iT邦幫忙

DAY 22
8

IT上櫃心法系列 第 22

[IT上櫃心法]-21.資通安全政策

  • 分享至 

  • xImage
  •  

資訊安全對於企業的營運是愈來愈重要與需要非常重視的議題,企業對資訊的依賴程度與日俱增,相關的法令也愈來愈完備(如即將實施的「個人資料保護法」),這些都關乎著企業該如何擬定妥善的資通安全政策。

稽核重點:是否有建置適當之資通安全檢查機制與規範?是否有指定專責人員執行資通安全檢查計劃?資通安全檢查文件是否有專責人員保管?

提供資料:資通安全管理辦法、資通安全檢查項目表
資通安全管理辦法,主要依據電腦處理個人資料保護法,並衡酌公司需求而訂定,主要功能為落實公司資訊安全政策,強化並提昇公司資訊作業之安全水準。

資訊安全主要是透過管理、作業及技術等安全防護手段、措施或機制,掌握公司各項資訊資產,避免遭不當使用、洩漏、竄改、竊取、破壞等,更重要的是當不幸遭受惡意攻擊、破壞或不當使用等緊急事故發生時,能夠迅速作必要之應變處置,並在最短時間內回復正常運作,以降低事故可能影響及危害公司業務運作之損害程度。其目標為建立安全及可信賴之電腦化作業環境,確保公司電腦資料、系統、設備及網路安全,以保障公司權益及永續經營。

資通安全管理辦法,其內容大綱大致可以分為幾個部分:
一、總則
二、資訊安全定義
三、資訊安全目標
四、資訊安全範疇
五、資訊安全管理作業規定
1.人員安全管理及教育訓練
2.電腦主機安全管理
3.資料安全管理
4.系統開發維護安全管理
5.網路安全管理
6.網路存取之安全控制
a.網路連線作業之控制
b.網路路由控制
c.即時通訊軟體使用控制
7.網路頻寬管理
8.系統與網路入侵之處理
9.設備安全管理
a.設備安置地點之防護
b.電源供應
c.設備維護
d.設備報廢處理之安全措施
10.實體環境安全管理
a.一般辦公環境之安全保護
b.電腦機房之安全管理
c.辦公桌面(註1)之安全管理
11.業務永續運作計畫管理
12.軟體使用管理
a.「著作權法」之宣導。
b.軟體採購程序
c.軟體安裝與配置程序
d.銷毀未獲授權的軟體
e.定期宣導
f.軟體使用守則
六、資通安全應變措施(相關執行細則:管理資訊系統緊急應變計劃)

我們在系列文章中所提到的各項檢查作業,其作業程序都規範在資通安全管理辦法中,如有變更,則需修正此辦法之相關條文,送交審查後公告實施。

資通安全管理辦法,除了資訊部門人員作業之依據外,公司內部稽核人員也是以此作為稽核之依據,資訊安全政策是否完備(擬定資通安全檢查項目表),當視其作業規定是否完善,執行是否確實;然而百密終有一疏,只有透過不斷的檢討與改進,方能使資安的工作能確實發揮其應有之功效。

註1:辦公桌面指電腦作業系統的 desktop,在資訊安全規範當中,應當要求人員離開電腦工作環境時,應將工作站鎖定後方能離開(Ctrl+Alt+Del),並應定期宣導。

全系列文章列表


上一篇
[IT上櫃心法]-20.緊急應變計畫及測試記錄
下一篇
[IT上櫃心法]-22.防火牆設定
系列文
IT上櫃心法31
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
0
海綿寶寶
iT邦大神 1 級 ‧ 2010-10-22 15:15:50

這讓我想起電影The Recruit
女主角為了測試公司門禁安控
將姆指碟藏在金屬保溫杯底
帶出公司那一幕
放馬過來

鎖定桌面我有碰過類似的
不過是要求「必須設定螢幕保護程式」
並且設定密碼
不耐煩

魯大 iT邦高手 1 級 ‧ 2010-10-22 17:02:38 檢舉

我都是不設定「螢幕保護程式」也不設定密碼的
我都是直接「登出」... 偷笑

0
魯大
iT邦高手 1 級 ‧ 2010-10-22 17:08:40

jamesjan提到:
管理資訊系統緊急應變計劃

最近小弟也在煩惱這件事
有可以參考的嗎??

jamesjan iT邦高手 1 級 ‧ 2010-10-22 19:14:36 檢舉

http://ithelp.ithome.com.tw/question/10055746
上一篇裡面有提到有提到該進行的項目
緊急應變計畫主要要讓稽核人員知道我們如果發生是故,可以如何找到維護的廠商
搭配復原測試的演練來確保應變計畫可以有效實施

如果您還需要哪些資訊,在麻煩告知

魯大 iT邦高手 1 級 ‧ 2010-10-26 18:14:54 檢舉

筆記謝謝

0
twnem
iT邦好手 1 級 ‧ 2010-10-22 18:29:14

資訊系統就是這樣
說簡單很簡單
說麻煩就是會讓您三餐不正常
左右為難

0
richardsuma
iT邦大師 1 級 ‧ 2010-10-26 17:36:27

jamesjan提到:
如即將實施的「電腦個人資料保護法」

應該是「個人資料保護法」,有「電腦」與沒有「電腦」適用的範圍不同。

※本法規部分或全部條文尚未生效
本法 99.05.26 修正公布之全文施行日期,由行政院定之。但現行條文第
19~22、43 條之刪除,自公布日施行。

可以參考 http://law.moj.gov.tw/LawClass/LawContent.aspx?pcode=I0050021

jamesjan iT邦高手 1 級 ‧ 2010-10-26 18:25:04 檢舉

感謝大大提醒,個資法的適用範圍更廣謝謝

不用客氣,不知你們公司「個資法」準備的怎麼樣?

我要留言

立即登入留言