產(chǎn)業(yè)電子化課程課件

1、Ch14：資訊管理的安全與保護(hù)觀點(diǎn)祝天雄 博士100.07.本章大綱14.1 組織的資訊安全議題14.2 防火牆與網(wǎng)路安全14.3 資訊的加密系統(tǒng)與數(shù)位簽章14.4 組織整體的資訊安全管理系統(tǒng)：ISO27001架構(gòu)前言E化的結(jié)果，組織內(nèi)許多有價(jià)值之資訊以數(shù)位形式保存。Internet開(kāi)放的特性。資訊安全成為重要議題。314.1 組織的資訊安全議題(1/17)根據(jù)針對(duì)美國(guó)財(cái)星雜誌(Money)五百大企業(yè)的資訊安全調(diào)查報(bào)告發(fā)現(xiàn)：60%企業(yè)皆曾遇過(guò)未經(jīng)授權(quán)而資訊系統(tǒng)被使用的情形。77%發(fā)現(xiàn)到電腦安全入侵事件。74%企業(yè)表示受攻擊的來(lái)源點(diǎn)是網(wǎng)際網(wǎng)路連線。近30%受訪者表示沒(méi)有能力察覺(jué)資訊安全事件的來(lái)源

2、。因此，在e化的網(wǎng)路時(shí)代，組織的資訊安全便成為了一個(gè)非常重要的議題。組織的資訊安全議題(2/17)組織資訊安全的主要議題組織的資訊安全議題(3/17)組織資訊安全的環(huán)境與背景企業(yè)電腦化之普及所潛藏之危機(jī)犯罪並不一定要實(shí)際侵入實(shí)體的組織內(nèi)部作業(yè)，而只要透過(guò)電腦系統(tǒng)的入侵就可以輕而易舉地得到重要的資產(chǎn)與資訊。Internet的開(kāi)放性Internet其本身是開(kāi)放、公開(kāi)、相互連結(jié)的。因此，世界上任何人都可上網(wǎng)，只要你能力夠強(qiáng)，就有可能入侵他人的系統(tǒng)。匿名性與距離性犯罪者人在何處？是誰(shuí)在網(wǎng)路的另一端敲鍵盤？相對(duì)於實(shí)體就較難以追查。此外，網(wǎng)路入侵也較容易消滅或偽裝數(shù)位化證據(jù)，因此就更難查證。組織的資訊安全

3、議題(4/17)犯罪速度快、容易複製、波及面大由於許多電腦犯罪的行動(dòng)，例如病毒的傳播，其攻擊方式可以藉由非常容易的大量複製，透過(guò)相互連結(jié)網(wǎng)路傳遞的漣波效應(yīng)，更加擴(kuò)大打擊面。此外，電腦的破壞、資訊的盜取或是金錢的移轉(zhuǎn)等犯罪行為，常常在幾分鐘、甚至幾秒鐘內(nèi)就可以完成。電腦犯罪容易潛伏及隱藏例如程式中的邏輯炸彈潛藏在合法的程式中，待適當(dāng)?shù)臅r(shí)機(jī)再行破壞，如此一來(lái)，已失最佳防堵的時(shí)機(jī)，在蒐證上更行困難。法律的周延性不足目前許多犯罪的法律，都只沿用實(shí)體犯罪的法律規(guī)範(fàn)，辦案者也都非資訊專業(yè)人員，且法律規(guī)定亦跟不上這類層出不窮的電腦犯罪手法。組織的資訊安全議題(5/17)組織資訊安全的漏洞與弱點(diǎn)除上述的外部環(huán)

4、境之外，也由於組織的資訊系統(tǒng)先天上有許多安全的漏洞，或稱之為弱點(diǎn)(Vulnerabilities)，因此很容易遭受犯罪者入侵。作業(yè)系統(tǒng)本身的弱點(diǎn)不管是Windows或Linux系統(tǒng)，本身在安全上都有漏洞，例如Windows上的IIS、IE、SQL Server、UNIX的RPC、Apache Web Server、Sendmail等系統(tǒng)。通訊協(xié)定本身的弱點(diǎn)現(xiàn)行Internet上所使用的通訊協(xié)定，由於當(dāng)初在設(shè)計(jì)時(shí)，並沒(méi)有考慮安全的問(wèn)題，因此在通訊協(xié)定內(nèi)並沒(méi)有置入嚴(yán)密的安全保護(hù)機(jī)制，所以也存在了許多弱點(diǎn)。組織的資訊安全議題(6/17)網(wǎng)路軟體上的弱點(diǎn)例如網(wǎng)站郵件伺服器、檔案伺服器，也常常在設(shè)計(jì)當(dāng)初

5、或新增功能與服務(wù)時(shí)，並未周延考慮安全防禦，因此也存在著許多弱點(diǎn)。管理制度上的弱點(diǎn)組織常常並沒(méi)有制訂周延的安全防禦機(jī)制，包括資訊安全教育、資訊安全政策、資訊安管措施等措施，因此，也會(huì)產(chǎn)生許多管理制度上的弱點(diǎn)與漏洞。人員的弱點(diǎn)許多組織內(nèi)部的員工，由於各種不同的動(dòng)機(jī)，也常常會(huì)進(jìn)入企業(yè)內(nèi)部資訊系統(tǒng)內(nèi)進(jìn)行電腦犯罪(Computer Crime)的行為產(chǎn)生，一般來(lái)講內(nèi)賊難防，因此，此為組織最常遭受到的攻擊點(diǎn)。組織的資訊安全議題(7/17)網(wǎng)路安全的服務(wù)與目標(biāo)安全隱密性(Confidentiality)：指的是當(dāng)資料傳遞時(shí)，除了被授權(quán)的人，不會(huì)受到外力的擷取。身分認(rèn)證性(Authentication)：指的

6、是當(dāng)傳送方送出資訊時(shí)，就必須能確認(rèn)傳送者的身分是否為冒名。資料的完整性(Integrity)：指的是當(dāng)資料送達(dá)時(shí)必須保證資料沒(méi)有被篡改的疑慮。授權(quán)性(Authorization)：使用者只能擷取被授權(quán)部分的資訊。不可否認(rèn)性(Non-Repudiation)：使用者已使用或接受某項(xiàng)服務(wù)（例如下訂單）時(shí)，不能否認(rèn)其未使用過(guò)。組織的資訊安全議題(8/17)網(wǎng)路安全的威脅與攻擊的模式網(wǎng)路上的主要攻擊模式電腦病毒(Virus)的散布：電腦病毒可能會(huì)自行複製，或更改應(yīng)用軟體或系統(tǒng)的可執(zhí)行元件，或是刪除檔案、更改資料、拒絕提供服務(wù)，其常伴隨著電子郵件，藉由文件檔或執(zhí)行檔的巨集指令來(lái)散布。阻絕服務(wù)(DoS)：

7、指系統(tǒng)或應(yīng)用程式的存取被中斷或是阻止，讓使用者無(wú)法獲得服務(wù)。例如利用大量郵件炸彈塞爆企業(yè)的郵件伺服器，或藉由許多他人電腦送出http的請(qǐng)求而癱瘓Web Server。後門或特洛伊木馬程式：指未經(jīng)授權(quán)的程式，可以透過(guò)合法程式的掩護(hù)，而偽裝成經(jīng)過(guò)授權(quán)的流程，來(lái)執(zhí)行程式。組織的資訊安全議題(9/17)竊聽(tīng)(Sniffer)：指的是：使用者之識(shí)別資料或其他機(jī)密資料，在網(wǎng)路傳輸過(guò)程中被非法的第三者得知或取得重要的機(jī)密資訊。偽裝(Masquerade)：指攻擊者假裝是某合法使用者，而獲得使用權(quán)限。例如偽裝別人的名義傳送電子郵件，或偽裝官方的網(wǎng)站來(lái)騙取使用者的帳號(hào)與密碼。資料篡改(Data Manipula

8、tion)：指儲(chǔ)存或傳輸中的資料，其完整性被毀壞。否認(rèn)(Repudiation)：使用者拒絕承認(rèn)曾使用過(guò)某一電腦或網(wǎng)路資源，或曾寄出（收到）某一文件。例如價(jià)格突然大跌。網(wǎng)路釣魚(yú)(Phising)：此法主要是建立色情網(wǎng)站或者虛設(shè)、仿冒的網(wǎng)路商店，引誘網(wǎng)友線上消費(fèi)，並輸入信用卡卡號(hào)與密碼，以此來(lái)輕易獲取網(wǎng)友的機(jī)密資料。組織的資訊安全議題(10/17)雙面惡魔(Evil Twins) ：其是網(wǎng)路釣魚(yú)法另一種方式，指的是一種常出現(xiàn)在機(jī)場(chǎng)、旅館、咖啡廳假裝可提供正當(dāng)無(wú)線網(wǎng)路連結(jié)到Internet的應(yīng)用服務(wù)，當(dāng)使用者不知情登上此網(wǎng)路時(shí)，就會(huì)被竊取其密碼或信用卡資訊。網(wǎng)址轉(zhuǎn)嫁連結(jié)(Pharming)：犯罪者

9、常侵入ISP的伺服器中修改內(nèi)部IP的資訊並將其轉(zhuǎn)接到犯罪者偽造的網(wǎng)站，所以即使使用者鍵入正確的IP也會(huì)透過(guò)轉(zhuǎn)接到犯罪者的網(wǎng)站，而被擷取資訊。點(diǎn)擊詐欺(Click Fraud)：許多網(wǎng)路上的廣告例如Google，是靠點(diǎn)擊次數(shù)來(lái)計(jì)費(fèi)(Pay by Click)，但某些不法網(wǎng)站利用軟體程式或大量中毒的殭屍網(wǎng)站(Zomhies)不法的去點(diǎn)擊廣告，造成廣告商對(duì)這些大量非真正消費(fèi)者的點(diǎn)擊來(lái)付費(fèi)，或者有的犯罪者故意大量去點(diǎn)擊競(jìng)爭(zhēng)對(duì)手的廣告，讓其增加無(wú)謂的廣告費(fèi)用。組織的資訊安全議題(11/17)Rootkits：是指一堆能竊取密碼、監(jiān)聽(tīng)網(wǎng)路流量、留下後門並能抹掉入侵系統(tǒng)的相關(guān)記錄以及隱藏自己行蹤的程式集，為

10、木馬程式的一種。如果入侵者在系統(tǒng)中成功植入 Rootkits ，一般人將很難發(fā)現(xiàn)已經(jīng)被入侵，對(duì)於入侵者來(lái)說(shuō)，就能輕易控制系統(tǒng)，而且通行無(wú)阻。圖14-2 Web-based 系統(tǒng)各環(huán)節(jié)的資安威脅組織的資訊安全議題(12/17)當(dāng)代網(wǎng)路安全的重要趨勢(shì)與主要挑戰(zhàn)網(wǎng)路門戶開(kāi)放安全危機(jī)大病毒可以透過(guò)超文件傳輸協(xié)定(HTTP)的特殊連接埠(port:80)建立與企業(yè)網(wǎng)頁(yè)伺服器的連結(jié)，進(jìn)行破壞。病毒可以透過(guò)寄信通訊協(xié)定(SMTP)，進(jìn)行惡意的郵件轉(zhuǎn)發(fā)，造成企業(yè)網(wǎng)路頻寬與郵件伺服器的傷害。病毒可以任意更改網(wǎng)域名稱系統(tǒng)(DNS)，使企業(yè)內(nèi)部的網(wǎng)域名稱與IP位置無(wú)法順利相互映射，影響企業(yè)網(wǎng)路運(yùn)作。系統(tǒng)漏洞數(shù)量大根

11、據(jù)軟體安全研究機(jī)構(gòu)Secunia與賽門鐵克(Simetech)所公布2007年安全漏洞報(bào)告中，針對(duì)瀏覽器、瀏覽器外掛、作業(yè)系統(tǒng)、企業(yè)版防毒等軟體，總共發(fā)現(xiàn)有4690個(gè)安全漏洞。有72%的安全漏洞極為可能被攻擊者利用來(lái)入侵系統(tǒng)。組織的資訊安全議題(13/17)病毒的製造與變種更快2004年後網(wǎng)路上的大病毒一再的變種，Sasser有22種、Netsky有87種、MyDoom有99種，使得對(duì)於這些病毒的防制更加困難。Worm與Bot的聯(lián)手攻擊Botnet又稱傀儡程式(Bot)或受控制的網(wǎng)路系統(tǒng)或僵屍網(wǎng)路(Zombies)，指的是：一群已經(jīng)被駭客入侵並控制的電腦所組成的攻擊網(wǎng)路（有些數(shù)目多達(dá)10萬(wàn)臺(tái)）

12、，這些僵屍已經(jīng)在數(shù)位戰(zhàn)場(chǎng)上集結(jié)，等待駭客指揮官?gòu)倪h(yuǎn)端下達(dá)攻擊指令、進(jìn)行攻擊，這種集結(jié)所形成的攻擊力量非常駭人，包括引發(fā)洪水般的分散式阻絕服務(wù)攻擊(Distributed DoS, DDoS)的大量寄發(fā)、難以追蹤的垃圾郵件(SPAM)或是大量散布惡意程式(Malicious Code) 。組織的資訊安全議題(14/17)DDos的威脅加大蠕蟲(chóng)是透過(guò)E-Mail在網(wǎng)路上大量傳播的病毒，例如Netsky與Bagle。Worm與Bot最近發(fā)展出了下列兩種聯(lián)手攻擊的方式：Worm散布Bot：亦即駭客使用Worm來(lái)散布Bot，僅僅一隻發(fā)信Worm便可以將Bot傳播到數(shù)以千計(jì)的Botnet。Bot散布Wor

13、m，Worm再散布Bot的持續(xù)循環(huán)：例如2004年的Netsky與Bagle變種版本是利用Bot散布Worm，入侵攻陷後，再由Worm散布及植入更多的Bot，如此所形成的散布循環(huán)，其波及的威力可想而知。無(wú)線手機(jī)的攻擊手機(jī)的病毒威脅手機(jī)與電腦同時(shí)下毒簡(jiǎn)訊網(wǎng)釣(SMiShing)組織的資訊安全議題(15/17)Web 2.0的攻擊AJAX可被攻擊者編寫(xiě)惡意鏈結(jié)，使用戶端的瀏覽器去特定網(wǎng)頁(yè)，造成電腦破壞。利用RSS feed檔案中插入惡意JavaScript程式，可在用戶端非法安裝軟體或是竊取Cookies資訊。網(wǎng)路釣魚(yú)客的猖獗網(wǎng)路釣魚(yú)，即利用虛設(shè)或仿冒的網(wǎng)站以超低價(jià)或誘人的免費(fèi)贈(zèng)品來(lái)引誘消費(fèi)者上網(wǎng)

14、登錄個(gè)人私密資料或進(jìn)行採(cǎi)購(gòu)行為，利用此手法來(lái)釣到受害者的個(gè)人機(jī)密或金錢的一種電腦犯罪行為，其不僅傷害個(gè)人，也傷害被仿冒的企業(yè)名聲。主要有下列三種型態(tài)：Web型DM型賀卡型當(dāng)代網(wǎng)路安全的重要趨勢(shì)與主要挑戰(zhàn)(2/2)無(wú)線手機(jī)的攻擊(Cell Phone Attack)Web 2.0的攻擊(Web 2.0 Attack)：的社交網(wǎng)站面臨更多安全問(wèn)題雲(yún)端運(yùn)算架構(gòu)上的攻擊(Cloud Computing Aetach)網(wǎng)路釣魚(yú)客的猖獗間諜軟體與惡意程式的猖獗惡意的SPAM社交工程的攻擊組織的資訊安全議題(16/17)2007年約有196860個(gè)不同的網(wǎng)路釣魚(yú)攻擊訊息，平均每天攔截到1250萬(wàn)封的釣魚(yú)郵件

15、。被冒用來(lái)作為釣魚(yú)攻擊誘餌的企業(yè)或品牌中，有79%為金融財(cái)務(wù)單位。網(wǎng)路釣魚(yú)攻擊的目標(biāo)以拍賣網(wǎng)站如eBay為首要。間諜軟體的猖獗間諜軟體是一個(gè)廣泛的名詞，泛指所有快速繁殖，且能夠巧妙滲入PC的合法廣告軟體，以及具有明顯惡意的工具，例如鍵盤側(cè)錄器，其又被稱之為可能不需要的程式(PUPs)。惡意的SPAM上述PUPs整合SPAM就稱為惡意的SPAM。根據(jù)資安人雜誌2007年的報(bào)告，在所監(jiān)測(cè)到的E-Mail流量中，有61%被歸類為垃圾郵件。平均每攔截到233封垃圾郵件中，就有一封是帶有惡意程式。圖14-3 網(wǎng)路安全的新威脅與挑戰(zhàn)組織的資訊安全議題(17/17)網(wǎng)路安全的主要防護(hù)機(jī)制14.2 防火牆與網(wǎng)

16、路安全(1/4)防火牆的基本概念防火牆(Firewall)顧名思義就是防止網(wǎng)際網(wǎng)路上的危險(xiǎn)延伸到企業(yè)內(nèi)部網(wǎng)路。圖14-4為其基本架構(gòu)，防火牆介於網(wǎng)際網(wǎng)路和企業(yè)內(nèi)部網(wǎng)路相連結(jié)之間。所以網(wǎng)際網(wǎng)路和企業(yè)內(nèi)部網(wǎng)路兩者之間的傳輸，均需經(jīng)過(guò)防火牆，如此防火牆可先檢查傳輸?shù)暮戏ㄐ?，若是合法，傳輸連結(jié)方能送達(dá)目的地。防火牆與網(wǎng)路安全(2/4)防火牆的技術(shù)與架構(gòu)封包過(guò)濾型以封包過(guò)濾方式的防火牆，檢查往來(lái)的封包，依據(jù)封包的標(biāo)頭資訊，以及該企業(yè)制定的安全策略，決定封包之合法性。屏障式路由器就是一種以封包過(guò)濾方式的防火牆。代理者型以代理者方式的防火牆主機(jī)，可以是含有兩個(gè)網(wǎng)路介面卡的主機(jī)。一個(gè)介面連接網(wǎng)際網(wǎng)路；另一個(gè)連

17、接內(nèi)部網(wǎng)路。兩者並非直接相連，連結(jié)要求必須經(jīng)過(guò)合法檢驗(yàn)。這種防火牆也被稱之為應(yīng)用閘道。防火牆與網(wǎng)路安全(3/4)防火牆的基本目標(biāo)過(guò)濾封包以阻止網(wǎng)路駭客的入侵。作為所有封包進(jìn)出的門戶，方便管理者集中式的管理。過(guò)濾系統(tǒng)安全政策所禁止的網(wǎng)路服務(wù)。保護(hù)企業(yè)內(nèi)部網(wǎng)路，避免來(lái)自網(wǎng)際網(wǎng)路的入侵。當(dāng)外部使用者存取高度機(jī)密檔案時(shí)，先加以記錄並通知系統(tǒng)管理者。調(diào)節(jié)網(wǎng)路交通流量。防火牆與網(wǎng)路安全(4/4)防火牆的主要問(wèn)題較難提供全面性的安全無(wú)法提供資料隱密性無(wú)法確認(rèn)資料來(lái)源的認(rèn)證性無(wú)法預(yù)防內(nèi)部威脅無(wú)法保護(hù)那些不經(jīng)過(guò)防火牆的網(wǎng)路連結(jié)14.3 資訊的加密系統(tǒng)與數(shù)位簽章(1/8)資訊加密的主要機(jī)制加密：將原始文件轉(zhuǎn)換成亂

18、碼，而唯有使用解密的金鑰(Key)才能讀出原文的程序。資訊的加密系統(tǒng)與數(shù)位簽章(2/8)Key：一長(zhǎng)串的文字、符號(hào)、數(shù)字的組合，用其來(lái)轉(zhuǎn)換原始的文件，使得原始文件變成亂碼。對(duì)稱式加密法：為傳統(tǒng)的加密法，其特色是買賣雙方同時(shí)持有一個(gè)同樣的 Key 來(lái)加密和解密，所使用的Key稱為秘密金鑰(Secret Key)。但 Secret Key有一個(gè)很大的問(wèn)題，如每個(gè)企業(yè)對(duì)業(yè)務(wù)往來(lái)的對(duì)象都有不同的Key，且常常要換（甚至每個(gè)交易都要換），造成管理上非常複雜、成本很高。非對(duì)稱式加密法，稱之為公鑰的基礎(chǔ)設(shè)施(PKI)。此法的特色主要是使用兩把對(duì)應(yīng)配對(duì)的Key，即公鑰(Public Key)與私鑰(Priva

19、te Key)，互相可加密解密對(duì)方。圖14-6 非對(duì)稱式的加密法資訊的加密系統(tǒng)與數(shù)位簽章(3/8)數(shù)位簽章與資訊安全數(shù)位簽章(DS)，是利用PKI的機(jī)制來(lái)保護(hù)資料傳遞的隱密性與不可否認(rèn)性的一種通訊安全機(jī)制。而支援?dāng)?shù)位簽章的主要機(jī)制，包括下列幾點(diǎn)：碎映函式，是對(duì)於任一長(zhǎng)度的訊息，將其映射成一個(gè)固定長(zhǎng)度（例如128 Bits）的數(shù)值。數(shù)位簽章，指?jìng)魉驼邔⑽募?jīng)特別碎映函式運(yùn)算後產(chǎn)生一獨(dú)特的號(hào)碼(128 Bits)，稱之為訊息摘要，再利用傳送方的Private Key對(duì)此摘要加密，謂之?dāng)?shù)位簽章(DS)。圖14-7 數(shù)位簽章流程圖資訊的加密系統(tǒng)與數(shù)位簽章(4/8)電子認(rèn)證中心(CA)，指一個(gè)有公信力的

20、第三者，如財(cái)團(tuán)法人、銀行、信用卡公司等等。消費(fèi)者、廠商、 銀行之所以可以非常放心地在EC上交易，是因?yàn)檫@些廠商或消費(fèi)者已通過(guò)上述有公信力的第三者審核，是規(guī)規(guī)矩矩的企業(yè)、銀行、消費(fèi)者。CA最主要的任務(wù)是管理買賣雙方的認(rèn)證問(wèn)題，包括發(fā)放、儲(chǔ)存及管理註冊(cè)者的電子證書(shū)、Public Key及個(gè)人資料，使用者要先註冊(cè)登記，取得電子憑證。圖14-8 電子憑證的主要內(nèi)容資訊的加密系統(tǒng)與數(shù)位簽章(5/8)安全電子交易協(xié)定(SET)，是 Visa 與 Master Card 兩大信用卡組織並結(jié)合 IBM、Microsoft、Netscape 等公司於1996年2月協(xié)議發(fā)展出在 Internet 上以信用卡付款方

21、式的安全交易協(xié)定，是一個(gè)整合利用加密、Public Key/Private Key、數(shù)位簽章、認(rèn)證中心等機(jī)制，用以保護(hù)買賣雙方資料傳遞的隱密性、安全性與確認(rèn)性。資訊的加密系統(tǒng)與數(shù)位簽章(6/8)數(shù)位信封與SSL數(shù)位信封是指利用速度較快、較不安全的對(duì)稱式加密法的秘密金鑰來(lái)對(duì)大量的文章內(nèi)容加密，之後利用較安全的PKI來(lái)對(duì)秘密金鑰加密（由於其數(shù)量很小，因此不會(huì)妨害速度），而其主要的利用方法即是所謂的SSL。SSL此為數(shù)位信封的應(yīng)用，其是目前最被普及利用的安全機(jī)制，主要的安全防護(hù)程序如下：Server端將自己由CA所發(fā)給的電子憑證傳送給Client端。Client端的Browser，其儲(chǔ)存有世界主要C

22、A的公鑰，可利用此來(lái)解開(kāi)Server的電子憑證，取得其內(nèi)部的企業(yè)資訊與其公鑰。資訊的加密系統(tǒng)與數(shù)位簽章(7/8)Client端的IE會(huì)隨機(jī)產(chǎn)生一個(gè)對(duì)稱式的秘密金鑰，SSL利用此金鑰對(duì)內(nèi)文（信用卡號(hào)或訂單）加密，再利用Server端的公鑰對(duì)秘密金鑰加密，形成數(shù)位信封。Client端將密文（信用卡號(hào)）與數(shù)位信封（亦即利用企業(yè)公鑰加密保護(hù)的秘密金鑰），一起傳送給Server。Server端以自己的私鑰解開(kāi)數(shù)位信封內(nèi)的秘密金鑰，再以秘密金鑰解開(kāi)內(nèi)文（亦即信用卡資料）。由以上的說(shuō)明可知，SSL只對(duì)Server端有進(jìn)行CA的認(rèn)證，但並沒(méi)有對(duì)Client端的消費(fèi)者進(jìn)行認(rèn)證，因此其可說(shuō)是半個(gè)PKI與SET。資

23、訊的加密系統(tǒng)與數(shù)位簽章(8/8)14.4 組織整體的資訊安全管理系統(tǒng)：ISO27001架構(gòu)(1/6)ISO27001的主要控管架構(gòu)目前國(guó)際間最知名、最普遍被採(cǎi)用的資訊安全規(guī)範(fàn)就是所謂的 ISO27001（原來(lái)稱為BS7799）標(biāo)準(zhǔn)，2005年被ISO接受改名為ISO27001。資安的政策與組織構(gòu)面資訊安全政策主要的目的在於明確並廣泛陳述組織資安的願(yuàn)景與方向。資訊安全政策可以形成企業(yè)由上而下的安全共識(shí)；此外這項(xiàng)政策是一個(gè)企業(yè)ISMS的最高指揮方針，並以此方針來(lái)規(guī)範(fàn)以下其他所有的控管作業(yè)。圖14-10 ISO27001的主要11個(gè)資安架構(gòu)表14-2 ISO27001的主要11個(gè)資安控管要項(xiàng)組織整體

24、的資訊安全管理系統(tǒng)：ISO27001架構(gòu)(2/6)安全組織(Security Organization)資訊安全的推動(dòng)，必須要有適當(dāng)?shù)慕M織架構(gòu)來(lái)支援。分為下列兩種組織：內(nèi)部安全組織：此部分的主要控管作業(yè)包括管理單位對(duì)資安的承諾、資安工作的協(xié)調(diào)、責(zé)任的配置、授權(quán)的程序、保密的協(xié)議、獨(dú)立的資安審查等。外部安全組織：主要工作是當(dāng)資安工作委外給資訊安全管理提供者(MSSP)，如何識(shí)別與管理中間的風(fēng)險(xiǎn)，雙方安全如何分工與管理等都是這個(gè)層面所需要考慮的。資產(chǎn)管理(Asset Management)資產(chǎn)責(zé)任資產(chǎn)風(fēng)險(xiǎn)分類：將資訊資產(chǎn)分類，目的在於顯現(xiàn)出組織重視資訊資產(chǎn)的保護(hù)，並且依優(yōu)先權(quán)不同的資訊資產(chǎn)給予適當(dāng)安