【正文】 資訊安全管理 11 資訊安全管理 委辦單位：教育部顧問室資通安全聯(lián)盟 執(zhí)行單位：淡江大學資訊管理學系 資訊安全管理 12 課程模組大綱 ? Module 1：資訊安全管理概論 ? Module 2：資訊安全風險 ? Module 3：先期規(guī)劃 ? Module 4：風險評鑑 ? Module 5： 資訊安全政策 ? Module 6：資訊安全管理組織 ? Module 7：資產(chǎn)管理 ? Module 8：人力資源管理 ? Module 9：實體與環(huán)境安全管理 資訊安全管理 13 ? Module 10：通信與作業(yè)管理 ? Module 11：存取控制 ? Module 12：資訊系統(tǒng)的取得、開發(fā)及維護 ? Module 13：資安事故管理 ? Module 14：營運持續(xù)管理 ? Module 15：法令、政策、標準、及技術的符合性 ? Module 16：內(nèi)部稽核 ? Module 17：管理審查 ? Module 18：持續(xù)改進 資訊安全管理 14 Module 1：資訊安全管理概論 資訊安全管理 15 學習目的 1. 本模組目的在於學習資訊安全的定義，為何需要資訊安全管理，如何建立資訊安全需求，評估資訊安全風險，處理資訊安全風險， 選擇控制措施，資訊安全管理標準簡介及其演進，資訊安全管理之關鍵成功因素，以及資訊安全管理之重要名詞說明等 2. 本模組的重點是瞭解什麼是資訊安全，資訊安全管理的重要性，以及資訊安全管理系統(tǒng)重要元素，包括：資訊安全風險評估與處理、 控制措施選擇等。並瞭解資訊安全管理的標準、關鍵成功因素、重要名詞等。 資訊安全管理 16 Module 1：資訊安全管理概論 ? Module 11： 資訊安全的定義 ? Module 12： 為何需要資訊安全管理 ? Module 13： 如何建立資訊安全需求 ? Module 14： 評估資訊安全風險 ? Module 15： 處理資訊安全風險 ? Module 16：選擇控制措施 ? Module 17：資訊安全管理標準簡介及其演進 ? Module 18：關鍵成功因素 ? Module 19：重要名詞說明 ? Module 110：我國資安管理法源 /政策 資訊安全管理 17 ? 參考文獻 ? 習題 資訊安全管理 18 Module 11：資訊安全的定義 資訊安全管理 19 Module 11：資訊安全的定義 ? 隨著網(wǎng)際網(wǎng)路高度發(fā)展及全球化的趨勢，資訊安全已成為企業(yè)經(jīng)營管理不可忽視之重要課題。 ? 資訊（ Information）是組織重要資產(chǎn)，就像其它重要的營運資產(chǎn)一樣，對組織具有價值。 ? 因此需要適當保護，尤其是高度依賴資訊化服務的組織將更形重要。 ? 相對地，資訊也更有機會暴露於日益多樣的威脅與脆弱性中。 Module 11 資訊安全管理 110 ? 資訊儲存及呈現(xiàn)的形式相當多元，可以列印成書面表示、可以用電子方式儲存、可以用郵寄或是電子郵件傳送、也可以用影片播放或以口頭說明。 ? 無論資訊的形式為何，以何種方式儲存或與他人共享，均應以適當?shù)姆绞郊右员Ｗo。 Module 11 資訊安全管理 111 ? 資訊安全（ Information Security, 簡稱資安）是將保護資訊的控制措施實施於組織現(xiàn)有的營運流程及組織架構中，保護資訊不受各種威脅，確保營運持續(xù)、降低營運損失、使組織獲致最佳投資報酬率及商業(yè)機會。 ? 當資訊的機密性（ Confidentiality）、完整性（ Integrity）、可用性（ Availability）遭到破壞時，可能會造成組織重大的衝擊，甚至中止組織的運作。 ? 如何保護資訊資產(chǎn)是所有組織所面臨的重要議題之一。 Module 11 資訊安全管理 112 Module 12：為何需要資訊安全管理 資訊安全管理 113 Module 12：為何需要資訊安全管理 ? 資訊和支援作業(yè)、系統(tǒng)及網(wǎng)路都是重要的營運資產(chǎn)。 ? 資訊安全攸關能否維繫競爭力、現(xiàn)金流量、獲利能力、適法性、及商業(yè)形象。 ? 組織本身與其資訊系統(tǒng)、網(wǎng)路所面臨的安全威脅來源日益廣泛。 Module 12 資訊安全管理 114 ? 除了火災或水災等天然的災害外，尚有人為的攻擊破壞，如電腦相關詐欺行為、入侵攻擊行為（例如：如惡意碼、電腦駭客等）、蓄意破壞、毀損等攻擊，都愈來愈普遍、影響也越來越大、技術亦日益複雜。 ? 資安需要全面的綜合管理。 Module 12 資訊安全管理 115 ? 資訊安全管理系統(tǒng)（ Information Security Management Systems, ISMS）的導入，可以協(xié)調組織各方面的管理機制，使資訊安全更有保障。 ? 資訊安全管理系統(tǒng)是運用一套系統(tǒng)方法，對組織內(nèi)敏感資產(chǎn)進行管理，涉及到人員、程序和資訊技術（ Information Technology, IT）等的系統(tǒng)。 Module 12 資訊安全管理 116 ? 資安的需求是存在於各種組織（不論政府部門、私人企業(yè)或非營利組織等）。 ? 確保資訊資產(chǎn)安全，才能避免或降低有關的風險。 ? 過去多數(shù)組織對資訊安全並無太多概念，很多資訊系統(tǒng)在設計時，並未將安全控管納入考慮。 Module 12 資訊安全管理 117 ? 透過技術手段所能達到的安全有限，必頇透過適切的管理及程序支援才能有效達成目標。 ? 資訊安全管理將包括組織內(nèi)所有員工及組織外的供應商、第三方、客戶等外部人員。 Module 12 資訊安全管理 118 Module 13：如何建立資訊安全需求 資訊安全管理 119 Module 13：如何建立資訊安全需求 ? 組織識別自身的安全要求，是絶對必要的。 ? 安全要求主要來源： 1. 風險評鑑 2. 外在環(huán)境 3. 內(nèi)在環(huán)境 Module 13 資訊安全管理 120 1. 風險評鑑 ? 來自對組織面臨風險的評鑑，考慮到組織整體的營運策略及目標。 ? 風險評鑑（ Risk Assessment）後，方能識別資產(chǎn)所面臨的威脅，並評估脆弱性及其發(fā)生的可能性，以及預估可能造成的衝擊（ Impact）。 Module 13 資訊安全管理 121 2. 外在環(huán)境 ? 是組織、交易夥伴、合約商及服務供應商，必頇滿足的法律、法令、規(guī)章及合約方面的要求，以及他們的社會文化環(huán)境。 Module 13 資訊安全管理 122 3. 內(nèi)在環(huán)境 ? 是組織為了支援營運活動而發(fā)展的 ， 對資訊處理的原則 、 目標 、 和營運的要求 。 Module 13 資訊安全管理 123 Module 14：評估資訊安全風險 資訊安全管理 124 Module 14：評估資訊安全風險 ? 透過有系統(tǒng)的安全風險評鑑，才能識別安全要求。 ? 資訊安全的保護投資必需符合經(jīng)濟原則，有關控制措施的支出及可能造成的營運損失，需保持平衡。 Module 14 資訊安全管理 125 ? 風險評鑑的結果，有助於指導及決定適當?shù)墓芾碜鳛?、管理資訊安全風險的優(yōu)先順序、實作所選的控制