ISMS是Information Security Management System的縮寫,即為資訊安全管理系統,意指系統化的分析和控管資訊系統的管理流程,目標在於將資訊安全風險降到可承受的範圍之內。
- 機密性(Confidentiality):確保只有被授權的用戶,可以依權限存取資料。
- 完整性(Integrity):確保資料是完整的,沒有被竊取或不當修改。
- 可用性(Availability):確保被授權的用戶,在需要資料時,能順利獲得資料。
資訊安全管理的原則
- 標準化原則:各階段應遵守安全規範,並依據組織的安全需求來制定策略。
- 系統化原則:根據安全工程的要求,對系統各階段(包括升級、更新及功能擴充)來進行全面地考量。
- 綜合保障原則:人員、資金、技術等多元的保障。
- 以人為本原則:以技術為關鍵,以管理為核心,提高人員的技術素養和道德水平。
- 最高管理者負責原則:除了人員的參與,最高管理者也必須要負起責任才能落實組織內部的資訊安全管理。
- 預防原則:資訊安全管理必須以預防為本,並要有一定的危機意識。
- 風險評估原則:根據實踐對系統定期進行風險評估以改進系統的安全狀況。
- 動態原則:根據環境的改變和技術的進步,提高系統的保護能力
- 成本效益原則:根據資源價值和風險評估結果,採用適度的保護措施。
- 均衡防護原則:整個系統的安全強度取決於防護最薄弱的一處,只一昧追求某個方面的安全強度並沒有實際意義。因此,資訊安全防護必須要注重整體的均衡性。
- 分權制衡原則:關鍵流程的管理權限若只交給一個人,若出現漏洞將全盤崩潰,分權可以達到制約、提高安全性的效果。
- 普遍參與原則:所有的相關人員都必須要參與並負起責任
資訊安全管理制度的成功要素
- 最高管理者的承諾與支援
- 適切的資源
- 資訊安全政策、目標、活動與業務的結合
- 管理方法與架構需與組織內部的文化契合
- 對風險評估、管理與資訊安全需求的了解
- 針對內部人員的觀念推廣與教育訓練
- 相關安全文件容易取閱
- 建置適切的安全事件管理流程
- 完整的評估及回饋機制
相關的ISO標準
- ISO/IEC 27000 — 資訊安全管理系統 - 綜述及詞彙
- ISO/IEC 27001 — 資訊安全管理系統 - 要求
- ISO/IEC 27002 — 資訊安全管理實踐準則
- ISO/IEC 27003 — 資訊安全管理系統實施指導
ISMS是Information Security Management System的縮寫,即為資訊安全管理系統,意指系統化的分析和控管資訊系統的管理流程,目標在於將資訊安全風險降到可承受的範圍之內。
- 機密性(Confidentiality):確保只有被授權的用戶,可以依權限存取資料。
- 完整性(Integrity):確保資料是完整的,沒有被竊取或不當修改。
- 可用性(Availability):確保被授權的用戶,在需要資料時,能順利獲得資料。
資訊安全管理的原則
- 標準化原則:各階段應遵守安全規範,並依據組織的安全需求來制定策略。
- 系統化原則:根據安全工程的要求,對系統各階段(包括升級、更新及功能擴充)來進行全面地考量。
- 綜合保障原則:人員、資金、技術等多元的保障。
- 以人為本原則:以技術為關鍵,以管理為核心,提高人員的技術素養和道德水平。
- 最高管理者負責原則:除了人員的參與,最高管理者也必須要負起責任才能落實組織內部的資訊安全管理。
- 預防原則:資訊安全管理必須以預防為本,並要有一定的危機意識。
- 風險評估原則:根據實踐對系統定期進行風險評估以改進系統的安全狀況。
- 動態原則:根據環境的改變和技術的進步,提高系統的保護能力
- 成本效益原則:根據資源價值和風險評估結果,採用適度的保護措施。
- 均衡防護原則:整個系統的安全強度取決於防護最薄弱的一處,只一昧追求某個方面的安全強度並沒有實際意義。因此,資訊安全防護必須要注重整體的均衡性。
- 分權制衡原則:關鍵流程的管理權限若只交給一個人,若出現漏洞將全盤崩潰,分權可以達到制約、提高安全性的效果。
- 普遍參與原則:所有的相關人員都必須要參與並負起責任
資訊安全管理制度的成功要素
- 最高管理者的承諾與支援
- 適切的資源
- 資訊安全政策、目標、活動與業務的結合
- 管理方法與架構需與組織內部的文化契合
- 對風險評估、管理與資訊安全需求的了解
- 針對內部人員的觀念推廣與教育訓練
- 相關安全文件容易取閱
- 建置適切的安全事件管理流程
- 完整的評估及回饋機制
相關的ISO標準
- ISO/IEC 27000 — 資訊安全管理系統 - 綜述及詞彙
- ISO/IEC 27001 — 資訊安全管理系統 - 要求
- ISO/IEC 27002 — 資訊安全管理實踐準則
- ISO/IEC 27003 — 資訊安全管理系統實施指導