1.依據我國政府相關規定行政院及所屬各機關資訊安全管理要點,行政院有訂定「行政院及所屬各機關資訊安全管理規範」 ,供全國政府機關 (構) 參考施行。
2.「 建立我國通資訊基礎建設安全機制計畫(94-97年)」,緣由起因於資訊通訊科技蓬勃發展,網際網路(Internet)隨之興起,基於開放、自由、易於使用等特性,不僅是個人、組織、政府間訊息交換、傳佈的主要管道,資訊應用及整備度等更成為國際間衡量國家競爭力的重要指標。
資料來源:行政院資國家安全會報
何謂 ISMS (Information Security Management System) ?
是一套有系統地分析和管理資訊安全風險的方法。
要達到100% 的資訊安全是一種過高的期望,資訊安全管理的目標是透過控制方法,把資訊風險降低到可接受的程度內。
我國的政府機關、企業界、組織單位以實施資訊安全管理系統(ISMS),導入ISO作為其風險管理策略之一環,而新版ISO標準之發行更及時的提供對資訊安全管理系統的整體概念。
ISO/IEC 27001:2005 (資訊安全管理系統)提供了資訊技術、安全技術、資訊安全管理系統三者的整體概念。
以協助各種不同類型之企業組織、各部室單位了解如何改善保護他們的資訊資產的基本原則、原理與觀念。
重要性
- 表達提供安全營運環境的決心與承諾。
- 定義使用資訊與資訊系統的規範。
- 策劃資訊安全架構。
- 為管理階層與全體員工溝通之依據。
目標
對內
- 企業具備安全管理能力
- 建立「安全等級」資訊管理制度
- 為資訊架設一套安全防護機制
對外
- 防範病毒及駭客入侵
- 遭受攻擊時,系統仍可維持正常運作能力
ISMS 運作模式
為何要導入ISO 27001:
- 提升企業整体競爭力及形象。
- 確保業務資訊之機密性、完整性與可用性。
- 機密性:確保被授權之人員才可使用資訊。
- 完整性:確保使用之資訊正確無誤、未遭竄改。
- 可用性:確保被授權之人員能取得所需資訊。
- 鑑別資訊安全管制點,包括組織員工、客戶、供應商與股東。
- 消除與日俱增之資訊安全威脅,如:營業機密(研發成果)、欺詐、間諜、破壞、毀損、天災、電腦病毒、駭客入侵等。
- 建立資訊硬體設施及軟體之管理機制,以統籌分配、運用全公司資源。
- 實施資訊安全教育訓練,宣導資訊安全政策及相關實施規定。
- 建立適切之管理程序流程,確保資訊安全。
- 明確規範資訊系統及網路服務之使用權限,防止未經授權之存取動作。
- 訂定資訊作業安全災變回復計畫並實際演練,確保業務持續運作。
- 強化風險管理。
相關連結
- 如貴單位有關於ISMS管理制度導入顧問輔導,請聯繫 Email住址會使用灌水程式保護機制。你需要啟動Javascript才能觀看它
聯絡我們