【正文】 el gi um ) 2 烏克蘭 ( U k r ai ne ) 1 芬蘭 ( F i nl an d) 14 加拿大 ( Cana da ) 2 烏拉圭 ( Ur ug ua y ) 1 挪威 ( Nor w a y ) 14 哥倫比亞 ( Col om bi a) 2 越南 ( V i etn am ) 1 土耳其 ( T ur k ey ) 13 丹麥 ( Denm ar k ) 2 相對總家數(shù) 3363 墨西哥 ( Me x i c o) 12 阿曼 ( O m an ) 2 絕對總家數(shù) 3350 Module 17 資訊安全管理 140 ? ISO 17799:2023資訊安全管理作業(yè)要點（ Code of Practice for Information Security Management）主要是作為參考文件，提供廣泛性的安全控制措施，作為現(xiàn)行資訊安全之最佳作業(yè)方法。 Module 17 資訊安全管理 135 ? BS 7799分為 BS 77991 BS 77992兩個部分（ Part），其中 BS 77991已在 2023年 6月成為ISO/IEC 17799： 2023國際標準；而 BS 77992亦於 2023年 10月正式成為 ISO/IEC 27001： 2023國際標準。 Module 16 資訊安全管理 131 ? 在資訊安全的實務中，常用的控制措施，包括： – 資訊安全政策文件； – 資訊安全責任的配置； – 資訊安全認知、訓練與教育； – 應用系統(tǒng)的正確處理流程； – 脆弱性管理； – 營運持續(xù)管理； – 管理資訊安全事故與改善。 ? 控制措施的選擇 ， 將依據(jù)組織風險承受的準則 、風險處理的選擇 、 以及一般適用於組織風險管理方法等的決策而定 ， 當然同時受限於所有相關的國家及國際法律與管理規(guī)定 。 ? 資訊安全的保護投資必需符合經(jīng)濟原則，有關控制措施的支出及可能造成的營運損失，需保持平衡。 ? 風險評鑑（ Risk Assessment）後，方能識別資產(chǎn)所面臨的威脅，並評估脆弱性及其發(fā)生的可能性，以及預估可能造成的衝擊（ Impact）。 Module 12 資訊安全管理 117 ? 透過技術手段所能達到的安全有限，必頇透過適切的管理及程序支援才能有效達成目標。 ? 資訊安全管理系統(tǒng)是運用一套系統(tǒng)方法，對組織內(nèi)敏感資產(chǎn)進行管理，涉及到人員、程序和資訊技術（ Information Technology, IT）等的系統(tǒng)。 ? 組織本身與其資訊系統(tǒng)、網(wǎng)路所面臨的安全威脅來源日益廣泛。 ? 當資訊的機密性（ Confidentiality）、完整性（ Integrity）、可用性（ Availability）遭到破壞時，可能會造成組織重大的衝擊，甚至中止組織的運作。 ? 相對地，資訊也更有機會暴露於日益多樣的威脅與脆弱性中。並瞭解資訊安全管理的標準、關鍵成功因素、重要名詞等。 資訊安全管理 16 Module 1：資訊安全管理概論 ? Module 11： 資訊安全的定義 ? Module 12： 為何需要資訊安全管理 ? Module 13： 如何建立資訊安全需求 ? Module 14： 評估資訊安全風險 ? Module 15： 處理資訊安全風險 ? Module 16：選擇控制措施 ? Module 17：資訊安全管理標準簡介及其演進 ? Module 18：關鍵成功因素 ? Module 19：重要名詞說明 ? Module 110：我國資安管理法源 /政策 資訊安全管理 17 ? 參考文獻 ? 習題 資訊安全管理 18 Module 11：資訊安全的定義 資訊安全管理 19 Module 11：資訊安全的定義 ? 隨著網(wǎng)際網(wǎng)路高度發(fā)展及全球化的趨勢，資訊安全已成為企業(yè)經(jīng)營管理不可忽視之重要課題。 Module 11 資訊安全管理 110 ? 資訊儲存及呈現(xiàn)的形式相當多元，可以列印成書面表示、可以用電子方式儲存、可以用郵寄或是電子郵件傳送、也可以用影片播放或以口頭說明。 ? 如何保護資訊資產(chǎn)是所有組織所面臨的重要議題之一。 Module 12 資訊安全管理 114 ? 除了火災或水災等天然的災害外，尚有人為的攻擊破壞，如電腦相關詐欺行為、入侵攻擊行為（例如：如惡意碼、電腦駭客等）、蓄意破壞、毀損等攻擊，都愈來愈普遍、影響也越來越大、技術亦日益複雜。 Module 12 資訊安全管理 116 ? 資安的需求是存在於各種組織（不論政府部門、私人企業(yè)或非營利組織等）。 ? 資訊安全管理將包括組織內(nèi)所有員工及組織外的供應商、第三方、客戶等外部人員。 Module 13 資訊安全管理 121 2. 外在環(huán)境 ? 是組織、交易夥伴、合約商及服務供應商，必頇滿足的法律、法令、規(guī)章及合約方面的要求，以及他們的社會文化環(huán)境。 Module 14 資訊安全管理 125 ? 風險評鑑的結果，有助於指導及決定適當?shù)墓芾碜鳛椤⒐芾碣Y訊安全風險的優(yōu)先順序、實作所選的控制措施，以防範這些風險。 Module 15 資訊安全管理 128 Module 16：選擇控制措施 資訊安全管理 129 Module 16：選擇控制措施 ? 很多的控制措施都能被視為實行資訊安全很好的起點。 Module 16 資訊安全管理 132 ? 這些控制措施適用於大部分的組織及環(huán)境。 Module 17 資訊安全管理 136 ? 資訊安全管理在國內(nèi)及全球已逐漸被重視，上述標準為目前國際公認最完整之資訊安全管理標準。 ? 其中包含 11個控制措施章節(jié)，但不作為評鑑與驗證標準。 Module 17 資訊安全管理 143 ? ISO 27001包括建置組織管理系統(tǒng)所需要的 PDCA（ Plan, Do, Check, Act）管理架構及廣泛的安全控制措施指引： 1. 安全政策（ Security Policy） 2. 資訊安全組織（ Organization of Information Security） 3. 資產(chǎn)管理（ Asset Management） 4. 人力資源安全（ Human Resources Security） 5. 實體和環(huán)境安全（ Physical and Environmental Security） Module 17 資訊安全管理 144 6. 通訊與作業(yè)管理（ Communications and Operations Management） 7. 存取控制（ Access Control） 8. 資訊系統(tǒng)取得、開發(fā)和維護（ Information Systems Acquisition, Development and Maintenance） 9. 資訊安全事故管理（ Information Security Incident Management） 10. 營運持續(xù)管理（ Business Continuity Management） 11. 遵循性（ Compliance） Module 17