資訊安全資訊安全,是管理而非技術妥善的資訊安全管理是確保組織得以持續成長的重要關鍵資訊安全管理議題中最重要的部分「人員管理」在過去一向被人所忽略不能僅以防火牆與入侵偵測系統的「技術面」來看「資訊安全」二、資訊安全資訊安全之定義實體與技術安全實體建築、文件電腦軟、硬體網路通訊資料儲存與傳送人員訓練與預防安全操作觀念指導專業的教育訓練預防人員犯罪資訊安全維護考量因素二、資訊安全資訊安全之定義資訊安全是防範資訊資產遭受各種安全威脅,目的在於確保企業持續營運、

5、企業損失減至最小並且投資報酬率及商機增至最大,並以保護下列三者為其特性:機密性(Confidentiality)確保只有被授權的人可以存取資訊完整性(Integrity)確保資訊及處理方法的正確及完整可用性(Availability)確保資訊在被授權的人有需要時可以存取二、資訊安全資訊安全防護措施的三大目標-CIA機密性(Confidentiality)真確性或完整性(Integrity)可用性(Availability)資訊安全防護措施的三大目標-CIAC–機密性(Confidentiality)機密性為資訊安全必須能確定唯有通過認證的使用者才得以存取資料當不論任何人都可以輕易得知「機密」

6、或「極機密」等級文件內容,這就形同沒有資訊安全。I–真確性或完整性(Integrity)完整性是指當資訊在經過保護及傳送的過程中,仍能確保資訊的正確性及真確性現今所指的資訊完整性,大多是發生在網際網路的傳輸品質以及加/解密技術上A–可用性(Availability)可用性即為通過認證的使用者隨時都可取得所需的資訊除了保護系統的安全外,更應考慮到讓使用者隨時都可使用的便利性二、資訊安全資訊安全之威脅資訊安全威脅類型可能發生事件範例非人為因素天然災害火災、水災、地震、雷擊、冰雹等颱風風災基礎設施故障軟體程式、硬體、網路通訊障礙硬碟壞軌人為因素人員疏失操作、維護及管理等疏失電腦用畢未登出蓄意性威脅

7、資料破壞電腦系統破壞資訊設備破壞資料程式破壞資料/程式竄改或毀損病毒破壞資料濫用擅自使用電腦設備不當使用資料或資訊服務透過社交手法獲得使用權限或資訊駭客入侵違反隱私權不當之資料收集、使用或公開犯罪者竊取他人信用卡資訊二、資訊安全資訊安全之相關標準COSOBS7799COBIT發源地歐洲(英國)歐洲(英國)北美(美國)制訂單位NABsi英國標準協會ISACA電腦稽核協會特點書面程序制度書面程序制度作業管理考照認

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。