【正文】 (1) 資訊安全的管理 (2) 資訊安全的控制 (3) 資訊安全政策核準 (4) 資訊安全的執(zhí)行 資訊安全組織的主要工成作為何？ (複選 ) 108 資訊安全管理 選擇題 (10)_題目 (1) 降低風險接受值； (2) 適切的管理； (3) 程序支援； (4) 技術 ISMS的導入要能達成目標，下列那些事項須配合？ (複選 ) 109 資訊安全管理 ? 靜夜四無鄰，荒居舊業(yè)貧。 ?是 ?非 95 資訊安全管理 是非題 (7)_題目 風險評鑑宜定期重覆進行，以應付環(huán)境的改變。 ? 國家標準 CNS 27001「資訊技術 安全技術 資訊安全管理系統(tǒng) 要求事項」。 ? [ISO Guide 73:2023] Module 19 81 資訊安全管理 18. 風險接受 ? 決定接受某風險。 ? [ISO/IEC TR 18044:2023] Module 19 73 資訊安全管理 10. 風險 ? 事件發(fā)生與其影響的可能性之組合。 Module 19 66 資訊安全管理 3. 資訊安全 ? 保護資訊的機密性、完整性及可用性；此外，亦能涉及如鑑別性、可歸責性、不可否認性及可靠度等性質。 Module 17 51 資訊安全管理 7. 存取控制 ? 對資訊存取行為的管理。 Module 17 41 資訊安全管理 ? ISO 27001是國際資訊安全管理系統(tǒng)標準。 Module 16 32 資訊安全管理 Module 17：資訊安全管理標準簡介及其演進 33 資訊安全管理 Module 17：資訊安全管理標準簡介及其演進 ? 英國標準協(xié)會（ British Standards Institution, BSI） 為國際標準制定機構之一，於 1995年提出編號為BS 7799的資訊安全管理系統(tǒng)（ Information Security Management Systems, ISMS）標準。 Module 14 25 資訊安全管理 Module 15：處理資訊安全風險 26 資訊安全管理 Module 15：處理資訊安全風險 ? 一旦識別了安全要求、確定組織的風險與其執(zhí)行風險處理之決策後，宜選擇並實作控制措施，以確保將風險降低到可接受的程度。 ? 安全要求主要來源： 1. 風險評鑑 2. 外在環(huán)境 3. 內(nèi)在環(huán)境 Module 13 19 資訊安全管理 1. 風險評鑑 ? 來自對組織面臨風險的評鑑，考慮到組織整體的營運策略及目標。 Module 12 14 資訊安全管理 ? 資訊安全管理系統(tǒng)（ Information Security Management Systems, ISMS）的導入，可以協(xié)調組織各方面的管理機制，使資訊安全更有保障。 Module 11 10 資訊安全管理 ? 資訊安全（ Information Security, 簡稱資安）是將保護資訊的控制措施實施於組織現(xiàn)有的營運流程及組織架構中，保護資訊不受各種威脅，確保營運持續(xù)、降低營運損失、使組織獲致最佳投資報酬率及商業(yè)機會。資訊安全管理 資訊安全管理 委辦單位：教育部顧問室資通安全聯(lián)盟 執(zhí)行單位：淡江大學資訊管理學系 1 資訊安全管理 課程模組大綱 ? Module 1：資訊安全管理概論 ? Module 2：資訊安全風險 ? Module 3：先期規(guī)劃 ? Module 4：風險評鑑 ? Module 5： 資訊安全政策 ? Module 6：資訊安全管理組織 ? Module 7：資產(chǎn)管理 ? Module 8：人力資源管理 ? Module 9：實體與環(huán)境安全管理 2 資訊安全管理 ? Module 10：通信與作業(yè)管理 ? Module 11：存取控制 ? Module 12：資訊系統(tǒng)的取得、開發(fā)及維護 ? Module 13：資安事故管理 ? Module 14：營運持續(xù)管理 ? Module 15：法令、政策、標準、及技術的符合性 ? Module 16：內(nèi)部稽核 ? Module 17：管理審查 ? Module 18：持續(xù)改進 3 資訊安全管理 Module 1：資訊安全管理概論 4 資訊安全管理 學習目的 1. 本模組目的在於學習資訊安全的定義，為何需要資訊安全管理，如何建立資訊安全需求，評估資訊安全風險，處理資訊安全風險， 選擇控制措施，資訊安全管理標準簡介及其演進，資訊安全管理之關鍵成功因素，以及資訊安全管理之重要名詞說明等 2. 本模組的重點是瞭解什麼是資訊安全，資訊安全管理的重要性，以及資訊安全管理系統(tǒng)重要元素，包括：資訊安全風險評估與處理、 控制措施選擇等。 ? 無論資訊的形式為何，以何種方式儲存或與他人共享，均應以適當?shù)姆绞郊右员Ｗo。 ? 資安需要全面的綜合管理。 Module 12 17 資訊安全管理 Module 13：如何建立資訊安全需求 18 資訊安全管理 Module 13：如何建立資訊安全需求 ? 組織識別自身的安全要求，是絶對必要的。 ? 風險評鑑宜定期重覆進行，以應付可能影響風險評鑑結果的任何改變。 ? 但任何控制措施是否適用，還是取決於組織所面臨的特有風險。 Module 17 40 資訊安全管理 ? ISO 27001:2023資訊安全管理系統(tǒng)要求（ Information Security Management Systems （ ISMS） Requirements）係根據(jù) ISO 17799，提供資訊安全管理系統(tǒng)之建立實施與書面化之具體要求，依據(jù)個別組織的需求，規(guī)定要實施之安全控制措施的要求。 Module 17 50 資訊安全管理 6. 通訊與作業(yè)管理 ? 盡可能完善公司內(nèi)外的溝通聯(lián)繫，以利於資訊安全管理系統(tǒng)的順利運行。 ? [ISO/IEC 133351:2023] Module 19 65 資訊安全管理 2. 資訊處理設施 ? 任何資訊處理系統(tǒng)、服務或基礎建設、或是儲藏它們的實體地點。[ISO/IEC TR 18044:2023] Module 19 72 資訊安全管理 9. 資訊安全事故 ? 單一或一連串有顯著機率可能危害營運作業(yè)與威脅資訊安全之非所欲或非預期的資訊安全事件。 ? [ISO Guide 73:2023] Module 19 80 資訊安全管理 17. 剩餘風險 ? 風險處理後，所剩餘的風險。 ? 國家標準 CNS 17799「資訊技術 安全技術 資訊安全管理之作業(yè)規(guī)範」。 ?是 ?非 94 資訊安全管理 是非題 (6)_題目 資產(chǎn)是指組織中的有形的實體設施，如機械、廠房、資本、人員、土地等。 (4) 是使用適當?shù)某杀?，來保護資訊資產(chǎn)。 。 :55:3413:55:34March 9, 2023 ? 1意志堅強的人能把世界放在手中像泥塊一樣任意揉捏。 :55:3413:55Mar239Mar23 ? 1越是無能的人，越喜歡挑剔別人的錯兒