評核結果與問題檢討

15.1.2 智慧財產權（IPR）：

應實施適當流程，以確保關於可能有智慧財產權及專屬軟 體產品資料的使用上遵守法令的、管理規定的、及合約的 要求。

□ □ 15.1.3 組織記錄的保護：

應依據法令的、管理規定的、合約的、及營運的要求保護

重要記錄，以防止遺失、毀損、及偽造。 □ □

15.1.4 個人資訊的資料保護與隱私：

應如相關法令、管理規定、及若適用合約條款所要求的，

確保資料保護與隱私。 □ □

15.1.5 防止資訊處理設施的誤用：

應制止使用者以未經授權的目的使用資訊處理設施。 □ □ 15.1.6 密碼控制的規定

應依照所有相關的協議、法律、及管理規定使用密碼控制

措施。 □ □

15.2 遵守安全政策與標準 15.2.1 遵守安全政策與標準

管理者應確保其責任範圍內所有安全流程皆正確執行，以

達到遵守安全政策與標準。 □ □

15.2.2 核對技術符合性

應定期核對資訊系統是否符合安全實施標準。 □ □ 15.3 資訊系統稽核的考量

15.3.1 資訊系統稽核控制

涉及作業系統檢查的稽核要求與活動應謹慎規劃且獲得

同意，以降低營運過程崩潰之風險。 □ □

15.3.2 資訊系統稽核工具的保護

應保護資訊系統稽核工具之存取，以防止任何可能的誤用

或危害。 □ □

3.3. 評核結果與問題檢討

CNS 17799（ISO/IEC 17799:2005(E)）為通用的資訊安全管理規範，雖未特別針 對該領域之特殊性，惟仍可經此評核探討該企業之資訊安全防護能力與應需要加強之控 制項目，如表 3.12 所示為該企業檢測未符合項目，合計數量為 50 項。為瞭解該企業資 訊安全防護能力之罩門，本研究以「符合度」指標探討該企業現行資訊安全文件與 CNS 17799（ISO/IEC 17799:2005(E)）資訊安全管理規範之符合程度（十一大管理要項中，

企業各項評核符合 CNS 17799（ISO/IEC 17799:2005(E)）標準之百分比例），並依「符 合度」百分比例分為三級，評核原則如下：

良好－符合比例達 80%

如表 3.13 所示該企業在十大管理要項中，有五項評核等級為「良好」、三項評核等 級為「普通」。惟在「通訊與作業管理」、「存取控制」、「資訊系統取得、開發、及維護」

項目之評核成績均不甚理想，當中又以「存取控制」項目與標準之要求差距甚多，需加 以改善。

▼表 3.12：企業檢測未符合項目 項次 控制項目 控制措施

二 6.1 內部組織

6.1.6 與有關當局的聯繫：

應與有關當局維持適當聯繫。

6.1.7 與特殊利益團體的聯繫：

應與特殊利益團體或其他專業人員的安全論壇及專業協會 維持適當聯繫。

6.2 外部團體

6.2.1 識別與外部團體有關的風險：

授權外部團體存取之前，應識別涉及外部團體營運過程的 組織資訊及資訊處理設施的風險，與實施適當控制措施。

三 7.1 資產責任

7.1.3 資產的可接受使用：

與資訊處理設施相關的資訊及資產，其可接受使用的規則 應予以識別、記錄、及實施。

四 8.1 聘雇之前 8.1.2 篩選：

應依照相關法律、規章與倫理，並對照營運要求、將會存 取的資訊分類、及所認知的風險，實施對受雇人員、承包 商及第三方使用者所有應徵者的背景查證核對。

8.2 聘雇期間

8.2.2 資訊安全認知教育與訓練：

組織所有受雇人員及相關的承包商及第三方使用者應接受 與其工作功能相關，適當的認知訓練，與組織政策及程序 的定期更新。

五 9.1 安全區域

9.1.5 在保全區域內工作：

應設計與應用在保全區域內工作的實體保護及指導綱要。

9.1.6 公共存取、收發、及裝卸區

應控制收發裝卸區及其它未經授權人員可進入邊界點等存 取點，若可能，隔離資訊處理設施以防止未經授權的存取。

9.2 設備安全 9.2.3 纜線的安全：

應保護傳送資料或支援資訊服務之電源與通訊纜線，以防 止竊聽或損害。

六 10.1 安全區域作業程序與責任

10.1.4 分隔開發、測試、及作業設施：

應分隔開發、測試、及作業設施，以降低對作業系統未經

授權存取或變更的風險。

10.2 第三方服務遞送管理 10.2.2. 監控與審查第三方服務：

應定期監控與審查由第三方提供的服務、報告、及記錄，

並定期實行監視。

10.4 防範惡意碼與行動碼 10.4.1 對抗惡意碼的控制措施：

應實施防範惡意碼的偵測、預防、及復原控制措施與適當 之使用者認知程序。

10.4.2 對抗行動碼的控制措施：

授權使用行動碼時，其組態應確保授權的行動碼依據清楚 定義的安全政策作業，並應阻止執行未經授權的行動碼。

10.6 網路安全管理 10.6.1 網路控制措施：

應充分地管理與控制網路，使不受威脅，並且維護使用網 路的系統與應用，包括傳輸中的資訊之安全。

10.6.2 網路服務安全：

應識別所有網路服務的安全特性、服務等級、及管理需求，

並納入不論是內部或外包的任何網路服務協議。

10.7 處理媒體

10.7.3 資訊處理程序：

應建立資訊的處理及儲存程序，以保護資訊不被未經授權 的揭露或誤用。

10.8 資訊交換

10.8.1 資訊交換政策與程序：

應有適當的正式交換政策、程序、及控制措施，以保護經 由使用所有型式通訊設施的資訊交換。

10.8.2 交換協議：

組織與外部團體間資訊與軟體的交換應建立協議。

10.8.3 運送過程中的實體媒體：

應保護運送中在組織實體界限之外、包含資訊的媒體，不 被未經授權的存取、誤用或毀損。

10.8.4 電子傳訊：

應適當地保護涉及電子傳訊的資訊。

10.8.5 營運資訊系統：

應發展與實施政策及程序，以保護與營運資訊系統互連有 關的資訊。

10.9 電子商務服務 10.9.1 電子商務：

應保護在公用網路上傳輸、涉及電子商務的資訊，使不受 詐欺行為、合約爭議、及未經授權的揭露與修改。

10.9.2 線上交易：

應保護涉及線上交易的資訊，以防止不完整的傳輸、錯誤

10.9.3 公開可取得的資訊

應保護在公眾開放系統上可取得資訊的完整性，以防止未 經授權的修改。

10.10 監控

10.10.3 保護日誌資訊：

應保護記錄日誌設施與日誌資訊，不受竄改及未經授權的 存取。

七 11.1 存取控制的營運要求 11.1.1 存取控制政策：

應建立、文件化、及依據存取的營運與安全要求審查存取 控制政策。

11.3 使用者責任

11.3.2 無人看管的資訊設備：

使用者應確保無人看管的資訊設備有適當保護措施。

11.4 網路存取控制

11.4.2 外部連線的使用者鑑別：

應使用適當的鑑別法以控制遠端使用者的存取。

11.4.4 遠端診斷與組態埠保護：

應控制對診斷與組態埠的實體與邏輯存取。

11.4.5 網路區隔：

應區隔在網路上的資訊服務、使用者、及資訊系統群組。

11.4.6 網路連線控制：

應限制使用者連線至共享網路，特別是穿越組織界限的能 力與存取控制政策與營運應用的要求一致。

11.4.7 網路路由控制：

應實施網路路由控制，以確保電腦連線與資訊流不破壞企 業應用系統之存取控制政策。

11.5 作業系統存取控制 11.5.1 安全登入程序：

應由安全登入程序控制作業系統的存取。

11.5.5 連線階段逾時：

一定時間的不活動後，應關閉不活動的連線階段。

11.5.6 連線時間限制

對高風險的應用系統，應使用連線時間限制以提供額外的 安全性。

11.6 應用與資訊存取控制 11.6.1 資訊存取限制：

應根據已定義的存取控制政策限制使用者與支援人員對資 訊及應用系統功能之存取。

11.6.2 敏感性系統的隔離：

敏感性系統應有專屬（ 隔離） 的電腦作業環境。

11.7 行動式電腦作業與遠距工作：

11.7.1 行動式電腦作業與通訊：

應制訂正式政策及採取適當的安全量測，以防止使用行動 式電腦與通訊設施的風險。

11.7.2 遠距工作：

應發展與實施遠距工作活動的政策、作業計畫、及流程。

八 12.4 系統檔案的安全

12.4.2 系統測試資料的保護：

應小心地選擇測試資料，並保護及控制。

12.4.3 程式原始碼的存取控制：

應限制對程式原始碼的存取。

12.5 開發及支援作業的安全 12.5.1 變更控制程序：

變更的實施應使用正式變更控制程序予以控制。

12.5.2 作業系統變更後的應用系統技術審查：

作業系統變更時，應審查與測試重要營運應用系統，以確 保對組織作業或安全無不利的衝擊。

12.5.4 資料洩漏：

應防止資訊洩漏的機會。

12.5.5 軟體開發委外：

組織應監督與監控軟體開發委外。

12.6 技術脆弱性管理 12.6.1 技術脆弱性控制

應取得及時的使用中資訊系統之技術脆弱性資訊、評估組 織對該脆弱性的暴露、及採取適當的量測，以處理有關的 風險。

九 13.1 通報資訊安全事件與弱點 13.1.2 通報安全弱點

應要求資訊系統與服務的所有受雇人員、承包商及第三方 使用者記錄與通報明顯的或可疑的系統或服務之任何安全 弱點。

十 14.1 營運持續管理的資訊安全層面

14.1.3 發展與實施包含資訊安全的持續計畫：

應發展與實施計畫，在重要營運過程中斷、或失效後，維 持或恢復作業，並確保所要求等級資訊在所要求時間級別 之前的可用性。

十 15.1 遵守法規要求

15.1.5 防止資訊處理設施的誤用：

應制止使用者以未經授權的目的使用資訊處理設施。

15.3 資訊系統稽核的考量 15.3.2 資訊系統稽核工具的保護

應保護資訊系統稽核工具之存取，以防止任何可能的誤用 或危害。

▼表 3.13：企業檢測結果統計 項目

CNS 17799:2005

控制措施各項合計 企業評核符合總計 符合率 評核結果

安全政策 2 2 100% 良好

組織資訊安全 11 8 73% 普通

安全政策資產管理 5 4 80% 良好

人力資源安全 9 7 78% 普通

實體與環境安全 13 10 77% 普通

通訊與作業管理 32 16 50% 待加強

存取控制 25 11 44% 待加強

資訊系統取得、開發、及維護 16 9 56% 待加強

資訊安全事件管理 5 4 80% 良好

營運持續管理 5 4 80% 良好

營運持續管理符合性 10 8 80% 良好

合計 133 83

在上述「待加強」項目所造成之風險，最常被舉證的攻擊形式是病毒以及人員對網 路的存取濫用。由於資訊科技之一日千里、個人電腦的普及、網路通信結構之改進與全

在上述「待加強」項目所造成之風險，最常被舉證的攻擊形式是病毒以及人員對網 路的存取濫用。由於資訊科技之一日千里、個人電腦的普及、網路通信結構之改進與全

在文檔中 資訊安全管理系統與企業網路安全實作探討 (頁 38-44)