ISO

1. 介紹

21世紀企業隨著企業經營環境的變化,對於資訊依賴之重要度提高。資訊(Information),已成為現今企業重要的無形資產,也是企業成功的基礎與命脈。如何確保企業資訊的機密性、完整性及可用性是當今最重要的課題之一,在今日許多組織均處於高度連網(內部網路與網際網路)的環境下,更顯示出其重要性。資訊安全管理系統(Information Security Management Systems 簡稱ISMS)因此孕育而生,由英國工業貿易部倡導,正在全球普遍推行當中;2005年國際標準組織(ISO)已正式頒布ISO 27000:2005資訊安全管理系統標準,且我中華民國也依此制定國家資訊安全標準,編號為CNS 27001。

根據行政院資通安全會報規定,資訊安全等級列A、B級之政府單位必須於96、97年建置完成資訊安全管理系統(ISMS),並取得第三方認證通過。在政府帶動及民間企業也體認ISMS的重要,許多大型電信業者或金融、資訊服務業,為取信於客戶,紛紛推動ISMS的建置。因此,在法規要求以及客戶期望下,這波ISMS建置熱潮帶動下,推行ISO 27001管理系統已成為企業永續經營之必要工作。

2. ISO標準條文

ISO 27001條文

4.資訊安全管理系統 4.1一般要求 4.2建立和管理ISMS 4.2.1建立ISMS 4.2.2實施和運作ISMS 4.2.3監控和審查ISMS 4.2.4維護和改善ISMS 4.3文件要求 4.3.1概述 4.3.2文件管制 4.3.3紀錄管制 5.管理責任 5.1管理者承諾 5.2資源管理 5.2.1資源的供應 5.2.2訓練、認知及能力 6.ISMS內部稽核 7.管理審查 7.1概述 7.2審查輸入 7.3審查輸出 8.改善ISMS 8.1持續改善 8.2矯正措施 8.3預防措施

ISO/IEC 20000

ISO20000是國際資訊技術服務管理(IT Service Management)領域的重要標準。

ISO20000, 共分兩部份 :

ISO20000-1:標準規範,對IT服務管理提出了要求,也是驗證的依據。

ISO20000-2:實施守則,對標準的第一部份的內容進行瞭解釋和應用指導。

在ISO20000中的資訊安全管理部份, 以ISO 27001為參考規範.在企業組織ISO20000的實施範圍不大於ISO27001實施的範圍的情況下, 若該企業組織已通過ISO27001驗證,則該企業組織的ISO20000中資訊安全管理部份也將符合標準。

ISO20000的內容分成 5大流程組, 13個管理流程。

13個管理流程包括 :

Incident & Service Request Management (事件與問題請求管理)
Problem Management ( 問題管理 )
Configuration Management (配置管理)
Change Management (變更管理)
Release & Deployment Management (發布與部署管理)
Service Level Management (服務級別管理)
Service Reporting (服務報告)
Availability Management (可用性管理)
Continuity Management (持續性管理)
Capacity Management (能力管理)
Business Relationship Management(業務關係管理)
Supplier Management (供應商管理)
Budgeting & Accounting for Services (財務管理)

3. ISO教育訓練

ISO教育訓練檔案  

4. 台灣與本校ISO相關資安政策

  1. 資安法規及政策
  2. ISMS-C-03-B06 人員資全暨個資保護守則
  3. ISMS-A-02-000 資通安全暨個資保護政策_v1.3_1121215
  4. 臺灣學術網路各級學校資通安全通報應變作業程序

5. 本校資安事件通報機制

依據「臺灣學術網路各級學校資通安全通報應變作業程序」之規定,當發現資安事件時,應於一小時內完成通報。

本校通報窗口

  1. 北投校區:蘇柏人 (分機:66118、Email: briansu@nycu.edu.tw)
  2. 光復校區:盧至令 (分機:31729、Email: gfif519@nycu.edu.tw)