一、機密性(Confidentiality):合法取閱資訊。
二、完整性(Integrity):資訊或系統維持正確與完整。
三、可用性(Availability):資訊或系統需要時即可取用。
》分別列述於后:
一、 機密性(Confidentiality)
任何資訊儲存在本局的資訊系統中、資訊系統在處理中或在傳輸線上均要維持其機密性:
(一) 由遠端存取本局Intranet資訊必須要有防範機制,以防在資訊傳輸途中被竊取。
(二) 本局內部資訊系統中,較機密的資訊(包括電子檔或紙本)亦要有適當的保護,以防非法存取。
(三) 稽核紀錄保有重要活動的詳細資料亦要妥善保護,僅授權予適當人員存取。
二、 完整性(Integrity)
任何資料儲存在本局的資訊系統中、資訊系統在處理中或在傳輸線上均要保護,以防不當竄改及資訊系統在運作中被不當的操縱或入侵。
(一) 由遠端存取本局Intranet資訊必須要有防範機制,以防在資訊傳輸途中被竄改。
(二) 本局內部資訊系統中,較機密的資訊亦要有適當的保護,以防非法存取。
(三) 資訊系統的存取權限、威脅與脆弱點要加以控管以維持其完整性。
三、 可用性(Availability)
確保資訊與系統持續運轉無誤,當合法使用者要求使用資訊系統時,例如:收/送電子郵件、OA應用系統等,使用者均可在適當的時間內獲得回應,並完成服務需求,此可用性需與前二項機密性與完整性配合一起考慮,以符合既定的目標。例如線上資訊加密或記錄稽查資料會影響系統回覆時間或引來阻斷式服務而造成無法符合可用性。
而上述三目標具體呈現與實際執行方式說明如后:
四、 訂定具體安全目標
以CIA為基準,訂定相關安全目標,包括下列項目:
(一) 降低應用系統錯誤數10%
(二) 降低中毒次數10%
(三) 維持重要主機系統設備可用度為99.5%
(四) 降低其他資安事件次數10%
每年修訂此目標,且提報資安指導委員會核准
五、 訂定安全指標
依據安全目標訂定安全指標,可包括下列各項:
(一) 應用系統錯誤數量(Bug number)
(二) 中毒事件次數
(三) 重要主機系統可用度
六、 蒐集前述安全指標的方法
在資訊安全管理系統中,建置蒐集前述安全指標的機制,以確認執行成效。蒐集資料的安控機制包括下列各項:
(一) 資訊安全程序書,I-ISMS2201-XX 之
1. 2.4 資安事件管理
2. 2.8 監督系統使用狀況
3. 2.11 智慧財產使用管理
4. 2.12 內部資訊安全稽核
(二) 資訊安全事件處理辦法 I-ISMS2304-XX
(三) 業務持續運作管理 I-ISMS2305-XX
(四) 內部資訊安全稽核辦法 I-ISMS2306-XX
(五) 安全檢查及門禁管理辦法 I-ISMS2322-XX
七、 提報資安事件彙總資料
每季向資安指導委員會或局務會報提報資安事件彙總資料,說明資訊安全管理系統實施狀況。
2018年8月6日 星期一
訂閱:
張貼留言 (Atom)
《BEC 詐騙 》一封信丟了工作,還被雇主索賠 400 多萬台幣
2019 年 03 月 13 日 Trend Labs 趨勢科技全球技術支援與研發中心 企業資安 , 變臉詐騙/執行長 CEO詐騙/BEC- Business Email Compromise企業郵件受駭詐騙 根據 BBC 報導,一家蘇格蘭的媒體公司...
-
相信大家一定注意到了,各種媒體上經常按塔式、機架式和刀片式這三種結構來劃分服務器,服務器的外形為什麼會有這樣的劃分呢?主要原因就是具體的應用環境不同,塔式服務器長得跟我們平時用的台式機一樣,佔用空間比較大,一般是一些小型企業自己使用自己維護 而機架式服務器長得就像臥著的台...
-
一、機密性(Confidentiality):合法取閱資訊。 二、完整性(Integrity):資訊或系統維持正確與完整。 三、可用性(Availability):資訊或系統需要時即可取用。 》分別列述於后: 一、 機密性(Confidentiality) 任何資訊儲存...
-
Spiceworks Desktop是一套知名的免費網管軟體,只需在一臺Windows電腦上安裝,就可以監控網域內所有網路裝置,提供網頁介面的聯絡窗口,供使用者線上報修 免費的網管軟體中,Spiceworks Desktop相當知名,只需在一臺Windows電腦上安裝,就可以...
沒有留言:
張貼留言