資訊安全三要素CIA

機密性(Confidentiality)

確保資訊的存取須經過授權。
除了確保隱密性，也降低機密資料陷入威脅的機率。

保護措施

• 將資料分類或標籤化
• 對資料存取者進行身份驗證
• 對傳輸中的數據進行加密

完整性 (Integrity)

確保資訊的內容正確且完整。

保護措施

• 電子文件導入數位簽章
• 獲取具公信力機構發行認證的安全性證書

可用性 (Availability)

確保經授權後的使用者，隨時能確實存取及使用。
參考機密性、完整性 做出整體評估。

保護措施

• 定期軟體修補
• 系統升級
• 資料備份

其它要素

• 不可否認性 Non-repudiation
• 鑑別性 Authentication
• 存取權限控制 Access Control

資訊安全管理系統(ISMS)

是一套有系統地分析和管理資訊安全風險的方法。
利用 PDCA 循環(戴明循環)的概念來持續地管理資訊安全

圖片來源: Karn Bulsuk

計畫 Plan

了解範圍，進行評估，制訂目標，制定「計畫」

執行 DO

依據計畫，採取行動，建立管理制度。

檢查 Check

檢討計畫與成果，績效評呼，管理審查會議。

改進 Act

針對落差原因，修正與調整，持續追蹤。

稽核

• 內部稽核
  • 第一方稽核
    由組織內部所執行，可做為組織的自我符合聲明之基礎
• 外部稽核
  • 第二方稽核
    由與組織有相關利益關係如上級單位或客戶所執行
  • 第三方稽核
    獨立於組織的稽核機構所執行
    可建議 ISO27001 通過發放

參考資料

• 從零開始學資安 — 什麼是資訊安全?
• ITRI College+ 工研院產業學院課程
• 中華資安
• thenewslens
• PDCA