https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=
https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=

觀點

ISO/IEC17799概述

2002 / 08 / 02
ISO/IEC17799概述

整理/編輯部


資訊是現今企業的命脈,快速取得正確的資訊是企業獲取競爭力的關鍵因素,要在這快速變化且競爭激烈的環境下成功,企業必須證明自己能夠適當地保護資訊的安全,包括組織本身、客戶及交易廠商的資訊。因此,面對日新月異的資訊科技,資訊安全是一個持續性的挑戰。


由於廣泛地涵蓋了所有的安全議題,由BSi(The British Standards Institution,英國標準協會)邀集業界相關領導廠商,為共同追求國際性品質的資訊安全管理系統所共同開發而成的標準BS7799,可適用於各種產業與組織,是一個包含了各面向的企業資訊安全管理標準。BS7799係由BSi、DNV等認證機構來做審核認證的動作,包括澳大利亞、紐西蘭、荷蘭、挪威及瑞典等國都相繼採用BS7799作為資訊安全管理系統的國家標準。BS7799並於2000年11月於國際標準組織(ISO)審核通過,成為全球通用與遵循之資訊安全管理系統規範,並於2000年12月1日正式頒佈為ISO/IEC17799。
什麼是ISO/IEC17799?
BSi於1995年2月提出BS7799 Part I,全名為Code of Practice for Information Security(資訊安全管理系統實施規則),隨後,BSi於1998年公佈BS7799 Part II,即Specification for information security management system(資訊安全管理系統驗證規範);1999年5月Bsi進一步修訂公佈新版BS7799 PartI、PartII。至2000年底,國際標準組織(ISO)為提供一套能供全球依循的資訊安全控管標準,乃將BSi所制定的「資訊安全管理實務準則」BS7799PartI納入世界標準,編號為:ISO/IEC17799。


ISO17799的內容與結構
p>ISO17799內容包含10大管理要項、36個執行目標與127種管制方法,其結構為:資訊安全範圍、風險審查與風險管理、資訊安全政策、資訊安全管理架構、資訊安全管理系統維護與審查。




10大管理要項

1.資訊安全政策:定義高階管理對資訊安全之期許與要求,並將其文件化,以利企業內資訊安全之推行。

2.組織與權責:幫助成立資訊安全部門,並定義其組織架構、運作流程與責任歸屬。

3.資產分類與管理:依照資訊資產之運作流程與資產價值,將資訊資產作分類,並規劃各不同等級資產所需之保護措施。

4.人員安全管制:為降低人為疏失發生機率,並減少人為之惡意侵害行為,將針對員工訓練、員工之資訊安全工作範圍與責任歸屬及重大事件呈報步驟,作相關規劃。

5.設備與環境之安全管理:規範有形資產之保護措施、安全裝備與一般控管原則。

6.通訊及作業之安全:針對資訊運作設施所規劃之控管措施,以確保資訊運作過程之正確與安全。

7.存取管制:使用者權限之設定應依使用者工作職權而給予,以降低未經授權存取系統資源之風險。

8.資訊系統之開發與維護:規劃企業內系統開發與維護過程,將資訊安全列入流程範圍。

9.業務活動永續運作之管理:規劃企業面臨重大意外事故時所需之應變措施與回復機制。

10.法令依據:避免企業之資訊管理系統違反相關法令,針對現有法律環境作適當之控管程序複核與改善。




36個執行目標、127種管制方法

例如:外來單位存取組織內資訊及資訊處理設施時之安全管理;委外加工處理時相關資訊之安全管理;降低人為錯誤、偷竊、欺騙或設備誤用之風險;當發生重大系統失效或人為疏失時,不會中斷企業活動且能保護企業的關鍵流程...等。



建立資訊安全管理標準的優點
建立資訊安全管理標準的具體優點可以針對企業內外兩部份來說明:

1.對內:改善企業資訊安全環境、降低資訊交易風險、提升企業經營利潤;

2.對外:增加消費者對企業之信心及滿意度、強化企業市場競爭力。




(資料提供:經濟部標準檢驗局、電腦稽核協會、普華資安資深顧問蔡興樺)