資安法令宣導及案例 分析 講師:李雋元 Email:ericph0617@gmail.com 日期:98年5月13日 財團法人中國生產力中心專供訓練使用 講師簡介 CISCO CCNA Novell CNA .CNE Microsoft MCP. MCP+I .MCSE MCSA2003 .MCSE2003 .MCSA2003 On Security .MCSE2003 On Security MCTS MCITP MCT2008 CompTIA Security+. Project+ Check Point CCSA. CCSE ISO27001/BS7799 Lead Auditor ISO20000/BS15000 Lead Auditor ITIL Foundation 專案經歷 國防部退除役官兵就業輔導資訊安全課程講師 警政署微軟Windows技術課程講師 中華電信第三代話務系統叢集備援系統導入 93年國防部通訊研究所無線網路802.1X安全技術講師 93年警政署BS7799課程講師 93年警政署資訊安全課程講師 94年苗栗縣警局資訊安全課程講師 94年度境管局資訊安全及BS7799簡介課程講師 94年度境管局內部稽核課程講師 94年度氣象局資訊安全課程講師 95年度國稅局PKI服務管理及建置課程講師 95年度海軍總司令部網路安全防護課程講師 96年度空軍總司令部網路安全防護課程講師 96年度氣象局資訊安全課程講師 課程大綱 前言 最新網路應用與潛在危機 常見的威脅與攻擊案例研討 資安法令與標準 個人資安最佳實踐 前言 數位社會對人類未來生活的影響 數位科技與人類未來生活已逐漸密不可分 電影「網路上身」、「關鍵報告」、 敵」中的電影情節有可能真實上演 開啟潘朵拉盒子(Pandora’s Box) 「全民公 電子資料的特性與資訊安全 電子資料的特性 資訊內容是:磁性物質的磁化狀態及半導體物質 的電子狀態電磁波或光、電訊號 儲存媒體是:磁片或記憶體晶片電纜線、光纖或 大氣層(無線通信) 在處理、儲存及傳輸過程中容易被篡改、 變造 而不留痕跡 電腦及網路科技對生活的改變 由於網路科技的便利使得一般生活需求皆 可以經由網際網路完成, 例 ﹕線上訂位、 電子商務 、網路交友等 潛藏的危機 人際關係的改變 個人隱私及社會安全的危害 網際網路具有快速及大量傳播的能力,當 個人資料輕易洩漏或竊取 例: 個人身分資料 、信用卡 、銀行交易往來 紀錄 外洩等 越依賴網路之便利性則 「水能載舟 、亦能 覆舟」 例 電腦病毒的危害 敏感資料的竄改等 現實世界 v.s. 虛擬資訊世界 現實世界 資訊世界 可以做實體身分確認 缺乏強健身分確認 了解嚇阻犯罪活動是必要的風險及 成本 不了解嚇阻犯罪活動是必要的風險 及成本 犯罪的方法有限 犯罪方法一直在變化 入侵或偷竊很容易被發現 破壞及犯法行為很容易不被發現 安全課題是固定,並以產品為主 安全課題是變動,並且以流程為主 犯罪預防技術可以相等或弱於犯罪 技術 犯罪預防技術必須遠高於犯罪技術 課程大綱 前言 最新網路應用與潛在危機 常見的威脅與攻擊案例研討 資安法令與標準 個人資安最佳實踐 網路新應用 vs 資安新威脅 網站瀏覽,電子商務 電子郵件 P2P檔案分享程式 IM即時通訊工具 網路電話 Tunneling私人隧道 ….Many…. 網頁瀏覽的隱憂 (Web2.0的應用) Web2.0的概念在於以消費 者為主角 即時,互動分享為主,注 重消費者的參與的新網路 商業模式 網路內容變成集體的創作 分享。 提供網路相簿及部落格的 無名小站還有開放共同線 上撰寫的「維基百科」都 是Web2.0的最佳代表 Web2.0技術安全威脅 惡意軟體的途徑 個人資料洩密 Web2.0網站普及,不斷開發出更多具有互動能力的Web應用程 式,為惡意程式開方便之門 網路上透露個人所有秘密,包含你是王建民的頭號粉絲、你喜歡 用網路進行股票交易等,殊不知簡單的交談卻容易洩密個人資料 社交工程的途徑 International Security Partners曾經成功模擬並執行的案例發現, 駭客可以假裝到交友網站結識網友,在瞭解其興趣後取得信任, 比如傳送「最喜歡的棒球選手即將被交易至其他球隊!」的運動 網站報導連結,並暗中發動XSRF(Cross-site Reference Forgery 跨網站參照偽造)攻擊,藉以冒用受害網友的身份驗證資料,轉帳 結清他原來的帳戶餘額。 電子郵件的隱憂 電子郵件的附件功能,成為攻擊的最 佳管道與病毒傳播的平台 病毒、蠕蟲與惡意程式等隱藏在電 子郵件中,這些看似朋友所寄來的 郵件,卻是應用病毒傳播的平台 如果員工開啟一個未經同意的電子 郵件附件檔,或在開啟前沒有掃描 附加文件是否有病毒;則企業就會 很容易遭到病毒攻擊。確保員工不 只是接受病毒的相關教育 開啟未預期或看起來可疑之附件檔 的危險性;而且也必須讓他們知道 執行病毒的後果。安娜‧庫妮可娃 (Anna Kournikova)與情書(I Love You)病毒是攻擊的“成功”例子,當 極具吸引力的主旨激起收件人的好 奇心時,便會使很多人開啟被感染 的電子郵件。 Viruses Attacker Client 對等網際網路技術 (Peer-to-Peer, 簡稱P2P) P2P 除了檔案分享與即時通訊,也 逐漸發展出不同應用, P2P網路的一個重要的目標就是讓 所有的客戶端都能提供資源,包括 頻寬、存儲空間和計算能力。因 此,當有節點加入且對系統請求增 多,整個系統的容量也增大。 P2P 應用潛藏諸多風險,包 括: 洩漏企業內部機密資訊 成為病蟲擴散的管道 下載非法檔案 侵犯著作權法爭議 佔用大量網路頻寬 影響其他系統正常運作 造成員工分心,降低生產力 Skype Skype是支援語音通訊的即時通 訊軟體 採用P2P(點對點技術)的技術與 其他用戶連接,可以進行高清 晰語音聊天 連線雙方網路順暢時,音質可 能超過普通電話。 廣受歡迎原因 低延遲通訊品質 免費(或省錢) 自由穿透防火牆 全球都能通用 傳大檔案 跨平臺使用 群組效應,多方通話 撥打傳統電話 傳遞內容避免被管理 通話加密,在網際網路上進行 傳遞能具高保密性 使用簡單方便 Skype Skype是支援語音通訊的即時通 訊軟體 採用P2P(點對點技術)的技術與 其他用戶連接,可以進行高清 晰語音聊天 連線雙方網路順暢時,音質可 能超過普通電話。 廣受歡迎原因 低延遲通訊品質 免費(或省錢) 自由穿透防火牆 全球都能通用 傳大檔案 跨平臺使用 群組效應,多方通話 撥打傳統電話 傳遞內容避免被管理 通話加密,在網際網路上進行 傳遞能具高保密性 使用簡單方便 Skype的隱憂 使用80Port穿透防火牆 通話加密,無法管理傳遞內容 資料竊取風險大 後門開啟 使用頻寬大,約128kbps IM的安全隱憂 Instant Messenger (IM) AIM (AOL IM) MSN Yahoo Massager ICQ YamQQ 課程大綱 前言 最新網路應用與潛在危機 常見的威脅與攻擊案例研討 資安法令與標準 個人資安最佳實踐 資訊安全的目標 (Information Security ) 機密性(Confidentiality) 資料不得被未經授權之個人、實體或程 序所取得或揭露的特性。 完整性(Integrity)對資產之精確與完整安全保證的特性。 可歸責性(Accountability) 確保實體之行為可唯一追溯到該實體的 特性。 鑑別性(Authenticity) 確保一主體或資源之識別就是其所聲明者的 特性。 鑑別性適用於如使用者、程序、系統與資訊等實體。 不可否認性(Non-repudiation) 對一已發生之行動或事件的證明, 使該行動或事件往後不能被否認的能力。 可用性(Availability)已授權實體在需要時可存取與使用之特性。 可靠性(Reliability)始終如一預期之行為與結果的特性。 隱私權(Privacy)與資訊安全 隱私權 (Privacy) 指個人能控制其“私人資料”的權利,避免被揭露 或未經個人同意而被使用 華爾街日報及美國廣播公司ABC最近民意調查美 國民眾認為喪失個人隱私權是本世紀最大的顧慮, 操過恐怖份子攻擊世界大戰及溫室效應 隱私權需求(缺乏信心) 30% 的美國民眾相信政府能確實的保護醫 療計畫所涉及之個人資料隱私 20% 美國民眾認為醫療機構, 保險單位,政府 機構及雇主曾不當的揭露其個人醫療資訊. 其中50%認為個人有遭受困擾或損害 67% 33% 20% 資安新威脅 根據 SANS 剛公佈的 TOP 20 資安威脅報 告書中指出:駭客的主要攻擊手法與目標 漏洞入侵與零時差攻擊 網路釣魚 檔案分享功能 Web AP 的滲透 網路設備的癱瘓 USB裝置為惡意程式擴散的主要途徑 P2P/IM 資安新威脅 2008年間,網頁瀏覽仍然是新病毒感染的主要來源,而攻擊者則愈來 愈仰賴客製化的惡意程式碼工具組,來開發與發送威脅。所偵測到的 威脅當中,有90%意圖竊取機密資料;其中具有鍵盤側錄能力的威脅 占了76%,該功能可用以竊取如網路銀行帳戶憑證等資料,組織嚴密 的地下經濟,專門販售遭竊的機密資訊,特別是信用卡與銀行帳戶憑 證。 報告也發現,網頁式攻擊來自世界各國,其中以美國(38%)最多, 其次為中國(13%)。在2008年,賽門鐵克偵測到55,389個網路釣魚 網站,較前一年的 33,428個增加了66%。以金融服務做為幌子的網 路釣魚占76%。 垃圾郵件的總數量持續成長,在過去一年當中,整體成長192%,從 2007年的1,196億筆訊息,成長到2008年的3,496億筆。將近90%的 垃圾電子郵件,是由殭屍網路進行散布。 Word 瑕疵遭零時差攻擊( Zero-day Word flaw used in attack) 微軟Word出現“Zero Day”零時差攻擊漏洞事件,只要使用 者開啟某一惡意Word檔案,就會被植入後門程式,駭客 藉此即可遠端控制使用者的電腦。利用安全漏洞發動零時 差攻擊,並藉機竊取資訊的情形並非首次發生,在此之前 最近的一次是去年底的MS06-001(WMF攻擊),這個弱點 至今仍被廣泛地大肆利用,如駭客利用Bot傀儡程式用以 偷竊使用者的網路銀行資料。 目前為數眾多的 TROJ_NASCENE特洛依木馬程式的變 種也利用該漏洞,危害不少 Windows 使用者。而其得逞 的關鍵,往往是使用者擋不住的好奇心誘惑,點擊附件或 是連結。 PayEasy受「駭」 5400會員個 資外洩 [記者王珮華/台北報導]國內第三大購物網站PayEasy昨呼籲使用 者盡快更換密碼。 該網站表示,上週日晚間遭來自中國的不明人士,以身分證字號輸入 會員帳號測試密碼達三萬九千多次,其中有五千四百筆資料帳號密碼 正確被登入,隔天有十三位會員反應接到詐騙集團電話,PayEasy認 為該事件非單一個案,極可能延燒到國內其他網站。 PayEasy指出,今天上午十點起將開放會員查詢,其帳號密碼是否在 此事件中被詐騙集團掌握。 PayEasy受「駭」 5400會員個 資外洩 [記者王珮華/台北報導]國內第三大購物網站PayEasy昨呼籲使用 者盡快更換密碼。 該網站表示,上週日晚間遭來自中國的不明人士,以身分證字號輸入 會員帳號測試密碼達三萬九千多次,其中有五千四百筆資料帳號密碼 正確被登入,隔天有十三位會員反應接到詐騙集團電話,PayEasy認 為該事件非單一個案,極可能延燒到國內其他網站。 PayEasy指出,今天上午十點起將開放會員查詢,其帳號密碼是否在 此事件中被詐騙集團掌握。 無名小站凸槌 網友私密照曝光 擁有近兩百五十萬名會員,全台最大的相簿部落 格「無名小站」,14日凌晨出現安全性危機,所 有原本上鎖的相簿都可自由點閱,網友相簿個人 隱私全都露 據了解,無名小站為避免類似問題發生,在會員 註冊時,「申請同意書」中已載明「您使用本服 務之風險由您個人負擔」,且「不保證本服務將 不受干擾、及時提供、安全可靠或不會出錯」, 會員隱私權益幾乎無法受到有效保障 無名小站凸槌 網友私密照曝光 擁有近兩百五十萬名會員,全台最大的相簿部落 格「無名小站」,14日凌晨出現安全性危機,所 有原本上鎖的相簿都可自由點閱,網友相簿個人 隱私全都露 據了解,無名小站為避免類似問題發生,在會員 註冊時,「申請同意書」中已載明「您使用本服 務之風險由您個人負擔」,且「不保證本服務將 不受干擾、及時提供、安全可靠或不會出錯」, 會員隱私權益幾乎無法受到有效保障 網頁惡意內容攻擊 Google最新統計,目前全台有九百八十四個網站 被植入惡意程式碼,其中不乏知名的台灣奧迪汽 車、ESPNSTAR體育台和眾多學術機構或商業網 站。 這些網站含有「隱匿強迫下載」惡意程式,網友看文 章、欣賞照片時,不知不覺被安裝木馬、後門程式、 間諜軟體或其他病毒軟體,電腦無故當機只是小 case,嚴重時會竊取電腦中個人資料,曾在網路銀行 輸入的帳號密碼,也可能被側錄。 網頁隱藏式惡意連結 又稱之為「網頁掛馬」 駭客入侵知名的網站 不更改畫面下,修改網站內容,加入惡意程式 碼或連結 使用者瀏覽該網站時的被植入惡意程式進而竊 取個人資料或當成跳板主機 例:hxxp://ww2.spooots.com/index.html P2P軟體檔案分享使用洩密案 記者馬培治/台北報導 2007/04/13 20:51 警局傳出筆錄 因P2P軟體使用不當而外洩的事件,凸顯了P2P軟體在方 便之外的安全威脅問題。 據媒體報導,國內若干警分局 因員警違反資安規範,私下在警局公用電腦上安裝 「Foxy」等點對點(P2P)檔案分享軟體,意外將案情筆錄 等機密資料一併「分享」出去,使得相同軟體使用者可以 透過搜尋檔名的方式,找到並下載筆錄等資料,造成資料 外洩。 「從個人履歷、企業資料,乃至此次發生的警方筆錄,都 已在輕忽中外洩」。 Conficker蠕蟲再現新變種 文/陳曉莉 (編譯) 2009-03-10 Win32/Conficker.C 會自動移除使用者電腦中與防毒或安全分析工具字串有關的處理程序。 微軟於去年10月釋出MS08-067緊急更新,修補視窗作業系統中的Server service漏洞,去年11月, 出現首隻針對該漏洞的蠕蟲Win32/Conficker.A,今年1月新的變種Win32/Conficker.B出爐,上周又 發現最新變種Win32/Conficker.C已現身,該變種會移除電腦中的防毒程式。 根據估計,全球曾有超過1000萬台電腦感染Conficker蠕蟲,堪稱是近年來最嚴重的災情。 Win32/Conficker.A蠕蟲大多散布在企業內部,隨機攻擊網路上的電腦,當其中一部電腦被攻擊,該 電腦即會下載蠕蟲的複本,並偽裝為JPG檔案以及儲存在系統內的DLL檔案匣中。此外,該蠕蟲自 動修補了系統記憶體中的API漏洞,以確定這台電腦不會被其他駭客掌控。 Win32/Conficker.B則會自行破解使用簡單密碼的網路分享,然後將惡意程式複製到網路分享資料夾 之後,再感染其他使用者。同時Win32/Conficker.B每天會自動產生250個假的網域名稱,以降低惡 意網域名稱及伺服器被查獲的機率。 Win32/Conficker.C除了將每天自動產生的偽造網域名稱增加到5萬個以外,並會自動移除使用者電 腦中與防毒或安全分析工具字串有關的處理程序,諸如wireshark、unlocker、tcpview、sysclean 等。 Conficker蠕蟲作者應該是想延長該蠕蟲存於電腦中的壽命,避免該蠕蟲被防毒軟體偵測到,而非企 圖擴大感染。有鑑於Conficker蠕蟲所釀成的災情,微軟在今年2月宣布懸賞25萬美元找出Conficker 蠕蟲的作者,並採取行動透過與安全產業與學術界的結盟瓦解Conficker蠕蟲的散布。(編譯/陳曉 莉) MSN聖誕、新年病毒走混合式攻擊 文/趙郁竹 2007-12-28 雖然以往在耶誕期間出現在MSN的病毒本來就比較多,今年MSN病毒出現下載程式 (downloader)的比例較以往多出許多。 混合式攻擊(Malware Tandem)從去年開始成為網路攻擊的主流後,今年又以聖誕 節、新年為主題開始威脅MSN Messenger。 從12/25聖誕期間開始,全國最大的電子佈告欄PTT實業坊就有許多網友在防毒版 (AntiVirus)表示,受到以聖誕節為主題的Chirstmas-2007病毒攻擊。雖然以往在耶 誕期間出現在MSN的病毒本來就比較多,今年MSN病毒出現下載程式(downloader) 的比例較以往多出許多。 downloader一般出現在網路攻擊中,當電腦中了這種類型的惡意軟體後,就會在網路 上尋找其他惡意程式元件,並自動下載。今年的聖誕節MSN病毒也會讓使用者下載 downloader,進行混合式攻擊。雖然這樣的手法並非第一次出現在IM病毒,不過今年 比例特別高。 以往的MSN病毒通常較單純,但如果下載到downloader,可能會造成系統、網路的損 害。另外,MSN也混合垃圾郵件中轉址的攻擊手法,例如傳送一段網頁連結(url), 不過顯示的卻是Google的網址,收到的人看到Google網址較容易點進去,卻被轉到惡 意程式網頁。 安全廠商另外也發現一個趨勢,就是垃圾郵件和MSN病毒攻擊開始有高度關聯,也就 是說在垃圾郵件上發現的攻擊趨勢,MSN也會出現很多。 Skype 瑕疵洩漏使用者資料 該漏洞允許駭客建立一個惡意超連結,Skype用 戶點擊該鏈結後,其電腦中的文件就會被發送到 另一名Skype用戶的電腦中。 這種攻擊手法是利用使用者傳送檔案的功能來散 播病毒, 所以Skype user特別要注意不要隨意接受 來歷不明的檔案或點選超連結。數年前在其他安 全漏洞攻擊事件中即已見過類似的手法,由於IM 程式現在也能被當作迷你瀏覽器使用,因此在面 對新型威脅時,切莫忘記昔日的教訓。 USB裝置為惡意程式擴散的主要 途徑 亞洲地區特別盛行的USB病毒 其實也是竊取資料的跳板 USB病毒其實是利用作業系統的儲存裝置自動執行程式, 在USB隨身碟等儲存媒體插入電腦時,自動執行病毒碼造 成感染。現在的病毒大部分都是偷資料,為了要偷資料, 就要儘量不讓你知道已經感染了病毒。 如果今天這個病毒因為造成你的困擾,讓你知道電腦已經 被病毒感染,我們甚至可以說它是一個失敗的病毒,因為 並沒有達到它偷資料的目標。USB病毒的關鍵功能其實是 Downloader(自動下載),感染電腦時就會主動的默默下載 後門程式,這才是他主要的任務。 網路釣魚網站竊取資料 網路釣魚、駭客入侵等手法,有計畫的竊取臺灣民眾之 個人基本資料、網路銀行帳號密碼及憑證、航空公司會 員資料及帳號密碼等資料,並盜轉民眾網路銀行帳戶之 存款,兩岸犯罪集團聯手合作,嚴重威脅臺灣的網路安 全及金融交易機制,駭客集團為入侵竊取資料,架設假 網站,至少已架設十家假網路銀行、二家航空公司、四 家電腦科技公司、四家旅行社、一家人力銀行及數個理 財網等50個以上的假網站,造成多家網路銀行與航空公 司之客戶受害… 網路釣魚(Phishing) 網路釣魚一詞最早出現於1996年,起因於駭客始祖們利用電話線 犯案,因而結合Fishing與Phone創造Phishing一詞。 Phishing與英文「fishing」發音相同,只是將英文字母「F」改為 「PH」,兩者意義也差不多。Fishing是釣魚,Phishing便有一個 很好的中文直譯典故:「姜太公釣魚,願者上鉤」。 網路釣魚的誘餌千百種,包括資料過期、無效需要更新,或者是 基於安全理由進行身分驗證,騙取個人帳號與密碼。這類網路騙 局對於使用者而言,很難判別真偽,在知名品牌效益與詐騙手法 越來越細膩,詐騙者所捏造的電子郵件與網站幾乎與官方公司一 模一樣,非法交易所造成的損失非同小可。 若以真實世界釣魚形容,釣魚者就是「網路詐騙者」;大海就是 「網路」;釣餌包括「急迫警告口吻的電子郵件」、「仿冒的網 站」、「木馬程式」、「間諜軟體」;至於帶上鉤的魚,就是使 用者的「信用卡號、網路銀行帳號密碼等敏感資訊」。 網路釣魚-Citibank - 'Citibank Alert Service' 網路釣魚(Phishing) 案例 2007/7/ 台灣最多人使用的Yahoo!奇摩拍賣網站,也出現了盜取帳號密碼 專用的「釣魚網站」,網站做得幾可亂真,網路使用者一不小心 沒注意看的話,很可能Yahoo!帳號、密碼就被騙走了。 這個詐騙網站做得還真像,不但網頁、活動、廣告BANNER都有 模有樣的,而且連網站網址都只差「.」跟「-」的分別,要是平時 只顧著看特價商品,沒注意到網址不太一樣,一個不小心帳號密 碼就被偷走了! 正確網址:http://tw.bid.yahoo.com/ 詐騙網址:hxxp://tw.bids-yahoo.com/ 「釣魚網站」+「關鍵字廣告」手法 SANS預測網路安全威脅~網路釣魚 (Phishing) 混合釣魚、VOIP及事件釣魚的社交工程攻擊將會增加 混合各種基本手法的社交工程攻擊將會增加,整個釣魚攻擊行動 將會先竊取一些基本的個人資訊,在利用這些資訊搭配如 SalesForce、Monster等特別服務網站為目標予以個別攻擊。稅金 問題及美國總統大選將成為今年廣泛被使用的釣魚議題之一,駭 客可能會利用注有煽動性標題的資訊來誘騙使用者打開惡意郵 件。例如去年10月份,Salesforce.com的使用者收到了假冒聯邦 貿易委員會(FTC)的郵件,開啟後使用者電腦就被安裝了惡意程 式。 另外一種混和釣魚的方式就是結合email及VoIP,攻擊者發送偽裝 成信用卡公司的郵件,要求收件者透過免費專線對他們的帳戶重 新認證,而撥打信中的號碼會轉接到其他國家的VoIP語音系統, 並利用語音引導客戶輸入他們的卡號等資料。 Gray ware (灰色軟體) (海峽對岸有時稱之為流氓軟件) 介於「好軟體」與「壞病毒」之間的灰色 地帶 大部份的Gray ware 都會在未經使用者許可 的情況下自行安裝、追蹤,或是記錄使用 者的相關訊息並對外傳送(當然一樣不會 告訴使用者)。 Gray ware(灰色軟體)的分類 廣告軟體 (Adware) Adware 通常都是夾帶在使用者下載的免費軟體裡,在這個免費軟體執行的時間當中,會顯示彈出式廣 告。 惡意撥號程式(Dialers) 用來控制使用者的數據機,會被駭客利用來撥打長途電話或是付費電話謀利。 惡意遊戲(Gaming) 一些玩笑或是令人煩厭的小遊戲。玩笑軟體(Joke) 通常會更動一些不影響系統的應用程式設定。 點對點檔案傳輸軟體(Peer-to-peer, P2P) 進行檔案交換的軟體。雖然 P2P 本身是合法商業用途的通訊協定,但灰色軟體應用程式卻將它做為非法音 樂、電影或其他檔案的交換管道。 間諜軟體(Spyware) 通常夾帶於免費軟體中。間諜軟體會追蹤並分析使用者的活動,像是瀏覽習慣等。這些訊息都會送回到駭 客指定的網站進行記錄與分析。 鍵盤側錄軟體(Key Logger) 被安裝在使用者電腦中,會記錄使用者鍵盤上所有的按鍵動作,藉此得知使用者的密碼、信用卡號碼、電 子郵件、線上交談、即時訊息及其他相關訊息等。 綁架軟體(Hijacker) 會操縱瀏覽器或其他系統設定的程式,它能更改使用者「我的最愛」或書籤所記錄的網站位址、首頁設 定,或是功能列選單上的選項等。部份綁架軟體甚至可以更改 DNS 設定,不知不覺地將使用者打算瀏覽 的網址「繞」到指定的惡意網站去。 Gray ware的種類 外掛程式(Plug-ins) 現有應用程式的外加程式或功能,會試著控制、記錄使用者瀏覽偏好及其他訊 息,並送到指定的目的地。 惡意網管軟體(Network Management) 惡意性質的網路應用程式,它們會竄改網路設定、瓦解網路安全,或是引起其他 型態的網路破壞活動。 遠端遙控管理軟體(Remote Administration Tools) 允許外部的使用者存取、更 動,或是監控網路上的電腦。 瀏覽器協助物件(Browser Helper Object, BHO) 偽裝成應用程式中的 DLL 檔,讓程式可控制 Internet Explorer。並非所有的 BHO 都是惡意程式,但是它們都具有追蹤使用者瀏覽習慣與蒐集資訊的潛在能力。 工具列(Toolbar) 安裝之後會更改現有的工具列功能,這些程式多半用來監控使用者的瀏覽習慣、 將資訊回送至駭客處,或是更改主機的功能。 下載(Download) 會在使用者未發覺的情形下,自動允許其他程式進行下載或安裝。 Gray ware的案例 美國國家電腦安全聯盟(NCSA)的調查發 現:八成家庭電腦感染間諜軟體,但大多 不知情。更令人驚訝的是,他們還在其中 一個受訪者運行遲緩的電腦上,發現1000 多個間諜軟體。 課程大綱 前言 最新網路應用與潛在危機 常見的威脅與攻擊案例研討 資安法令與標準 個人資安最佳實踐 為什麼需要資訊安全--法律上的要求 電子簽章法 智慧財產權保障 電腦處理個人資料保護法 與廠商的合約要求 刑法電腦犯罪章則 行政院及所屬各機關資訊安全管理要點 醫院電腦處理個人資料登記管理辦法 保險業個人資料檔案安全維護計畫標準 科技智財權保護有關之刑法增修條文(有關電腦犯罪部分) 為什麼需要資訊安全--法律上的要求 台灣商業軟體聯盟 (BSA) 對軟體侵權的介紹 使用者侵權 通常發生於企業或員工間重製未經授權的軟體,又可分為以下幾 種形式 ‧將一份獲得授權的軟體安裝在多部電腦當中 ‧將一份盜版軟體(如大補帖)安裝在多部電腦當中 ‧員工將自行取得的盜版軟體,帶到公司進行安裝或散佈 ‧員工將公司內部的軟體帶回家中進行拷貝或散佈 ‧購買升級版為軟體進行升級,卻並未擁有該軟體的合法舊版本 授權 ‧不具有學術教育機構的資格,卻購買教育版軟體使用 為什麼需要資訊安全--法律上的要求 台灣商業軟體聯盟 (BSA) 對軟體侵權 的介紹 硬碟非法預裝軟體 某些電腦經銷商將未經授權的軟體灌裝到他 們出售的電腦,以增加銷售誘因。購買新的 硬體設備時,務必於驗收時確認所有硬體一 同購買的原版軟體取得發票並附有授權書、 磁片或光碟、以及相關文件。 P2P法律爭議~網路下載音樂 根據台北市消費者電子商務協 會「網路下載音樂大調查」結 果顯示,有85%的消費者曾經 使用過網路下載音樂的服務、 78%的消費者主要使用MP3或 電腦聽音。網路下載音樂是無 法改變的主流。 然而,唱片業者似乎還沒有這 樣的心理準備。國內音樂交換 的實際判決出來,可說是為數 位音樂潮流與著作權衝突解決 立了一個里程碑 一、P2P平台技術本身具中立性, 使用該技術並不違法; 二、個別使用者透過P2P軟體所進 行的檔案傳輸行為若逾合理使用範 圍 仍屬侵權; 三、則是針對平台業者經營內容的 侵權認定與否,將以其是否知悉其 上使用者之非法使用情事做為判定 標準,若不知情,則侵權責任屬使 用者個人應負之 責任,若遭判定為 知情者,則亦應負侵權責任。 為什麼需要資訊安全--法律上的要求 電腦處理個人資料保護法之目的 為規範電腦或自動化機器處理個人資料,以保障 人民權益,並促進個人資料之合理利用。(第一 條) 電腦處理個人資料保護法之要點 參考限制蒐集、資料內容正確、目的明確化、限制 利用、安全、保護、公開、個人參加、責任等各國 通採之原則訂定本法。 明訂個人資料指自然人之姓名、出生年月日、身分 證統一編號、特徵、家庭 、教育、職業、健康、病 歷、財務情況、社會活動及其他足資識別該個人之 資料。 公務機關對個人資訊之利用,應於法令職掌必要範 圍內為之,並與蒐集之特定目的相符;非公務機關 對個人資料之蒐集或電腦處理,非有特定目的且經 當事人書面同意或對當事人權益無害者,不得為 之。(第六、八條) 電腦處理個人資料保護法修正案 近年來詐騙案件層出不窮,手法亦不斷翻新,不 僅造成人民財產的損失,擾亂人民正常之作息, 甚且威脅到人民生命之安全。在飽受不法詐騙集 團的迫害後,一般人在驚恐之外,不禁會思索, 為何歹徒對其家庭狀況能瞭若指掌,而質疑係公 務機關將個人資料洩漏所致,引起政府對「電腦 處理個人資料保護法」修訂之重視。 個人資料保護法不足之處及修訂重點 電腦處理個人資料保護法修正節錄 擴大保護客體: 為了落實對個人資料之保護,將保護客體予以擴大,不再以經電腦處理個人之資 料為限。 普遍適用主體: 刪除非公務機關行業之限制,使任何自然人及法人或其他團體,除為單純個人或 家庭活動之目的而蒐集、處理或利用個人資料外,皆須適用本法。 公務機關及非公務機關,在中華民國領域外對中華民國人民蒐集、處理或利用個 人資料者,亦有本法之適用。 調整責任內涵: 對於違法蒐集、處理或利用個人資料者,區別其是否具有「意圖營利」之主觀要 件,科予程度不等之刑事責任。 為提昇法益保護之周延程度,中華民國人民在我國領域外觸犯本法之罪者,亦適 用本法。 提高對非公務機關所課之罰緩額度;非公務機關之代表人、管理人或其他有代表 權人,除能證明已盡防止義務者外,並應課以同一額度之罰緩,以加強其監督之 責任。 為什麼需要資訊安全--法律上的要求 刑法電腦犯罪專章 第三百五十八條 (入侵電腦或其相關設備罪) 無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦 系統之漏洞,而入侵他人之電腦或其相關設備者,處三年以下 有期徒刑、拘役或科或併科十萬元以下罰金。 第三百五十九條 (破壞電磁紀錄罪) 無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄,致 生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併 科二十萬元以下罰金。 第三百六十條 (干擾電腦或其相關設備罪) 無故以電腦程式或其他電磁方式干擾他人電腦或其相關設備, 致生損害於公眾或他人者,處三年以下有期徒刑、拘役或科或 併科十萬元以下罰金。 為什麼需要資訊安全--法律上的要求 刑法電腦犯罪專章(續) 第三百六十一條 (加重其刑) 對於公務機關之電腦或其相關設備犯前三條之罪者,加重其刑 至二分之一。 第三百六十二條 (製作犯罪電腦程式罪) 製作專供犯本章之罪之電腦程式,而供自己或他人犯本章之 罪,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或 科或併科二十萬元以下罰金。 第三百六十三條 (告訴乃論) 第三百五十八條至第三百六十條之罪,須告訴乃論。 為什麼需要資訊安全--法律上的要求 與廠商的合約要求 對象:系統開發人員、環境清潔人員、保全人員、工讀生、短 期約聘人員 服務水準協議(Service Level Agreement;SLA) 保密協議(Non-disclosure Agreement)(個人、組織) 保護各項資訊資產的程序 檢查資產是否遭受破壞 合約終止或在有效期間歸還或銷毀資訊 對複製和揭露資訊的限制 為什麼需要資訊安全--法律上的要求 行政院及所屬各機關資訊安全管理要點 五、各機關應就下列事項,訂定資訊安全計畫實施,並定 期評估實施成效: (一)資訊安全政策訂定。 (二)資訊安全權責分工。 (三)人員管理及資訊安全教育訓練。 (四)電腦系統安全管理。 (五)網路安全管理。 (六)系統存取控制管理。 (七)系統發展及維護安全管理。 (八)資訊資產安全管理。 (九)實體及環境安全管理。 (十)業務永續運作計畫管理。 (十一)其他資訊安全管理事項。 課程大綱 前言 最新網路應用與潛在危機 常見的威脅與攻擊案例研討 資安法令與標準 個人資安最佳實踐 資訊安全管理的三要素 Technology People Process 資訊安全問題無法完全根治 最佳平衡點何在? 個人電腦端應有的安全防護 修正程式管理 個人防火牆 防毒軟體 反間諜程式軟體 個人資訊安全實踐 避免下載來歷不明的檔案與安裝程式。 維持防毒軟體的病毒定義檔為最新狀態 安裝用戶端防火牆保護系統 來歷不明電子郵件過濾 避免不明來歷的檔案與安裝程式 Flash Game Java Game 免費軟體 廣告軟體 共享軟體 個人資訊安全實踐 經常性的維護系統安全-Windows Update 登入本機的密碼強度與複雜度 盡量避免網芳分享 避免瀏覽不熟悉的網頁 收信前確認病毒定義檔為最新狀態 收件匣避免預覽啟動 安裝垃圾信件過濾器 禁止儲存密碼於瀏覽器 網路釣魚(Phishing)的防範 感覺網站有點怪怪的 注意觀察登入程序、使用者身份認證程序,或是顯示出來的訊息,是否和以 往不同? 要求使用者提供過多的個人訊息 網路釣魚(Phishing)網站通常都會要求使用者提供額外的身份辨識或是個人 私密資料,這些資料大部份之前就已提供給銀行做為對照之用。 在瀏覽器上看不到 SSL 加密鎖的標識 合法的網站,在要求使用者提供機密資料時,通常都會對該程序進行 SSL資 料加密的動作。請使用者注意瀏覽器下方是否出現「加密鎖」的圖示,並可 在該圖示上雙按滑鼠左鍵,檢查該項SSL證明是否真實無誤。 網址列未出現表示安全網路連線的https字樣 當使用者進入安全的網路連線時,網址列應該是以https//開頭(多個s字 母),而非原本的http://。而Pharming 網站一般都不具備 SSL 安全網路連線 的能力,也就是說,既使在要求使用者提供機密資料的網頁上,其網址起始 字串仍然是普通的 http://。 瀏覽器會出現SSL 認證有問題的警示視窗 如果駭客對具有 SSL 認證功能的網站進行詐騙時,使用者的瀏覽器會顯示安 全認識有問題的警示訊息。建議使用者最好不要忽略這些警告,把握此機會 檢查認證,注意其是否為惡意的詐騙網站。 建立安全認知(Awareness) 使你的企業已經有安全政策,但工作尚未完成。 政策必須要與所有人溝通且讓每個人都能瞭解。 發送印刷品禮物(鉛筆、滑鼠墊等等),並且在辦公室的 牆上張貼海報與標誌,以推廣您的安全認知訊息。 要求所有新員工約略的瞭解安全的情況 提供他們小提示以決定什麼資訊(電腦與紙張)是機密的且 如何保護這些資訊。 協助他們真正的認識企業所擁有之資訊的真正價值。 讓他們知道社交工程的風險。 鼓勵目前的員工參加安全進修訓練。 Reminder ! Information Protection is … EVERYONE’S Responsibility • 謝謝您的參與 ! Turn Knowledge Into Valuable Services … 資訊安全管理系統建 置 講師:李雋元 Email:ericph0617@gmail.com 日期:98年5月13日 財團法人中國生產力中心專供訓練用 安全性之基礎 資訊的定義 � � � � Information can exist in many forms. It can be printed or written on paper, stored electronically, transmitted by post or using electronic means, shown on films, or spoken in conversation. “資訊可以許多形式存在。可以書寫或列印於紙上,儲存在電子儲存 媒體上,以郵寄或電子儲存媒體傳輸,顯示於影片上或在對話中說 出。 Whatever form the information takes, or means by which it is shared or stored, it should always be appropriately protected.’ 不管資訊的形式是什麼,或者共用或儲存的方式是什麼,都應該受到 適當的保護。 資訊安全(Information Security ) � 資訊安全(Information Security) 保護資訊之機密性、完整性與可用 性;得增加諸如鑑別性、可歸責性、不可否認性與可靠性。 � � � � 機密性(Confidentiality) 資料不得被未經授權之個人、實體或程序所取得 或揭露的特性。 完整性(Integrity)對資產之精確與完整安全保證的特性。 � (i)可歸責性(Accountability) 確保實體之行為可唯一追溯到該實體的特 性。 � (ii)鑑別性(Authenticity) 確保一主體或資源之識別就是其所聲明者的 特性。 鑑別性適用於如使用者、程序、系統與資訊等實體。 � (iii)不可否認性(Non-repudiation) 對一已發生之行動或事件的證明, 使該行動或事件往後不能被否認的能力。 可用性(Availability)已授權實體在需要時可存取與使用之特性。 可靠性(Reliability)始終如一預期之行為與結果的特性。 完整的資安防護體系 組織 資安管理制度 ISO27001 �COBIT �ITIL.ISO20000 � 系統安全 作業系統 �網 路 � 應用系統 � 實體安全 系統 � 產品.設備 安全產品 軟體 AntiVirus � 硬體 IPS、Virus Wall � 資訊的威脅來源 超過50%的資訊安全 威脅來自人為操作 的錯誤! 軟體錯誤 硬體事故 3% 11% 電腦病毒 24% 其它 5% 人為意外 57% 資訊安全難題 安全 你必須從三者中取得平衡 可用性 成本 安全管理 � 管理控制(administrative controls) � � 技術、作業控制(technical controls) � � 身分驗證、存取控制、密碼 學… … 實體控制(physical controls) � � 政策、標準、指導原則、作業 程序… … 環境控制、門禁管制、設備維 護… … 人員安全(Personal Security) 技 術 實 體 安 全 安 全 管 理 人 員 安 全 安 全 資訊安全與風險 � 資訊安全基於風險,沒有絕對的安全 資訊安全的目標 資安事件的預防(Preventive) � 資安事件的偵測(Detective) � 資安事件的回應(Corrective) � 安全控制應該建立於預防(Preventive) � 資訊安全的漏洞? � � 最傷腦筋的,已經不是技術性的問題 一旦有一個使用者違反規定導致了資訊安全的漏 洞,資訊安全人員所有的辛苦都是枉然 � 防毒軟體?應該有吧,要更新什麼修補程式?你們資訊 單位老是弄一些怪怪的名詞,我們user那知道那麼多 � 我上個星期才買的最新款筆記型電腦,又可以無線上 網,又可以接隨身碟,我就把舊電腦的網路線拔下 來,插在新電腦上,好不容易可以接上公司網路 資訊的威脅來源 駭客 人為破 壞的 威脅鑽 漏洞 不可靠系統 之威脅 ‧硬體故障 ‧軟體錯失 ‧人員疏失 $$$ $$$人 未授權行為 Unauthorized Access 硬 體 資 料 軟 體 $$$ 網 路 災 害 $$$ Viruses 病 毒 疏 失 資訊安全管理系統 (Information Security Management System) � � � � 資訊安全是一個管理過程而不是技術過程 是運用系統方法對組織敏感資訊進行管理,涉及 到人、程序和資訊技術(IT)系統。 資訊安全不是用終端防火牆或找一個24小時提供 資訊安全服務的公司就可以達到。 它需要全面的綜合管理。資訊安全管理系統的導 入,可以協調各方面的資訊管理,使您的管理更 為有效 資訊安全管理的三要素 Technology People Process 資訊安全的實施— 美國模式 資訊安全的實施— 加拿大模式 資訊安全的實施 � 無論美國或加拿大模 式,大致上都包含了 五階段 風險 評估 稽核 � 風險評估(或風險管理 分析) � 制定防範政策 � 依政策進行系統維護與 補強 � 人員教育訓練 � 稽核 資通安全 教育 訓練 防範 政策 系統 維護 資訊安全的實施-稽核 國際與國內資訊安全標準與法令 ISO27001 / ISO27002 英國國家標準協會,資訊安全管理機制 http://www.bsi.org.uk/ COBIT 國際電腦稽核協會,資訊技術控制架構, http://www. isaca.org/ NIST 美國國家標準與技術協會, http://csrc.nist.gov/nistpubs/800-14.pdf BIS Basel II 國際清算銀行/新巴塞爾資本管理協定 New Basel Capital Accord 我國政府規範 ITIL/ISO20000 Electronic Banking Control 『行政院所屬各機關資訊安全管理實施基準 /要點』『財政部暨所屬機 關資訊安全管理基準』『金融機構辦理電子銀行業務安全控管作業基準』 英國政府商務部 ( Office of Government Commerce) 在 1989 年定的一套 IT 管理方案 美國聯邦存款保險公司電子銀行控制架構評估— 稽核規範 發行ISO 27001:2005 2005-10-15 2005 ISMS演進歷史 改版ISO 17799:2005 2005-6-15 OECD指導方針修訂 2002 2000 9月正式公佈BS 7799-2: 2002 12月正式成為 ISO 17799標準 2000.12.1 提交ISO組織討論(ISO DIS 17799) 挪威成立7799 BD 專案(2001年正式發行) 1999 瑞典標準 SS 62 77 99 Part 1 & 2 發行 新版英國標準 BS 7799 Part 1 & 2發行 1998 1995 1993 1990 瑞典成立LIS 專案 英國公佈BS 7799 第二部份 (Part 2) 英國公佈BS 7799 第一部份 (Part 1) 率先由英國貿易工業部進行專案 世界經濟開發組織(OECD);資訊系統安全指導方針 (1992/11/26) 紅皮書:可信任的網路描述指南 ; 橘皮書 : 可信任的設施管理指南 ISO27001資訊安全控制領域 資訊安全目標 : 機密性, 完整性, 可用性 1. 安全政策 2. 組織資訊安全 7. 存取控制 3. 資產管理 11. 6. 通訊與作業管理 4. 人力資源安全 8. 資訊系統取得、 開發及維護 5. 實體與環境安全 遵循 性 9. 資訊安全事故管理 10. 營運持續管理 資訊安全管理循環 定義 環境及資產 監視及稽核 資訊安全風險分析 政策, 標準, 指導方針 安全行政管理 安全設計及建置 資訊安全管理循環與執行步驟 � � � � � � � 確定範圍 資訊資產鑑別及價值確認 資訊資產風險評估 擬定資訊政策及資訊安全制度 控制目標及控制程序鑑定 落實執行資訊安全管理系統 定期稽核及持續性改善 ISMS管理流程 風險分析 規劃及建置 風險評鑑 衡量及稽核 企業內部運作及外部影響 資訊安全政策 PDCA model 資訊安全管理系統- Plan � � � � � � � � 訂定適用範圍 定義ISMS管理系統政策 建立系統化的風險評鑑方法 鑑別各項風險 評鑑各項風險 鑑別並評估風險處理之選項及方法 對各項風險選擇控制目標及控制程序 擬定適用性聲明書(SOA) 資訊安全管理系統- Do � � � � � � � � 系統化陳述風險處理計畫 實施風險處理計畫 實施控制措施符合管制目標 實施訓練及認知計畫 作業管理 資源管理 實施安全事件回應處理作業程序 其他控制措施 資訊安全管理系統- Check 監控程序及其他控制措施 � 定期審查有效性 � 風險監控-殘餘風險與可接受風險等級 � ISMS 稽核 � 紀錄影響行動與事件 � 資訊安全管理系統- Act � 維持及改善資訊安全管理系統 � 執行改善活動 � 矯正及預防措施, � 組織本身知安全經驗 � 汲取其他組織或 � 利害相關團體對各項措施進行溝通 � 確保各項措施達到預期目標 ISMS範圍定義 � 組織必須訂定範圍 � 符合ISO27001條款4.2.1a中之要求 � 清楚定義 � 提供給使用者(含公司內部與外部)的活動 � 提供給使用者(含公司內部與外部)的功能 � 提供給使用者(含公司內部與外部)的服務內容 ISMS範圍定義 � 建置範圍之辨識與確認 � 確認ISMS建置時可能影響的範圍 � 避免因未確認範圍而導致專案無限擴大 � 避免無法判斷資訊資產及風險等 � 避免增加專案執行之風險 � 為使ISMS建置專案能順利推展 資產 � � 組織資源、程序、產品、 資訊架構等有形或無形項 目 分類 � 實體資訊設備 資訊類資產 � � 軟體資產 � � � 電子形式存在資訊資產 文件資產 � 以書面形式存在的資訊 � 作業系統及應用系統等組 織營運使用到的軟體資產 人員 實體資產 � � � 管理及使用資訊資產的相 關人員 服務 � 網路服務、電力、機房空 調等維續營運環境運作的 其它資產 資產鑑別及價值確認 � 資產鑑別及價值確認 � 有形的價值 � 購買成本,建置成本,維護成本,復原成本,停機時間損 失… … . � 無形的價值 � � 商譽損失,信用損失… … . 資訊分類 � 以下有幾個很好的原因來解釋為何要分類資訊。對於 組織來說,不是所有的資訊都有同等的價值。有一些 資訊 � 例如商業機祕、公式和是新的產品資訊等有價值的資 訊外流時,將會造成企業體在市場中很嚴重的問題, 例如造成大眾困窘或造成不信任。 資訊分類的益處 顯示一個組織的對安全保護的義務。 � 幫助識別那一個資訊對組織來說影響最大 或最重要的。 � 支持機密性、完整性以及可用性原則 � 幫助識別那一個保護可以適用於那一個資 訊。 � 可用來規定、條款或是法律用途 � 事先了解資產的價值 � 資產價值 � 一個金錢量化的數字 � 風險指數 � 針對特定資產可能產生之破壞性影響 � 發生機率的預估 � 代表預期可能發生的機會 組織衝擊(Business Impact Analysis) 淺在威脅 對企業運作的 影響及金錢損 失 對法律及管理 約束力的影響 商譽及信用的 損失 個人資訊 低等 很少無損失 沒有影響 未造成任何影 響 無損失 中等 影響企業運作 及金錢損失 技術損失及 法律管理問題 不利於顧客觀 感 很少損失 高等 嚴重影響及損 失 嚴重法律管理 問題 嚴重不利於顧 客觀感 嚴重損失 非常高 導致破產 公司關閉 威脅未來商譽 廣泛的損失 資訊分類範例~1 � � � � � 不保密、未經分類的unclassified information:無任何敏感度或不 須分類的資訊。這個資訊是由大眾所釋放的,不會損及機密。 敏感但未經分類的(SBU):此資訊有很小影響力的機密,且如果流 露出去的話,並不會造成太大的傷害。例如考試的答案就為此種資 訊,或是保健資訊為另一例子。 機密confidential :資訊本身就有機密性。而未經授權的流露出此 種資訊會造成一些國家安全的損傷。此種程級為歸檔為敏感度SBU 或是極機密之間。 極機密secret:資訊本身極機密。未經授權的流露出此種資訊會造 成國家安全的嚴重損傷。 最高機密top secret:最高程度的資訊分級(基本上,只有美國的總 統能知的程度)。未經授權而流露出的最高機密資訊將會國家安全 造成無可預計的重大損失。 資訊分類範例~2 � � � � 公眾:此類資訊與未經分類的(unclassified information)的資訊雷同; 所有公司的資訊不屬於下一個種類的是屬於此公眾資訊。此種類料 可能不會發佈,但一經發布也不會有太嚴重或不利地影響公司。 敏感:此種資訊須要比平常的資訊分類在更高等級。而且須要防止 機密的流失和因為未經授權的修改而損及原始性。 私人:此類資訊屬於私人資訊而且僅供公司使用。如果散佈出去的 話可能對公司或員工造成不利。例如,薪水的等級和病史皆屬於私 人資訊。 機密:此類資訊敏感度高而且僅供內部使用。而且須免除發佈,並 在資訊發佈條款(Freedom of Information Act)之下。 資訊分類角色 � 擁有者 � 資料的擁有者可能會是組織的的執行人員與經理。而他將要對公司的資料資 產負責及保護。資料擁有者與監護人是不同的,擁有者擁有對資料保護的最 後法人責任,且如果因為輕忽而無法保護這些資料時,須對此全部的負責。 但每日實際的運行職務是屬於監護人的。 � 監護人 � 擁有者將保護資料的權責委託給監護人, IT系統人員通常執行此角色。 � 使用者 � 在資料分類政策裡,使用者可以是任何的一個人 (例如操作員、雇員、或是外 部關係人)他的部份工作涉及反覆的使用此資料 � 系統稽核員:(Information systems auditors) � 他們的須要提供報告給高級管理人員,他們須處理常態性工作、獨立審查, 這些都是為了使安全控管更效率。他們也檢視安全政策、標準、指導方針、 和程序有無遵從公司的目標和方針。 風險評估與管理定義 � 風險評估(Risk Assessment) � 對於資訊資產所遭受的威脅(threat)、存在的安 全缺陷(vulnerability)、造成的衝擊(impact)及 發生頻率(occurrence)的可能性(likelihood)所 作的評估。 � 風險評估的結果可幫助指導應採取的合適管理 措施,判斷各種不同風險的管理優先順序,決 定應該使用那些控制,以降低風險 � 風險管理(Risk Management) � 在可接受的成本下,對於風險所進行的辨明 (identifying)、控制(Controlling)、最小化 (minimizing)或消除(eliminating)之管理過程 資訊安全風險評鑑與管 理 Asset Asset RISK RISK RISK RISK RISK RISK Threat Threat Vulnerability Vulnerability 管理資訊風險的策略與決定因素 � 管理資訊風險的策略 � 接受風險 � 規避風險 � 轉移風險 � 降低風險 � 管理風險的決定因素 � 業務需求 � 成本考慮 � 法令要求 風險評估表格(矩陣表) RISK MANAGEMENT No Threat 1 Hackers 2 Information theft 3 Industry espionage 4 Virus 5 Intentional erasure 6 Unintentional erasure 7 Awareness 8 Power failure Description of the risk Comment 機率與衝擊矩陣 Impact Probability 風險評鑑 威脅 增加 防護 控制 利用 降低 透過 增加 暴露 風險 指出 需求 弱點 資產 擁有 增加 價值 控制項目 資訊安全成本 � � � � 虛擬成本=發生事故損失成本(L0)*發生機率(P0) 實際成本=改善資通安全所花費之成本 改善前資通安全成本(B)= L0*P0 改善後資通安全成本(A)= L *P1 � P1(改善後發生機率) � 有效改善 B > A 資訊安全的實施-防範政策 評估完成後,便是政策與程序的制定 � 防範政策的訂定與改善程序將直接影響資 通安全成本 � 政策制定後,並非一成不變,必須由風險 改善程度而調整政策之內容 � 資訊安全的實施-防範政策 � 防範政策至少須具有以下內容: � 資訊使用政策 � 網路管理政策 � 系統維護政策 � 帳號密碼管理原則 � 備份計劃 � 緊急應變計劃 � 災難復原計畫 ISMS文件架構 From previous 制定政策、作業 標準、及程序去 執行控制 產生可執行的政 策、作業標準、 及程序 完成ISMS要求 的文件 See next 適用性聲明(Statement of Applicability) ISMS文件架構 第一階 Security manual Policy, scope risk assessment, statement of applicability 第二階 第三階 第四階 Describes processes – who, what, when, where (4.1- 4.10) Procedures Describes how tasks and specific activities are done Provides objective evidence of compliance with ISMS requirements (clause 3.6) Work instructions, checklists, forms, etc. Records 四階文件架構 � 一階文件 � � � � � � 表單 / 紀錄 / 報告 資訊安全作業規範 三階文件 � � � 資訊安全政策 二階文件 � 作業程序 / 控制要點 / 計畫 / 聲 明書 四階文件 一階文件 � 安全規範/管理辦法 三階文件 � � 政策 組織 二階文件 � � 主機安全管理作業程序 電腦病毒防治作業程序 四階文件 � � � � 電腦機房進出申請單 主機系統變更管制表 系統維護紀錄表 系統備份規劃表 政策、標準和指導方針 政策、標準和指導方針 � 資訊安全政策的定義 � 企業為了確保其資訊資產的可用性、完整性、機密性,依據其織 發展需要,並考量其資訊資產所面臨的風險,所制定的管理策略 與作業規範 � 須能提供管理者對資訊安全的指示及支持 � 應經管理者核准、發行、以及宣導,適當時宣導至全體員工 � 應定期審查,如有具影響性的變化發生,應確保政策仍然適當 發展資訊安全政策的前提 � 發展資訊安全政策的前提 � 瞭解企業的價質、組織文化及整體發展策略。 � 完成起始性的資訊資產清點、風險評估及風險 管理。 � 掌握高階管理者、實務管理者及操作執行者對 於資訊安全政策的態度及看法 資訊安全政策 � 資訊安全政策應有的功能 � 須反映組織利益、目標及管理者意向 � 須解決現在或未來發生的問題 � 須能以文書敘述且易為管理者及員工 所瞭解 � 須具備穩定性及長久性 � 須能評估並考核之 資訊安全政策 � 資訊安全政策文件至少可涵蓋的內容 � 資訊安全的定義 � 對於資訊安全管理包 � 資訊安全的整體目標 括安全事件通報的一 般及特定職責的定義 � 對於支持性文件如安 全政策細則及控制方 法程序的參照 � 資訊安全政策之維護 與審查的負責人 � 資訊安全的重要性 � 資訊安全的目的 � 管理者的意向及宣示 � 對於資訊安全政策、 原則、標準、重要要 求的闡述 ISMS建置注意事項 � 資訊安全政策 � � 資訊安全政策實施後,須每 年評估一次 資訊安全組織 � 設立「安全委員會」 � � � � 工作小組 稽核小組 風險評鑑小組 事件處理小組 � 文件管理要求 � � � 編碼 紀錄保存 簽入簽出 ISMS建置注意事項 � 管理審查會議每年執行乙次 � � � � � � � � � � � � 資訊安全政策、範圍、資訊安全管理系統文件的適切性 資訊安全事件及違反資訊安全規定之處置及調查報告 資訊安全管理內、外部稽核報告 矯正及預防行動實施情況 前次風險評估未妥善評估到之威脅及弱點 控制方法之有效性及改善之可能性 外部相關單位的意見 有關資訊安全管理之提案 前次資訊安全管理審查決議事項執行狀況及成效 組織內在環境與外在環境之變化可能對資訊安全管理 系統造成影響者 工作小組報告 資訊安全的實施-系統維護 � 系統維護內容應包含 � 危機通報系統 � 人員身分管理系統 � 緊急應變通訊系統 � 加密 � 網路安全防範 � � � 防火牆 虛擬私人網路(VPN)等 機制 入侵偵測系統(IDS) � � 金鑰管理 演算法 � 實體安全 � 火災,高溫,斷電等事 故的保護 資訊安全的實施-教育訓練 � 員工 � 使其能對機關產生認知意識,並能保護機關內部機密 資訊 � 系統維護者 � 提昇其資通安全之基本技能,了解最新的駭客技術、 安全威脅、安全修補等資訊 � 管理階層 � 在教育訓練過程中了解各部門在資通安全中所扮演的 角色 � 實施資通安全的基礎課程,以能確切制定防範政策 資訊系統稽核歷史 資訊系統稽核在早期是傳統會計審計業務 的一部分 � 主要關注於被稽核單位的電子資料取得、 分析與計算等資料處理業務 � � 對交易金額、帳戶、報表餘額進行檢查 � 對客戶的電子化會計資料進行分析處理 資訊系統稽核歷史 (cont.) � 隨著電腦技術應用範圍的擴展,資訊稽核所關注 的內容也開始延伸到對電腦系統的可靠性、安全 性進行了解和評估 � 資訊稽核的業務範圍已經涵蓋審計業務的全部過程 � 如今的資訊系統稽核的業務已經超出了? 財務報 表審計提供服務的範圍 � 很多大型會計公司內部,資訊系統稽核部門已經成? 一個獨立的對外提供多種服務的部門 資訊系統稽核歷史 (cont.) � 國際會計公司、諮詢公司和專業服務提供 廠商都將控制風險作? 管理諮詢和服務的 重點 � 尤其電腦環境風險和資訊系統運行風險 � 大型跨國公司 ,常常高薪聘請資訊系統審 計師進行內部審計 資訊安全的實施-稽核 � 稽核的內容應包含 � 員工對於安全政策的認知與遵守 � 系統維護與操作程序 � 教育訓練實施成果 � 網路安全防護裝置的能力 � 定期稽核的程序 安全技術與電腦稽核 � 電腦稽核: � 事先稽核: � 實際資料稽核,確保內部資料的正確性。 � 事後稽核: � � 歷史資料的稽核,發覺或追查可疑的事件及人員。 目標: � 確保所有運作均按既定安全政策執行。 � 確保所有存取資料皆獲得授權。 � 確保所有資料均經適當處理及其正確性。 電腦稽核 � 目標:(以會計為例) � 所有交易運作皆按既定政策執行 � 所有交易皆經授權 � 所有交易皆經適當處理,以確保財務報表的正確性 � 發展及使用審計軌跡 � 確保稽核証據不被遺漏、更改及破壞 � 利用稽核工具直接進入系統中查核 � 稽核控制 註:資訊系統管理與資訊系統稽核是完全獨立的個體 電腦稽核(cont.) � 假設: � 稽核程式軟體必須與系統程式獨立且無法被入 侵(最好在系統開發時即加入)。 � 稽核人員必須可被信任且被有效授權與認證 • 謝謝您的參與 ! Turn Knowledge Into Valuable Services … 資訊安全與風險管 理 講師:李雋元 Email:ericph0617@gmail.com 日期:98年5月13日 財團法人中國生產力中心專供訓練用 風險管理 (Risk Management) 風險管理計畫(Risk Management Planning) � 風險識別評估(Risk Identification ) � 定性風險分析(Qualitative Risk Analysis) � 定量風險分析(Quantitative Risk Analysis ) � 風險回應計畫(Risk Response Planning) � 何謂風險 所有的投資都有風險 � 不一定賺得到您所想賺的錢 � 一定會有達不到的機會 � 風險越高 報酬越高 � 損失的可能性很大 � 風險的定義 � � � � � 國際標準組織(ISO)的定義:對於目標會產生影響的事 件所發生的機會。 “The chance of something happening that will have an impact upon objectives.” 英國會計師協會的定義:在企業內風險是生而俱來的, 雖然這些風險的性質或範圍可能不同,但無論對小企業 或跨國性大企業而言,同樣都有風險。 公司有可能未追求獲利的機會而承擔較大的風險,因此 在風險與報酬間取得平衡是極大化股東利潤的關鍵。 因此,風險是未來的不確定事件,該事件會影響組織目 標的達成,包括策略、作業、財務或其他目標。 風險之本質 � 危險(Hazard) - 不利事件之發生 風險之本質 � 不確定性(Uncertainly)- 與預期不符 風險之本質 � 機會(Opportunity)之開發與利用 風險之起因(Drivers of Risk) 經濟/政治 之改變 國際化 科技之進步 危機 改 變 產品與市場 之更新 產業 標準 併購 競爭壓力 對於風險的看法 - 過去 風險之監督是內部稽核之責任 � 風險只是須加以控管之負面因素 � 風險管理是依組織架構執行 � 風險管理是較低階層之責任 � 風險衡量是主觀的 � 未結構化及分歧的風險管理功能 � 管理階層對於風險看法之轉變 � � � � � � 風險監督是內部稽核之 責任。 風險只是須加以控管之 負面因素。 風險管理是依組織架構 執行。 風險管理是較低階層之 責任。 風險衡量是主觀的。 未結構化及分歧的風險 管理功能。 � � � � � � 風險監督是管理階層之 責任。 危機即是轉機。 風險管理是整合性且適 用於企業整體。 風險管理係為高階層及 各執行單位之責任。 以數量化衡量風險。 風險管理機制建置於各 企業管理系統上。 何謂資訊安全 � “資訊對組織而言就是一種資產,和其它重 要的營運資產一樣有價值,因此需要持續 給予妥善保護。資訊安全可保護資訊不受 各種威脅,確保持續營運,將營運損失降 到最低,得到最豐厚的投資報酬率和商 機。” — ISO 27002資訊安全管理系統(Information Security Management System)標準定義 資訊安全的目標 (Information Security ) 1. 機密性(Confidentiality) 資料不得被未經授權之個人、實體或程序所 取得或揭露的特性。 2. 完整性(Integrity)對資產之精確與完整安全保證的特性。 (i)可歸責性(Accountability) 確保實體之行為可唯一追溯到該實體的特 性。 (ii)鑑別性(Authenticity) 確保一主體或資源之識別就是其所聲明者的特 性。 鑑別性適用於如使用者、程序、系統與資訊等實體。 (iii)不可否認性(Non-repudiation) 對一已發生之行動或事件的證明, 使該行動或事件往後不能被否認的能力。 3. 可用性(Availability)已授權實體在需要時可存取與使用之特性。 4. 可靠性(Reliability)始終如一預期之行為與結果的特性。 資訊系統風險的指標 Reliability Availability Scalability Integrity Confidentiality Capacity e化組織的風險 � 策 略 聲譽 與 品牌 � 法 規 � � E-business Risks � � 人力資源 隱私權 科技技術 與 作業模式 � � 資訊人員對內部控制認 知不足 缺乏適當之職能分工 稽核軌跡不足 過分信賴電腦資料 數位化資料容易滅失 資料集中,容易遭到竊 取與變造 資訊系統提供快速舞弊 的能力 對資訊系統掌握能力不 足 資訊風險管理架構 風險管理 資訊安全政策 威脅管理 弱點管理 資訊安全工具 資訊安全管理循環 定義 環境及資產 監視及稽核 資訊安全風險分析 政策, 標準, 指導方針 安全行政管理 安全設計及建置 ISMS管理流程 風險分析 規劃及建置 風險評鑑 衡量及稽核 企業內部運作及外部影響 資訊安全政策 資訊安全的實施— 美國模式 資訊安全的實施— 加拿大模式 資訊安全的實施 � 無論美國或加拿大模 式,大致上都包含了 五階段 風險 評估 稽核 � 風險評估(或風險管理 分析) � 制定防範政策 � 依政策進行系統維護與 補強 � 人員教育訓練 � 稽核 資通安全 教育 訓練 防範 政策 系統 維護 資訊安全定義與需求 � 資訊安全風險的定 義: � 資訊安全需求的來 源: � 威脅事件利用資訊資產 � 經過資訊安全風險評估 弱點而對該資產或其他 資產所造成傷害的可能 性。 而得來。 � 法令、法規或合約的要 求。 � 依據組織的原則、目標 或需求而來。 資訊安全與風險 � 資訊安全基於風險,沒有絕對的安全 網路安全管理常犯的疏失 � 依據美國系統管理及網路安全協會 (SANS)所做調查顯示: � 網路安全問題會自動消失,未深入研究。 � 發生問題時,只用短期補救措施。 � 未曾考量資訊資產及商譽之價值。 � 僅依靠防火牆保護網路安全。 � 未考慮資訊安全與企業營運之間的關係。 � 指派未曾受過安全特訓的員工負責網管。 風險管理Risk Management (RM) � � � 風險管理在ISMS裡面占了很大的部份。 風險管 理的主要功能是減輕風險。 減輕風險的意思是減少風險直到組織可以接受的 程序。我們可以從事件的鑑定、分析、控制、和 將損失減到最小等來定界風險。 風險的鑑定可由下列基本條件來定界: � 主要威脅 � 已確認的威脅的可能後果 � 威脅的可能發生頻律 � 如果威脅發生時,我們有多大的自信程度 風險評估與管理定義 � 風險評估(Risk Assessment) � � � 風險管理(Risk Management) � � 對於資訊資產所遭受的威脅(threat)、存在的安全缺陷 (vulnerability)、造成的衝擊 (impact)及發生頻率(occurrence) 的可能性(likelihood)所作的評估。 風險評估的結果可幫助指導應採取的合適管理措施,判斷各種 不同風險的管理優先順序,決定應該使用那些控制,以降低風 險 在可接受的成本下,對於風險所進行的辨明(identifying)、控 制(Controlling)、最小化(minimizing)或消除(eliminating)之管 理過程 風險管理原則 � � 實行風險分析,包含保護措施的損益分析 實行、檢視和維持保護措施 風險管理(Project Risk Management) 風險管理計畫(Risk Management Planning) � 風險識別評估(Risk Identification ) � 定性風險分析(Qualitative Risk Analysis) � 定量風險分析(Quantitative Risk Analysis ) � 風險回應計畫(Risk Response Planning) � 風險評估分析 風險識別 :主要目的為將找出潛藏的威脅量 化其影響力 � 風險識別團隊:應包含相關的各部門,例:法務 人員.財務人員.IT人員.稽核人員等 � 資訊安全之風險評估 � 外在風險、內在風險 : � � 環境的威脅。如天然災 害,像是颱風、地震、水 火災等。 人的威脅。又可分為內部 人員與外部人員。內部人 員造成的威脅原因,有可 能是使用錯誤或是受外部 誘惑賄賂,也有可能是離 職員工挾怨報復。外部人 員造成的威脅原因,大部 分是我們熟知的各類病毒 及網路駭客。 風險評估流程 專有名詞(Terms and Definitions) � 資產(Asset) � � 威脅Threat � � 威脅就是任何會造成組織負面的影響的可能發生事件。一個威脅可能是人力造成或是自然發生 的,而且會對組織的安全或生存能力造成或大或小的影響。 弱點Vulnerability � � 資產是一個組織必須保護的資源、過程、產品、電腦設施等,資產的損失可能影響到 C.I.A.(confidentiality, integrity, availability),或是可能會有抽像的金錢損失 -有形的或無形的。 甚至會影響到公司無法繼續經營。資產的價值是由關於資產本的的很多條件來組成的-它的創 造、開發、支援、代替品、公眾信用、相關成本和擁有權價值。 如果缺乏或是微弱的安全設施(safeguard)將會造成Vulnerability。因為弱點的存在,即使一個 微小的危機都有可能變成一個大危機、或是一個更容易發生的危機。想想看一個似危機的弱點 透過安全警衛進入到系統。結合資產、危機和第三個條件-弱點即稱為危機管理”triple” 安全設施Safeguard � 安全設施是一個控制或應對措施用來減少特定危機。 風險評鑑 威脅 增加 防護 控制 利用 降低 透過 增加 暴露 風險 指出 需求 弱點 資產 擁有 增加 價值 風險評鑑 Risk Asset Assessment Identification Existing Threat Vunerability Assessment Assessment Planned Controls Valuation Center Risk Assessment Risk Assessment Process Selection Risk Risk Controls Reduction Acceptance 風險評估與管理定義 - 資產 � 包含組織內之資源、 程序、產品、資訊架 構等有形或無形之項 目。 � 分類如下 � 實體資產 � 資訊資產 � 文件資產 � 軟體資產 � 人員 � 服務 風險評估與管理定義- 威脅(Threat) � � 任何可能破壞、洩露或變更系統內之 資訊的事件 威脅有可能是意外發生(Accidental), 也有可能是人為產生(Intentional),例 如: � 未經授權使用 � 自然災害 � 偷竊 � 員工錯誤 資訊的威脅來源 駭客 人為破 壞的 威脅鑽 漏洞 不可靠系統 之威脅 ‧硬體故障 ‧軟體錯失 ‧人員疏失 $$$ $$$人 未授權行為 Unauthorized Access 硬 體 資 料 軟 體 $$$ 網 路 災 害 $$$ Viruses 病 毒 疏 失 資訊的威脅來源 超過50%的資訊安全 威脅來自人為操作 的錯誤! 軟體錯誤 硬體事故 3% 11% 電腦病毒 24% 其它 5% 人為意外 57% 風險評估與管理定義 - 弱點 (Vulnerability) � � 系統之安全程序、設計、執行及內部控制等本身具 有之缺失。 弱點本身並不造成損害,但是它會受威脅的利用而 造成損失。例如: � � � � � 缺乏實體的保護機置 密碼設定方式不當 與外部網路的連線沒有保護機置 文件儲存位置沒有保護機置 使用者沒有接受安全訓練 風險評估與管理定義 - 風險(Risk) 特定威脅利用特定弱點造成系統損失的 可能性 � 資產、威脅與弱點組成風險管理之三要 素 � 風險識別(Risk Identification ) � 風險識別是風險管理程序的第一步驟。這個步驟 提供機會、線索和資訊,使團隊能夠在重要風險 對作業及商務造成不利影響之前,找出它們。 風險識別主要輸入 � � � � � � 企業環境相觀因素 組織內參與專案的人員對相關風險的態度和風險承受度將影響專案管 理計畫。風險態度和承受度可透過政策陳述說明書反映出來 組織內相關流程及資產 組織可能設有既定的風險管理方法,例如,風險分類、概念和術語的定 義、標準範本、角色和職責、決策及授權水準。 風險管理計畫向風險識別過程提供的主要依據訊息包括角色和職責的 分配 預算和進度計畫中納入的風險管理活動因素,以及風險類別。風險類 別有時可用風險分解架構形式表示 範疇說明書 風險管理計畫 風險識別技術及工具 � 風險識別的技術及工具 � 文件重新審查 � 資訊收集技術 � � � � 腦力激盪 訪談 專家建議 SWOT分析 � 環境模擬 � 核對清單 � 流程圖 風險識別主要輸出 風險登錄清單 � 風險登錄清單包含 � � 角色或功能。與風險狀況最直接相關的功能。 � 風險內容。包含其他背景資訊的段落,有助於 釐清風險狀況。 � 風險的原因 � 相關風險類別更新 風險登錄清單(Risk Register ) � � � � 人員。每個人都會犯錯,即使群組的程序和技術毫無瑕 疵,這些人為的錯誤也會使商務處於風險中。 流程。記錄錯誤或不清楚的程序,即使能夠完全地執行, 也會使商務處於風險中。 技術。在人員完美地執行設計零缺點的程序之後,因為軟 硬體之類的相關問題,仍會導致商務失敗。 外部。某些超越 掌控的因素會傷害基礎結構,而導致商 務失敗。地震和洪水之類的自然災害,以及屬於外部起因 的人為問題, � 例如政局的動盪、電腦病毒入侵和政府規章的變更等,皆歸屬這 個類別。 風險登錄清單(Risk Register ) 風險評估與管理目的 辨認風險 � 採取適當之對策以降低風險 � � 風險無法完全消除-除非停止營運 � 將風險降低至可接受的程度 � 持續性的風險管理 風險管理(Project Risk Management) 風險管理計畫(Risk Management Planning) � 風險識別評估(Risk Identification ) � 定性風險分析(Qualitative Risk Analysis) � 定量風險分析(Quantitative Risk Analysis ) � 風險回應計畫(Risk Response Planning) � 風險評估分析的方案 � 定量風險評估(Quantitative Risk Analysis) � 確定評估的數量頻率影響,威脅,保護的效力並且成 本,以及可能性 � 作為高層管理決策的幫助 � 需求的技術成本 � 定性風險評估(Qualitative Risk Analysis) � 最低程度地確定評估的數量 � 排列風險的優先順序 � 較少時間和成本 資訊風險評估及風險管理 特性 定量 定性 成本效益分析 優 較不適用 財務成本 優 較不適用 複雜計算 高 低 所需資訊 高 低 所需工時 高 低 容易溝通 高 低 定性化風險分析主要輸入 � 組織內相關流程及資產 組織可能設有既定的風險管理方法, � � � � � 例如,風險分類、概念和術語的定義、標準範本、角色和職責、決 策及授權水準。 風險管理計畫向風險識別過程提供的主要依據訊息包括角 色和職責的分配 預算和進度計畫中納入的風險管理活動因素,以及風險類 別。風險類別有時可用風險分解架構形式表示 專案範疇說明書 風險登錄清單 定性化風險分析 (Qualitative Analysis) � � 定性化風險分析是來決定風險的影響流程,使用邏輯性的 理論,排定風險的優先順序。 資訊收集技術 � � � � � � � 腦力激盪 訪談 Delphi技術 專家建議 環境模擬 核對清單 流程圖 定性化風險分析的工具與技術 � � � � � 風險的可能性與衝擊分析(Risk Probability and Impact Assessment):風險事件可能發生,將會 影響到資訊本身,通常會被以定性方式敘述。 機率與衝擊矩陣(Probability and Impact Matrix): 定義風險時來說明風險的等級。 資料精確評估(Risk Data Quality Assessment): 評估可行風險資料的可用性。 風險類別表(Risk categories) 風險急迫性分析(Risk Urgency Assessment) 風險機率(Probability) 這是指風險條件實際發生的可能性。風險 機率一定要大於零,否則該作業風險對商 務並不會構成威脅。 � 機率必須小於 100%,否則風險便必然會發 生— 換句話說,此風險是已知的問題。 � 機率也可以視為結果的可能性,因為如果 條件會發生,則結果的機率會被假設為 100%。 � 風險機率(Probability) � � � 安全威脅評估(一) 評估安全威脅發生之可能性 評估方法 � 確認安全威脅的目標:那 些資產將受到影響 � 確認安全威脅的來源:由 誰產生 � 確認安全威脅的影響:影 響程度及嚴重性等 非常低 不太可能發生 >10% 低等 >30% 可能發生但頻率很低 中等 >50% 可能發生但頻率不高 高等 >70% 可能發生但頻率高 非常高 可能發生但頻率非常高 >90% 威脅識別 非常低 不太可能發生 低等 可能發生但頻率很低 例 三年內才有一案例 中等 可能發生但頻率不高 例 一年內就有一案例 高等 可能發生但頻率高 例 一年內就有數個案例 非常高 可能發生但頻率非常高 例 一月內有數個案例 安全脆弱點評估(二) 程度 非常低 影響程度 不造成影響 (非常安全,不需加強安全控管) 低 輕微影響 (若能加強安全控管則更安全) 中 造成影響 (必須加強安全控管) 高 造成相當影響 (不安全,必須加強多項安全控管) 非常高 造成相當大影響 (非常不安全,必須全面加強安全控管) 風險衝擊(Impact Analysis) � � � � � 風險衝擊是測量結果所造成的負面效果的嚴重性,或是損 失的重要性 最有效的解決方案 就是數值測量表。決定如何估算損失 並不是件小事,最佳的解決方案便是使用數值測量表:數 字越大,衝擊也就越大。 基本原則是,測量表應該至少有三級,這樣才 能產生一 定範疇的值 測量級數越高,人員花在選取正確數字上的時間也就越 多,但對產生更正確的值卻沒有什麼幫助。 風險基礎門檻表現衝擊的測量結果 組織衝擊(Business Impact Analysis) 淺在威脅 對企業運作的 影響及金錢損 失 對法律及管理 約束力的影響 商譽及信用的 損失 個人資訊 低等 很少無損失 沒有影響 未造成任何影 響 無損失 中等 影響企業運作 及金錢損失 技術損失及 法律管理問題 不利於顧客觀 感 很少損失 高等 嚴重影響及損 失 嚴重法律管理 問題 嚴重不利於顧 客觀感 嚴重損失 非常高 導致破產 公司關閉 威脅未來商譽 廣泛的損失 計算風險值 安全威脅 非常低 低 中 高 非常高 安全弱點 資產價值 非 低 中高非 非 低中高非 非 低中高 非 非 低 中高非 非 低中高非 常常 常常 常常 常常 常 常 高低 高低 高低 高低 高 低 0 1 2 3 4 1 2 3 4 5 2 3 4 5 6 3 4 5 6 7 4 5 6 7 8 非常低 1 2 3 4 5 2 3 4 5 6 3 4 5 6 7 4 5 6 7 8 5 6 7 8 9 低 2 3 4 5 6 3 4 5 6 7 4 5 6 7 8 5 6 7 8 9 6 7 8 9 10 中 3 4 5 6 7 4 5 6 7 8 5 6 7 8 9 6 7 8 9 10 7 8 9 10 11 高 4 5 6 7 8 5 6 7 8 9 6 7 8 9 10 7 8 9 10 11 8 9 10 11 12 非常高 風險 = 資產價值 + 安全威脅 + 安全弱點 風險評估等級 R=R(PT.PV.V) � PT :威脅發生的可能性 � PV :薄弱點被利用的可能性 � V :組織衝擊或資產價值 � 機率與衝擊矩陣 Impact Probability 定性化風險分析主要輸出 � 風險登錄清單(更新) � 風險登錄清單是在風險識別過程中形成的,並 根據風險定性分析的資訊進行更新 � 更新後的風險登錄清單納入專案管理計畫之 中。 定量化風險分析 (Quantitative risk Analysis) � � 特定的潛在重大影響風險出現時,定量化分析是 用來分析數字資訊。 風險定量分析是在不確定情況下進行決策的一種 量化方法。該項過程採用蒙地卡羅模擬與決策樹 分析等項技術 � 訪談 � 敏感性分析 � Annualized � Simulation Loss Expectancy (ALE)分析 風險管理(Project Risk Management) 風險管理計畫(Risk Management Planning) � 風險識別評估(Risk Identification ) � 定性風險分析(Qualitative Risk Analysis) � 定量風險分析(Quantitative Risk Analysis ) � 風險回應計畫(Risk Response Planning) � 定量化風險分析的工具及技術 � 資訊收集技術 � 和關係人與專家對談 � 機率分布可能帶來的影響 � 風險定量分析和模型技術 analysis.) � 決策樹(Decision tree analysis.) � 期望值分析(Expected monetary value analysis. (EMV)) � 模擬決定風險可能帶來的影響 � 敏感性分析(Sensitivity 定量化風險分析 (Quantitative risk Analysis) Annualized Loss Expectancy (ALE) 分析 � � � � 顯露因素 Exposure Factor (EF) � EF代表特定資產會發生的危機的虧損百分比。 Single Loss Expectancy (SLE) � SLE是一個指某單一個事件的金錢數據。代表著組織的損失是來自於一個 單一的威脅,並由下列公式而來: � 資產價值Asset value($)* EF = SLE Annualized Rate of Occurrence (ARO) � ARO這個數值,代表計算出可能會發生的危機次數。此數值的範圍可以 從0.0(從不發生)到一個大的數值(微小的危機,例如為登入資料時,將姓 名拚錯)。 Annualized Loss Expectancy (ALE) � 事件的金錢數據。代表著組織的威脅年度損失,並由下列公式而來 � SLE×ARO Annualized Loss Expectancy (ALE) 分析 � � � � � 假設公司因計算設備電腦可用性(Availability)的當機時間 (Downtime)與清理工作(Clean up)成本之損失為1000000 萬元 � Asset value($) = 1000000萬元 公司未設定任何防禦措施可能被病毒侵入的機率為90% � EF = 90% SLE = 1000000萬元×90% = 900000萬元 電腦病毒年發生率100 % � ARO = 100 % SLE×ARO= 900000萬元 風險管理(Project Risk Management) 風險管理計畫(Risk Management Planning) � 風險識別(Risk Identification ) � 定性風險分析(Qualitative Risk Analysis) � 定量風險分析(Quantitative Risk Analysis ) � 風險回應計畫(Risk Response Planning) � 資訊安全風險評鑑與管理 Asset Asset RISK RISK RISK RISK RISK RISK Threat Threat Vulnerability Vulnerability 管理資訊風險的策略與決定因素 � 管理風險的決定因素 � � � 業務需求 成本考慮 法令要求 � 風險回應 � 規避(Avoidance) � 改變方案以迴避風險 � 轉移(Transference) � 將風險轉由他人分擔 � 減輕(Mitigation) � 經由安全設施Safeguard 減低風險制可接受範圍 � 接受(Acceptance) � 接受風險但需設定意外 回應計畫(Contingency Response Plan) 資訊安全應用: � 規劃資訊安全 : � Gateway Solution � � Spam Mail & Mail Server Firewall / IPS/ IDS /IM/P2P � Content Security Solution � � � 資產清點管理 行為控管 文件控管 � Storage & Backup Solution � � � 直接損失 間接損失 其它損失 � Wireless Application & Security Solution � � � � � 校園及廠區的應用 醫療診所應用 證券公司的應用 行動辦公室的應用 臨時性集會場所的應用 • 謝謝您的參與 ! Turn Knowledge Into Valuable Services … ISMS內部稽核訓練課 程 講師:李雋元 Email:ericph0617@gmail.com 日期:98年5月13日 財團法人中國生產力中心專供訓練用 安全性之基礎~資訊的定義 Information can exist in many forms. It can be printed or written on paper, stored electronically, transmitted by post or using electronic means, shown on films, or spoken in conversation. “資訊可以許多形式存在。可以書寫或列印於紙上,儲存在電子儲存 媒體上,以郵寄或電子儲存媒體傳輸,顯示於影片上或在對話中說 出。 Whatever form the information takes, or means by which it is shared or stored, it should always be appropriately protected.’ 不管資訊的形式是什麼,或者共用或儲存的方式是什麼,都應該受到 適當的保護。 資訊安全(Information Security ) 資訊安全(Information Security) 保護資訊之機密性、完整性與可用 性;得增加諸如鑑別性、可歸責性、不可否認性與可靠性。 機密性(Confidentiality) 資料不得被未經授權之個人、實體或程序所取得 或揭露的特性。 完整性(Integrity)對資產之精確與完整安全保證的特性。 (i)可歸責性(Accountability) 確保實體之行為可唯一追溯到該實體的特 性。 (ii)鑑別性(Authenticity) 確保一主體或資源之識別就是其所聲明者的 特性。 鑑別性適用於如使用者、程序、系統與資訊等實體。 (iii)不可否認性(Non-repudiation) 對一已發生之行動或事件的證明, 使該行動或事件往後不能被否認的能力。 可用性(Availability)已授權實體在需要時可存取與使用之特性。 可靠性(Reliability)始終如一預期之行為與結果的特性。 資訊系統稽核歷史 資訊系統稽核在早期是傳統會計審計業務 的一部分 主要關注於被稽核單位的電子資料取得、 分析與計算等資料處理業務 對交易金額、帳戶、報表餘額進行檢查 對客戶的電子化會計資料進行分析處理 資訊系統稽核歷史 (cont.) 隨著電腦技術應用範圍的擴展,資訊稽核所關注 的內容也開始延伸到對電腦系統的可靠性、安全 性進行了解和評估 資訊稽核的業務範圍已經涵蓋審計業務的全部過程 如今的資訊系統稽核的業務已經超出了爲財務報 表審計提供服務的範圍 很多大型會計公司內部,資訊系統稽核部門已經成爲 一個獨立的對外提供多種服務的部門 資訊系統稽核歷史 (cont.) 國際會計公司、諮詢公司和專業服務提供 廠商都將控制風險作爲管理諮詢和服務的 重點 尤其電腦環境風險和資訊系統運行風險 大型跨國公司 ,常常高薪聘請資訊系統審 計師進行內部審計 資訊安全的實施-稽核 稽核的內容應包含 員工對於安全政策的認知與遵守 系統維護與操作程序 教育訓練實施成果 網路安全防護裝置的能力 定期稽核的程序 安全技術與電腦稽核 電腦稽核: 事先稽核: 實際資料稽核,確保內部資料的正確性。 事後稽核: 歷史資料的稽核,發覺或追查可疑的事件及人員。 目標: 確保所有運作均按既定安全政策執行。 確保所有存取資料皆獲得授權。 確保所有資料均經適當處理及其正確性。 電腦稽核 目標:(以會計為例) 所有交易運作皆按既定政策執行 所有交易皆經授權 所有交易皆經適當處理,以確保財務報表的正確性 發展及使用審計軌跡 確保稽核証據不被遺漏、更改及破壞 利用稽核工具直接進入系統中查核 稽核控制 註:資訊系統管理與資訊系統稽核是完全獨立的個體 電腦稽核(cont.) 假設: 稽核程式軟體必須與系統程式獨立且無法被入 侵(最好在系統開發時即加入)。 稽核人員必須可被信任且被有效授權與認證 BS / ISO 27001/ISO27002 由來 • 英國標準協會(BSI) –英國貿工部組織是由英國皇 家特許,負責訂定英國國家標準的國家性非營利 組織。它代表了英國對於歐洲與國際間相關標準 所持有的觀點。 歷史: •BS5649 > > ISO9001 (品質保證國際標準) •BS7750 > > ISO14001 (資訊安全管理國際標準) •BS7799 > > ISO27002 (資訊安全管理國際標準) •BS7799 > > ISO27001 (資訊安全管理國際標準) 發行ISO 27001:2005 2005-10-15 2005 ISMS演進歷史 改版ISO 17799:2005 2005-6-15 OECD指導方針修訂 2002 2000 9月正式公佈BS 7799-2: 2002 12月正式成為ISO 17799標準 2000.12.1 提交ISO組織討論(ISO DIS 17799) 挪威成立7799 BD 專案(2001年正式發行) 1999 瑞典標準 SS 62 77 99 Part 1 & 2 發行 新版英國標準 BS 7799 Part 1 & 2發行 1998 1995 1993 1990 瑞典成立LIS 專案 英國公佈BS 7799 第二部份 (Part 2) 英國公佈BS 7799 第一部份 (Part 1) 率先由英國貿易工業部進行專案 世界經濟開發組織(OECD);資訊系統安全指導方針(1992/11/26) 紅皮書:可信任的網路描述指南; 橘皮書: 可信任的設施管理指南 ISO27001資訊安全控制領域 資訊安全目標 : 機密性, 完整性, 可用性 1. 安全政策 2. 組織資訊安全 7. 存取控制 3. 資產管理 11. 6. 通訊與作業管理 4. 人力資源安全 8. 資訊系統取得、 開發及維護 5. 實體與環境安全 遵循 性 9. 資訊安全事故管理 10. 營運持續管理 ISMS綜覽 符合ISO PDCA循環精神之ISMS建 置 Establish ISMS (PLAN) Implement and operate the ISMS 發展、維護 與 改善循環 (DO) Maintain and improve the ISMS (ACT) Monitor & Review ISMS (CHECK) 國內資安相關法令 電子簽章法 電信業電腦處理個人資料管理辦法 通訊保障及監察法 通訊保障及監察法施行細則 電腦處理個人資料保護法 電腦處理個人資料保護法施行細則 執行電腦處理個人資料保護事項協調連繫辦法 醫院電腦處理個人資料登記管理辦法 金融業個人資料檔案安全維護計畫標準 保險業個人資料檔案安全維護計畫標準 證券業暨期貨業個人資料檔案安全維護計畫標準 稽核 驗證是否符合規定的要求 爲管理審查提供相關資訊 加強整體安全意識 降低系統失效的風險 評估資通安全之落實與遵行情形 鑑別安全漏洞與弱點 提供改善資通安全的機會 ISO 19011:2002 管理系統稽核指南 係一“指導綱要"標準,包括7項條款 – 第1條款:範圍 – 第2條款:參考規範 – 第3條款:術語及定義 – 第4條款:稽核基本原理 – 第5條款:管理稽核計畫 – 第6條款:執行稽核工作 – 第7條款:稽核員資格條件 稽核類型 第一方稽核-組織對自己的系統進行稽核 (內部稽核) 第二方稽核-組織對其委外廠商的稽核 (外部稽核) 第三方稽核-由獨立驗證機構(如:BSI、SGS) 對組織稽核 (外部稽核) ISMS稽核程序 進行 查核前的 準備工作 在受查單位 進行 查核前會議 填寫外部稽核表 彙整相關文件備查 稽核人員先行審閱資料 受查單位 提供資料與 準備受查環境 對每一分項 進行查核 (視需要抽樣訪談) 查核意見 與 受查單位說明 查核後會議 查核結果與 意見交換 稽核準則 資訊安全管理系統標準(ISO27001) 組織規定之資訊安全管理系統文件程序(政 策、目標…) 法令法規/ 主管機關要求 客戶要求 稽核標準 所蒐集之稽核證據與其設立之政策,程序 或要求作比較 ISO 19011:2002 Clause 3.2 稽核類型 管理系統稽核 IT系統稽核 產品/服務稽核 資訊安全稽核目的 資訊安全技術性稽核 資訊安全符合性稽核 資訊安全技術性稽核 資訊安全技術性稽核包含對內、外部網路環境之 掃描、網路設備及平台主機之弱點檢測等,其主 要稽核方法係使用自動稽核技術 Vulnerability Scanner/Auditor:網路掃描工具 (如:Nessus.GFI Languard.ISS),以協助公司 稽核人員達成資訊全技術性稽核的目的。資訊安 全遵行性稽核 IDS :紀錄網路可能的入侵事件 資訊安全符合性稽核 指執行資通安全管理落實程度的查核,其 主要稽核方法係依據資通安全管理文件的 規範內容及資通安全管理文件所設計的表 單,彙整稽核重點為資訊安全稽核程序, 再依據該資訊安全稽核程序抽樣印證執行 情形。 資訊安全稽核 資訊安全稽核目的 評估資通安全之落實與遵行情形鑑別安全漏洞 與弱點提供改善資通安全的機會 執行稽核的單位? 第三方稽核(獨立的驗證機構) 第二方稽核(客戶端或上級機關) 第一方稽核(組織內部) 稽核員的要求特質 Professional 專業 Independent 獨立的 Open mindedness 心胸開闊 Observant 善於觀察 Versatile 應變能力 Be realistic 注重實際的 Understand complex situations 理解複雜的狀況 Have analytical skills 具有分析技巧 Be tenacious 堅韌的 Integrity 正直 電腦稽核師應當: 支援與資訊系統相關的標準、流程和控管措施的實行,並鼓勵遵守相應規 範。 以勤勉、忠誠和誠實的態度為有關團體的利益服務,不應有意參與任何違法 或不當的活動。 保守在工作過程中所獲資訊的隱私性和機密性,除非法律部門要求披露該資 訊。此類資訊不應為個人利益而使用,也不應向不適當的團體透露。 執業過程中應保持獨立和客觀的態度,並且應當避免任何有損獨立性和客觀 性的活動,或有可能使其獨立性和客觀性受損的活動。 在稽核與資訊系統控管等相關領域中保持勝任能力。 允諾只從事那些專業能力所及的活動。 用正確的職業態度執行工作任務。 向相關團體告知執行資訊系統稽核和/或控管工作的結果,並向他們告知所有 重大事實,即那些如果不透露就會導致曲解業務報告或隱藏不法行徑的材 料。 支援客戶、同事、公眾、管理層和董事會的職業教育,增進他們對資訊系統 稽核與控管專業的瞭解。 維持高水準的行事風範和品性,不做有損職業聲譽的行為 稽核階段 Stage I Audit : 書面審查(Desktop Review) 了解組織安全政策和目的中資通安全管理的背景 脈絡,準備第二階段稽核 Stage II Audit : 實施稽核(Implementation Audit) 尋找客觀證據以證明組織遵行本身的政策、目的 和程序證明資通安全管理遵照所有資通安全標準 或規範文件的要求,而且達成組織的政策目的測 試資通安全管理的有效性 產生稽核報告 組織內部稽核 評估資通安全之落實與遵行情形 評估的要點 ISMS是否存在 ISMS是否執行 ISMS執行的效率 稽核方式 基準稽核 經由查核表確認系統已達至安全標準(例 ITBPM之機房 安全) 主要以查核表 流程稽核 經由確認証明流程的執行以確認管理系統正確執行 部門稽核 每一部門由一位特定稽核員負責稽核,並將稽核結果 給下一位稽核員 流程導向(Process Approach) 標準倡導以『流程導向』來開發、執行及改進組織 資訊安全管理系統效能。 何謂流程導向? 組織必須鑑別、管理許多活動方能有效 運作。使用資源與管理,將輸入轉換為輸出之活動,可視 為一個流程。 通常一個流程之輸出可直接地成為下一個流程之輸入。 組織必須妥善管理各流程,包括各流程之鑑別與相互作 用,使其有效運作,達成組織營運目標 Stage I Audit : 書面審查 檢討ISMS的文件,執行是否適用組織政策 檢討ISMS的文件,執行是否適用ISO27001 第二階段現場稽核準備 準備第二階段稽核 產生稽核計畫 建立查核表 是一種確保稽核深度和持續性的重要輔助工具 將標準條文轉換成問題 計畫查看什麼和尋找的證據 以備忘錄方式準備 查核表 提醒稽核員查核的項目 不一定按照條文順序 不要過度依賴查核表 由稽核員準備查檢表 查檢表是一種確保稽核的深度和持續性的重要輔 助工具 查檢表應能夠代表稽核的區域 查檢表應被以溝通運作和流程的形式來準備 查檢表(Checklist)的好處 保持明確的稽核目標 減少稽核員的偏見 控制稽核員的工作量 保持稽核節奏和連續性 證據蒐集/記錄稽核樣本 查核表範例 A.11.1.1Access control 組織是否制定存取控制政 policy 策? A.11.3.3Clear desk and 是否訂有重要資訊不得閒 clear screen policy 置於桌面及螢幕淨空政 策? 將標準條文轉換成問題 將查核表的項目化為問題 提出問題 開放式- 這些問題需要更多的諮詢而非僅是 `是'或`不是 封閉式- 這些問題可獲得`是'或`不是'的 答案.會用來總結問題. 引導式- 用來迅速的獲得`答案'.`引導'被 稽核方以得到答案 問題範例 是否訂定使用者 存取權限註冊及 註銷之作業程 序? 使用者存取權限如何進行註冊及 註銷? 註冊及註銷的紀錄文件? 作業程序多久重新審核? 重新審核的結果如何落實? 稽核計劃 “ 稽核方案應予以規劃, 並考慮被稽核 之過程及區域的狀況與重要性, 以及先前 稽核結果。 稽核持續時間 須視: – 被稽核部門/區域之大小 – 被稽核部門/區域服務之複雜程度 – 稽核範圍及地點 – 所需資源 稽核團隊的訓練及挑選 組織必須具備確保適當水準稽核團隊的訓練及挑選 準則: ISMS標準及相關文件的了解 資訊安全管理要求及安全目標的了解 風險評鑑及風險管理的了解 受稽核活動的專業技術知識的了解 管理系統知識及稽核原理的了解 具備管理系統稽核能力 稽核計畫 稽核計畫;計畫必須 反映ISMS的範圍稽核 必須被計畫,以縮小對 營運的干擾,特殊的 資源應該在計畫中被 鑑別 稽核的範圍劃分於時 間表 先行通知被稽核者 09:00~09:20 起始會議 09:20~10:00 稽核IT部門管理者 10:00~11:00 IT部門現場抽樣 稽核計畫之準備 一份稽核計畫, 可包含以下適當內容: 稽核範圍 稽核標準及參考文件 被稽核之區域及/或活動,及同意之稽核日期 確認被稽核之所有過程 稽核持續期間 所須之引導人員及其責任 稽核方式 稽核計畫之編列方式 依部門排序 依文件排序 依流程排序 依條款排序 稽核準備 資訊安全手冊/ 程序 之前稽核發現的問題 管理資訊及現況(安全意外事件) 稽核員的專業知識(産品/ 服務之資訊) 初次訪問 流程稽核 經由確認証明流程的執行以確認管理系統 正確執行 實際執行時依者P.D.C.A .軌跡 流程稽核VS部門稽核 營運持續管理 (資訊安全組織、資訊及業務單位) 是否已擬訂關鍵性業務及其衝擊影響分析? 是否對可能造成營運中斷的可能性進行風險評鑑 是否擬訂營運持續計畫(含起動條件、參與人員、緊急程 序、備援程序、重置程序、維護時間表、教育訓練、職責 說明、往來外單位之應變規劃及合約適當性等)及其必要 之維護? 營運持續計畫是否定期完整測試演練? 營運持續計畫是否配合業務、組織及人員之變更而更新? 營運持續計畫是否定期審查和更新? 稽核軌跡~1 重要資訊應定期 P:建立 重要的資料及軟體是否建 立定期作備份處理程序? 備份 D 執行 定期作備份處理的相關紀 錄? C 檢查 備份處理程序是否定期重 新審理? A 改正 處理程序重新審理後是否 執行? 稽核軌跡~2 P:建立 D 執行 C 檢查 A 改正 需定期備份處理資料 的判定標準? 判定標準的實施紀錄? 判定標準是否定期重 新審查? 判定標準重新審理後 是否執行? 稽核軌跡~3 P:建立 備份處理資料的人員 資格是否限制? D 執行 備份處理資料的人員 資格審查文件? 備份處理資料是否進 行異常通報? C 檢查 A 改正 異常通報是否進矯正 措施? Stage II Audit : 實施稽核(Implementation Audit) 尋找客觀證據以證明組織遵行本身的政策、目的 和程序證明資通安全管理遵照所有資通安全標準 或規範文件的要求,而且達成組織的政策目的 測試資通安全管理的有效性 Stage II Audit : 實施稽核 (Implementation Audit) 追蹤書面審查中不符合的情況 以抽樣稽核確認ISMS的實施及 運作 主要活動 訪問ISMS的所有權人和使用 者審查高,中和/或低風險區 域 安全目標及控制措施之有效 性 系統中核心文件的連結 客觀證據 面談 觀察 文件審查 文件紀錄 抽樣 稽核實行-啟始會議 宣佈稽核範圍及重點 確認時程及陪檢人員 介紹-記錄 設定稽核的氣氛 確認稽核的目的和範圍 後勤 限制 澄清 查和確認稽核計畫 稽核小組的嚮導分配 稽核方法說明 稽核是基於抽樣方法 保密 結束會議時間 現場稽核 現場稽核時必須告知被稽核者 稽核開始 稽核範圍 大概使用時間 稽核結束 耐心聆聽,表示興趣 不要催促被稽核者,記得說請與謝謝 詢問正確的人,不要害怕問自己不懂的問題 澄清所聽到的答案必要時進一步追問 分析所聽到的答案中事實陳述及推論的部份 現場稽核 對不同階層提不同問題 管理階層提方向政策性問題 現場工作者提細部問題 過程導向 注意時間 執行稽核 進入稽核區域 請被稽核者介紹 解釋你想要看什麼東西 作必要深度的調查 如果未發現問題,則進行下一部份 不要不停地堅持稽核,直到發現問題為止 稽核報告 符合 不符合 部分不符合 觀察 改善建議 所見優點 不符合之客觀證據 ISMS的系統不符合ISO27001要求 ISMS的系統不符合組織政策 ISMS的系統未有效執行 ISMS的系統違背法規 客觀證據 支持某些存在或真實事件之資料 (可經由觀察、量測、測試或其他方法獲得 之) 稽核證據記錄, 已確認之事實陳述或其他與稽核相關之資 訊 ISO 19011:ISO 19011:2002 Clause 3.3 記錄事實 作爲客觀證據 供現在調查 供同事使用 供以後追查 – 必須便於查閱 – 字跡必須清楚 不符合事項判定 嚴重不符合事項 未實施或遵守ISO27001適用的要求或控制措施,造 成對保護敏感資訊之適當性的嚴重質疑或無法接 受的風險,可能導致整個系統嚴重失效. 部分不符合事項 未落實或遵守ISO27001適用的部份要求或控制措 施,造成對保護敏感資訊之適當性的輕微質疑或風 險,可能導致系統有單一失誤或意外事件 提出不符合事項報告 不符合項報告 客觀證據 – 依據的標準或有關文件 – 確認之地點/日期/時間 – 其他要求 不符合事項 稽核員於檢查防火牆資產編號FW2001時發 現 防火牆存取控制政策未確實設定,與組織 存取控制政策不符合 不符合ISO27001 A11.1.1Access control policy 4,12,2008 AM10:20 不符合事項 稽核員於檢查公司內部網站資產編號 IWS1001時發現員工詳細個人資料,可能不 符合個人資料保護法 不符合ISO27001 A15.1.4應保護個人私人 資訊 4,12,2008 AM10:20 不符合事項 稽核員於檢查公司 IT 部門時發現無足夠 證據記錄顯示可攜式媒體(磁帶、磁片、光 碟片、隨身碟及報表等)管理程序被有效執 行? 不符合組織可攜式媒體管理程序? 不符合ISO27001本文4.2.3 4,12,2008 AM10:20 部分不符合事項 稽核員於檢查公司IT 部門使用者存取權限 註冊及註銷之作業程序?時發現使用者存 取權限註冊及註銷紀錄中已離職員工 Ken(人事紀錄)其存取權限未註銷 不符合組織使用者存取權限註冊及註銷之 作業程序 部分不符合ISO27001 A11.1.5 內部稽核實行-結束會議 報告稽核發現 符合 不符合 部分不符合 改善建議 所見優點 確認稽核發現 討論改善方法 約定改善時限 內部稽核報告 稽核計畫 資訊安全管理稽核報告單 稽核總結報告 前言 不符合事項及統計 整體有效性及適切性的評估 建議 稽核活動之檢討 ‧謝謝您的參與 ! Turn Knowledge Into Valuable Services …