返回
资讯安全管理-资讯安全政策

资讯安全管理-资讯安全政策

ID:76007480

大小:288.88 KB

页数:94页

时间:2022-01-13

资讯安全管理-资讯安全政策_第1页
资讯安全管理-资讯安全政策_第2页
资讯安全管理-资讯安全政策_第3页
资讯安全管理-资讯安全政策_第4页
资讯安全管理-资讯安全政策_第5页
资讯安全管理-资讯安全政策_第6页
资讯安全管理-资讯安全政策_第7页
资讯安全管理-资讯安全政策_第8页
资讯安全管理-资讯安全政策_第9页
资讯安全管理-资讯安全政策_第10页
资源描述:

《资讯安全管理-资讯安全政策》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、5-1資訊安全管理委辦單位:教育部顧問室資通安全聯盟執行單位:淡江大學資訊管理學系5-2課程模組大綱Module1:資訊安全管理概論Module2:資訊安全風險Module3:先期規劃Module4:風險評鑑Module5:資訊安全政策Module6:資訊安全管理組織Module7:資產管理Module8:人力資源管理Module9:實體與環境安全管理5-3Module10:通信與作業管理Module11:存取控制Module12:資訊系統的取得、開發及維護Module13:資安事故管理Module14:營運持續管理Module15:法令、政策、標準、及技術的

2、符合性Module16:內部稽核Module17:管理審查Module18:持續改進5-4Module5:資訊安全政策5-5學習目的本模組目的在於學習資訊安全政策之基本概念、資安政策之實施要點,以及資安政策之範例等。本模組的重點是瞭解什麼是資訊安全政策,以及資安政策之實施要點,包括:資安政策文件內容、資安政策之公布傳達,以及資安政策之審查等。並透過某公司與某大學資訊中心IDC機房ISMS政策之範例,具體瞭解資安政策。5-6Module5:資訊安全政策Module5-1:概述Module5-2:實施要點Module5-3:範例參考文獻習題5-7Module5-1

3、:概述5-8Module5-1:概述資安政策(InformationSecurityPolicy)是組織建置資安管理制度不可或缺的重要元素。資安政策是管理階層依照組織營運要求(如:保護公司資產、保護客戶資訊、…)、相關法律、法規(如:個人資料保護法、智慧財產權、組織營業秘密保護法、…)與客戶合約要求,對組織資安管理提出執行方向與支持承諾。Module5-15-9如同組織的經營願景與方向,管理階層必須設定並提出與營運目標一致之明確資安政策指示。經由溝通與發布至整個組織,展現對資訊安全的支持與承諾。當組織訂有明確的資安政策後,所有同仁將可清楚認知資安責任。只要落實

4、政策要求,將可達成資安管理目標,提供交易夥伴信心,增加商業機會及營運競爭力。Module5-15-10Module5-2:實施要點5-11Module5-2:實施要點資安政策文件應陳述管理階層的承諾,提出組織管理資訊安全的作法,由管理階層核准,並公布傳達給所有員工與相關外部團體。Module5-25-12一、資安政策文件內容資安政策文件一般包括下列事項的具體陳述:(可參閱例5-1)資安政策目的及範圍:闡述資安政策之目的,明確界定資安範圍,強調保護資訊之安全制度重要性。Module5-25-13管理階層意向的聲明:資安政策應能明確看出管理階層之資安態度及期望。除

5、其展現支持與營運策略目標一致的資安目的及原則外,並應適當提供資源,表達對資安之支持與承諾。Module5-2-一5-14資安目標:說明組織所設定的資安目標,以建立組織整體意識及關於資訊安全之各項行動原則。資安目標宜具體量化,以利審查資安活動之有效性及適切性。如:年度資安事件數量、重要資訊系統之可用率,或資訊處理之正確率等。Module5-2-一5-15風險評鑑與風險管理的結構:說明組織如何運用風險評鑑方法對風險進行評估,及如何設定各項控制目標與控制措施,對風險進行處理及管理。有關風險評鑑及風險處理,請參閱Module4。Module5-2-一5-16資安責任:

6、界定資安管理的一般與特定責任,資安政策尚應包括核准、審查及評估安全政策之管理責任。例如:最高管理階層負有核准、審查之責,各管理階層負有評估、修正之責,所有同仁負有遵循責任等。Module5-2-一5-17法令法規遵循性(Compliance):考量營運與法律或法規要求,以及合約的安全義務,簡要說明安全政策、原則、標準以及對組織特別重要之遵循性要求。遵循法律、法規及合約要求。安全教育、訓練及認知要求。營運持續管理(BusinessContinuityManagement,BCM)。違反資訊安全政策的後果。Module5-2-一5-18政策支援文件:資安政策可能會

7、需要其他支援補充文件。例如:針對特定資訊系統所展開的細部安全政策和程序,或使用者應遵循的安全規則,可能包括可攜式媒體政策、網路使用政策或通行碼使用政策等。相關的政策文件應考慮針對預期之使用者,以其方便取得及易於瞭解的形式,向整個組織的使用者傳達。Module5-2-一5-19其他注意事項:資安政策可視為一般管理政策文件的一部分。若資安政策散布至組織外,應注意避免揭露組織敏感性資訊。Module5-2-一5-20二、資安政策之公布傳達資安政策制定後,應透過適當方式公布及傳達至所有相關組織及人員(包括外部團體及第三方使用者),以使同仁清楚瞭解政策內容,有效落實安全

8、要求。Module5-25-21政策公

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。