【正文】 :17:1723:17Mar238Mar23 ? 1越是無能的人，越喜歡挑剔別人的錯(cuò)兒。 。 ?是 ?非 資訊安全管理 195 是非題 (6)_題目 資產(chǎn)是指組織中的有形的實(shí)體設(shè)施，如機(jī)械、廠房、資本、人員、土地等。 ? [ISO Guide 73:2023] Module 19 資訊安全管理 181 17. 剩餘風(fēng)險(xiǎn) ? 風(fēng)險(xiǎn)處理後，所剩餘的風(fēng)險(xiǎn)。 ? [ISO/IEC 133351:2023] Module 19 資訊安全管理 166 2. 資訊處理設(shè)施 ? 任何資訊處理系統(tǒng)、服務(wù)或基礎(chǔ)建設(shè)、或是儲(chǔ)藏它們的實(shí)體地點(diǎn)。 Module 17 資訊安全管理 141 ? ISO 27001:2023資訊安全管理系統(tǒng)要求（ Information Security Management Systems （ ISMS） Requirements）係根據(jù) ISO 17799，提供資訊安全管理系統(tǒng)之建立實(shí)施與書面化之具體要求，依據(jù)個(gè)別組織的需求，規(guī)定要實(shí)施之安全控制措施的要求。 ? 風(fēng)險(xiǎn)評(píng)鑑宜定期重覆進(jìn)行，以應(yīng)付可能影響風(fēng)險(xiǎn)評(píng)鑑結(jié)果的任何改變。 ? 資安需要全面的綜合管理。資訊安全管理 11 資訊安全管理 委辦單位：教育部顧問室資通安全聯(lián)盟 執(zhí)行單位：淡江大學(xué)資訊管理學(xué)系 資訊安全管理 12 課程模組大綱 ? Module 1：資訊安全管理概論 ? Module 2：資訊安全風(fēng)險(xiǎn) ? Module 3：先期規(guī)劃 ? Module 4：風(fēng)險(xiǎn)評(píng)鑑 ? Module 5： 資訊安全政策 ? Module 6：資訊安全管理組織 ? Module 7：資產(chǎn)管理 ? Module 8：人力資源管理 ? Module 9：實(shí)體與環(huán)境安全管理 資訊安全管理 13 ? Module 10：通信與作業(yè)管理 ? Module 11：存取控制 ? Module 12：資訊系統(tǒng)的取得、開發(fā)及維護(hù) ? Module 13：資安事故管理 ? Module 14：營運(yùn)持續(xù)管理 ? Module 15：法令、政策、標(biāo)準(zhǔn)、及技術(shù)的符合性 ? Module 16：內(nèi)部稽核 ? Module 17：管理審查 ? Module 18：持續(xù)改進(jìn) 資訊安全管理 14 Module 1：資訊安全管理概論 資訊安全管理 15 學(xué)習(xí)目的 1. 本模組目的在於學(xué)習(xí)資訊安全的定義，為何需要資訊安全管理，如何建立資訊安全需求，評(píng)估資訊安全風(fēng)險(xiǎn)，處理資訊安全風(fēng)險(xiǎn)， 選擇控制措施，資訊安全管理標(biāo)準(zhǔn)簡介及其演進(jìn)，資訊安全管理之關(guān)鍵成功因素，以及資訊安全管理之重要名詞說明等 2. 本模組的重點(diǎn)是瞭解什麼是資訊安全，資訊安全管理的重要性，以及資訊安全管理系統(tǒng)重要元素，包括：資訊安全風(fēng)險(xiǎn)評(píng)估與處理、 控制措施選擇等。 Module 12 資訊安全管理 115 ? 資訊安全管理系統(tǒng)（ Information Security Management Systems, ISMS）的導(dǎo)入，可以協(xié)調(diào)組織各方面的管理機(jī)制，使資訊安全更有保障。 Module 14 資訊安全管理 126 Module 15：處理資訊安全風(fēng)險(xiǎn) 資訊安全管理 127 Module 15：處理資訊安全風(fēng)險(xiǎn) ? 一旦識(shí)別了安全要求、確定組織的風(fēng)險(xiǎn)與其執(zhí)行風(fēng)險(xiǎn)處理之決策後，宜選擇並實(shí)作控制措施，以確保將風(fēng)險(xiǎn)降低到可接受的程度。 Module 17 資訊安全管理 142 ? ISO 27001是國際資訊安全管理系統(tǒng)標(biāo)準(zhǔn)。 Module 19 資訊安全管理 167 3. 資訊安全 ? 保護(hù)資訊的機(jī)密性、完整性及可用性；此外，亦能涉及如鑑別性、可歸責(zé)性、不可否認(rèn)性及可靠度等性質(zhì)。 ? [ISO Guide 73:2023] Module 19 資訊安全管理 182 18. 風(fēng)險(xiǎn)接受 ? 決定接受某風(fēng)險(xiǎn)。 ?是 ?非 資訊安全管理 196 是非題 (7)_題目 風(fēng)險(xiǎn)評(píng)鑑宜定期重覆進(jìn)行，以應(yīng)付環(huán)境的改變。 2023年 3月 下午 11時(shí) 17分 :17March 8, 2023 ? 1行動(dòng)出成果，工作出財(cái)富。 23:17:1723:17:1723:17Wednesday, March 8, 2023 ? 1知人者智，自知者明。 23:17:1723:17:1723:173/8/2023 11:17:17 PM ? 1越是沒有本領(lǐng)的就越加自命不凡。 2023年 3月 8日星期三 下午 11時(shí) 17分 17秒 23:17: ? 1比不了得就不比，得不到的就不要。 ?是 ?非 資訊安全管理 194 是非題 (5)_題目 資訊安全的實(shí)務(wù)中，已經(jīng)產(chǎn)生很多的最佳實(shí)務(wù)，是所有組織導(dǎo)入 ISMS所必頇遵守的。 ? [ISO Guide 73:2023] Module 19 資訊安全管理 180 16. 風(fēng)險(xiǎn)處理 ? 選擇與實(shí)作措施的過程，藉以修正風(fēng)險(xiǎn)。 Module 17 資訊安全管理 157 Module 18：關(guān)鍵成功因素 資訊安全管理 158 Module 18：關(guān)鍵成功因素 ? 能反映營運(yùn)目標(biāo)的資訊安全政策、目標(biāo)及活動(dòng) ? 與組織文化一致之實(shí)作、維護(hù)、監(jiān)控、及改進(jìn)資訊安全的方法與框架 ? 來自所有管理階層的實(shí)際支持和承諾 ? 對(duì)資訊安全要求、風(fēng)險(xiǎn)評(píng)鑑以及風(fēng)險(xiǎn)管理的深入理解 Module 18 資訊安全管理 159 ? 向全體管理人員、受雇人員、及相關(guān)人員，有效推廣資訊安全，以達(dá)到認(rèn)知 ? 向所有管理人員、受雇人員、及相關(guān)人員宣傳資訊安全政策的指引和標(biāo)準(zhǔn) ? 資助資訊安全管理的規(guī)定 Module 18 資訊安全管理 160 ? 提供適切的認(rèn)知、訓(xùn)練及教育 ? 制定有效的資訊安全事故管理過程 ? 實(shí)施用於評(píng)估資訊安全管理的績效及改善的回饋建議之量測系統(tǒng) Module 18 資訊安全管理 161 Module 19：重要名詞說明 資訊安全管理 162 Module 19：重要名詞說明 1. 資產(chǎn)（ Asset） 2. 資訊處理設(shè)施（ Information Processing Facilities） 3. 資訊安全（ Information Security） 4. 資訊安全管理系統(tǒng)（ Information Security Management System, ISMS） 5. 機(jī)密性（ Confidentiality） 6. 完整性（ Integrity） （ Availability） Module 19 資訊安全管理 163 8. 資訊安全事件（ Information Security Event） 9. 資訊安全事故（ Information Security Incident） 10. 風(fēng)險(xiǎn)（ Risk） 11. 威脅（ Threat） 12. 脆弱性（ Vulnerability） 13. 風(fēng)險(xiǎn)分析（ Risk Analysis） 14. 風(fēng)險(xiǎn)評(píng)估（ Risk Evaluation） 15. 風(fēng)險(xiǎn)評(píng)鑑（ Risk Assessment） Module 19 資訊安全管