2018/10/8
什麼是ISMS?
ISMS是透過風險管理架構的適用,來保護資訊的機密性、完整性、與可用性,且此資訊安全應經充分的考量。ISMS的設計與實施會隨著組織的規模、需求、目標、安全要求以及作業流程而有所不同。
ISMS是Information Security Management System的縮寫,即為資訊安全管理系統,意指系統化的分析和控管資訊系統的管理流程,目標在於將資訊安全風險降到可承受的範圍之內。


什麼是isms


ISMS是透過風險管理架構的適用,來保護資訊的機密性(Confidentiality)、完整性(Integrity)與可用性(Availability),且此資訊安全應經充分的考量。ISMS的設計與實施會隨著組織的規模、需求、目標、安全要求以及作業流程而有所不同。
  • 機密性(Confidentiality):確保只有被授權的用戶,可以依權限存取資料。
  • 完整性(Integrity):確保資料是完整的,沒有被竊取或不當修改。
  • 可用性(Availability):確保被授權的用戶,在需要資料時,能順利獲得資料。


資訊安全管理的原則

  1. 標準化原則:各階段應遵守安全規範,並依據組織的安全需求來制定策略。
  2. 系統化原則:根據安全工程的要求,對系統各階段(包括升級、更新及功能擴充)來進行全面地考量。
  3. 綜合保障原則:人員、資金、技術等多元的保障。
  4. 以人為本原則:以技術為關鍵,以管理為核心,提高人員的技術素養和道德水平。
  5. 最高管理者負責原則:除了人員的參與,最高管理者也必須要負起責任才能落實組織內部的資訊安全管理。
  6. 預防原則:資訊安全管理必須以預防為本,並要有一定的危機意識。
  7. 風險評估原則:根據實踐對系統定期進行風險評估以改進系統的安全狀況。
  8. 動態原則:根據環境的改變和技術的進步,提高系統的保護能力
  9. 成本效益原則:根據資源價值和風險評估結果,採用適度的保護措施。
  10. 均衡防護原則:整個系統的安全強度取決於防護最薄弱的一處,只一昧追求某個方面的安全強度並沒有實際意義。因此,資訊安全防護必須要注重整體的均衡性。
  11. 分權制衡原則:關鍵流程的管理權限若只交給一個人,若出現漏洞將全盤崩潰,分權可以達到制約、提高安全性的效果。
  12. 普遍參與原則:所有的相關人員都必須要參與並負起責任


資訊安全管理制度的成功要素

  • 最高管理者的承諾與支援
  • 適切的資源
  • 資訊安全政策、目標、活動與業務的結合
  • 管理方法與架構需與組織內部的文化契合
  • 對風險評估、管理與資訊安全需求的了解
  • 針對內部人員的觀念推廣與教育訓練
  • 相關安全文件容易取閱
  • 建置適切的安全事件管理流程
  • 完整的評估及回饋機制


相關的ISO標準

  • ISO/IEC 27000 — 資訊安全管理系統 - 綜述及詞彙
  • ISO/IEC 27001 — 資訊安全管理系統 - 要求
  • ISO/IEC 27002 — 資訊安全管理實踐準則
  • ISO/IEC 27003 — 資訊安全管理系統實施指導
ISMS是Information Security Management System的縮寫,即為資訊安全管理系統,意指系統化的分析和控管資訊系統的管理流程,目標在於將資訊安全風險降到可承受的範圍之內。


什麼是isms


ISMS是透過風險管理架構的適用,來保護資訊的機密性(Confidentiality)、完整性(Integrity)與可用性(Availability),且此資訊安全應經充分的考量。ISMS的設計與實施會隨著組織的規模、需求、目標、安全要求以及作業流程而有所不同。
  • 機密性(Confidentiality):確保只有被授權的用戶,可以依權限存取資料。
  • 完整性(Integrity):確保資料是完整的,沒有被竊取或不當修改。
  • 可用性(Availability):確保被授權的用戶,在需要資料時,能順利獲得資料。


資訊安全管理的原則

  1. 標準化原則:各階段應遵守安全規範,並依據組織的安全需求來制定策略。
  2. 系統化原則:根據安全工程的要求,對系統各階段(包括升級、更新及功能擴充)來進行全面地考量。
  3. 綜合保障原則:人員、資金、技術等多元的保障。
  4. 以人為本原則:以技術為關鍵,以管理為核心,提高人員的技術素養和道德水平。
  5. 最高管理者負責原則:除了人員的參與,最高管理者也必須要負起責任才能落實組織內部的資訊安全管理。
  6. 預防原則:資訊安全管理必須以預防為本,並要有一定的危機意識。
  7. 風險評估原則:根據實踐對系統定期進行風險評估以改進系統的安全狀況。
  8. 動態原則:根據環境的改變和技術的進步,提高系統的保護能力
  9. 成本效益原則:根據資源價值和風險評估結果,採用適度的保護措施。
  10. 均衡防護原則:整個系統的安全強度取決於防護最薄弱的一處,只一昧追求某個方面的安全強度並沒有實際意義。因此,資訊安全防護必須要注重整體的均衡性。
  11. 分權制衡原則:關鍵流程的管理權限若只交給一個人,若出現漏洞將全盤崩潰,分權可以達到制約、提高安全性的效果。
  12. 普遍參與原則:所有的相關人員都必須要參與並負起責任


資訊安全管理制度的成功要素

  • 最高管理者的承諾與支援
  • 適切的資源
  • 資訊安全政策、目標、活動與業務的結合
  • 管理方法與架構需與組織內部的文化契合
  • 對風險評估、管理與資訊安全需求的了解
  • 針對內部人員的觀念推廣與教育訓練
  • 相關安全文件容易取閱
  • 建置適切的安全事件管理流程
  • 完整的評估及回饋機制


相關的ISO標準

  • ISO/IEC 27000 — 資訊安全管理系統 - 綜述及詞彙
  • ISO/IEC 27001 — 資訊安全管理系統 - 要求
  • ISO/IEC 27002 — 資訊安全管理實踐準則
  • ISO/IEC 27003 — 資訊安全管理系統實施指導
  • 競爭力企業管理顧問有限公司
  • service@compet.com.tw
  • 【北區】

    新北市中和區復興路274巷20號4樓

    (02)2243-1201

  • 【中區】

    台中市南屯區文心路一段521號

    (04)2473-9012

  • 【南區】

    80761 高雄市三民區民族一路80號9樓之4

    0800-800248

TOP