作者網頁 https://sites.google.com/email.nchu.edu.tw/isms-book
章節主題包含:
•資安長與資安推動組織
•核心業務及核心系統
•高階風險評鑑方法改良
•詳細風險評鑑方法改良
•資通系統集中化管理
•強化資安認知訓練
•委外辦理資通業務
•委外資通系統廠商須知
•各單位主管的支持
•全員日常資安對策
•利害關係人與通報管理
•資安融入內部控制制度
•資安稽核常見問題說明
•鑑往知來、預作準備
|
※書籍推薦人
聯合推薦
國家資通安全研究院 何全德院長
國家資通安全研究院 吳啟文副院長
教育部資訊及科技教育司 吳穎沺司長
教育部資訊及科技教育司 李月碧、黃士峰、裴善成專門委員
交通部交通科技及資訊司 王東琪副司長
國家衛生研究院資訊中心 莊育秀主任
鴻海研究院 李維斌執行長
BSI 英國標準協會台灣分公司 蒲樹盛總經理
SGS 管理與保證事業群 何星翰營運總監
ISAC中華民國大專校院資訊服務協會 黃明達理事長
中央警察大學 王旭正教授(台灣E化資安分析管理協會創辦人)
彰化師範大學 曾育民副校長兼資安長
成功大學 蔣榮先特聘教授兼成大醫院健康數據中心執行長
臺北科技大學計算機與網路中心 王永鐘主任
東華大學圖書資訊處 陳偉銘處長
大同大學圖書資訊處 包蒼龍圖資長
國興資訊 洪孟志總經理兼資安長
采威國際資訊 蕭哲君董事長
品科技 賴明宗執行長
|
※推薦文
推薦序
我因受邀參與教育部資安管理工作,結識陳育毅教授多年。陳教授具有深厚的資訊及資安學研背景,擔任教育機構資安驗證中心主任多年。他這本精心籌備撰寫完成的著作,可說是《資安法》實施以來,首部集大成的絕佳實務指引。
陳教授的著作有幾項值得向大家推薦的特色如下:1.落實資安法遵最完整的實作寶典:全面盤點《資安法》及逐一重點解析,復依作者多年的實作印證經驗,提供讀者最完整具體、簡明易懂及創新的實作指引,讓讀者猶如擁有一本可以倍增資安管理功力的案頭寶典。2.全觀的、多視角的法遵框架建構及有條不紊的實施步驟指引:從策略、管理及技術三個層面,逐一探討每一面向及細項的精義重點,從資安長與推動組織、核心業務及核心系統、風險評鑑方法、委外廠商管理及資安認知等系列,有序地逐一導引讀者解鎖《資安法》奧義及遵循實施。3.豐富多元的實用資源:提供實用的工具、方法、模板、表單、宣導素材及網路資源,讓即使不是資安專業的讀者也可以迅速靈活運用及依樣操作,提升法遵合規作業效率。
本書第1章〈資安長與資安推動組織〉內容是各章中最豐富者,彰顯作者特別凸顯資安長作為組織資安領頭羊角色及職能當責的重要性,建議讀者可以多花一點時間細細品讀,再逐章開展。
我相信陳教授這一本大家期待已久的指標性專著,可以協助公私部門將專業化的資安法遵工作普及化、標準化及全民化,進而內化成為百工百業的組織治理文化,達成「資通安全,人人有責」的理想。
國家資通安全研究院 何全德院長
2024.7.7
推薦序
本書提供相當多值得機關參考的資安管理策略與實務,首先我特別注意到資訊資產盤點、風險評鑑的建議方案,介紹基於ISO 27005、ISO 31010的高階風險評鑑方法,並參考國家資通安全研究院相關建議,提供一套完整的檢核表格與執行程序,不僅涵蓋系統分級,更將高階風險評鑑視為必須檢核防護基準的重要手段,納入安全控制措施的改良做法。另外,基於ISO 27001、ISO 31000、ISO 27005,詳細闡述如何進行詳細風險評鑑,針對威脅與弱點的識別,提供詳細的威脅目錄清單與控制措施識別清單,有效引導資訊資產管理者全面考量並確保評估的完整性。這些設計不僅簡化複雜的評估過程,還提供明確的引導方式,以及程序書參考條文,對於各機關落實資訊資產與資通系統風險評估合規,提供絕佳的參考方案與最佳實務。
本書也深入探討委外執行的法遵面要求,提供從考量、選任到監督的完整過程詳細指導,提醒委外人員在各階段應有的資安管理作為,並開放使用的教育訓練簡報,為各機關在這方面提供很好的教育宣導素材。而委外資通系統廠商須知的內容,不僅是委外廠商,更是各機關系統開發人員相當值得深入研讀的詳盡指引,強調達成資通系統防護基準的技術要求,將國家資通安全研究院的安全控制措施參考指引、美國國家標準及科技研究所頒布的NIST SP800-53安全控制措施進行深入淺出的探討,系統開發人員熟讀此章內容便能確保開發出的系統符合防護基準要求。
國家資通安全研究院 吳啟文副院長 2024.6.19
推薦序
隨著網路的大量使用,資訊安全已成為各界不可忽視的重大議題,民國 108 年實施的《資通安全管理法》,更是將資安視為國安發展的重大里程碑,為政府機關確立了資安防護的規範基準。
教育部於民國98 年開始規劃教育體系的資訊安全與個人資料保護管理系統驗證制度,也成立教育機構資安驗證中心,104 年開始委由國立中興大學陳育毅主任負責執行,多年來為教育體系培育相當多的資安人才,而且在《資安法》實施後配合教育部部屬機關(構)及國立大專校院資通安全實地稽核,有效檢視教育體系的資安法規落實程度。
在陳主任的帶領下,資安驗證中心根據教育體系的需求,提供全面性的資安管理指引與資源,除了擬定「全校落實資通安全之優先執行策略」,以提供各校更明確的推動方式及依據之外,也設計「資安管理程序書範本」與「風險評鑑改良方法」,以提供更妥善的程序方法。此外也編撰「教育體系資通安全稽核常見問題集」奠定稽核共通標準,建立「內稽人才資料庫」有效促進教育體系稽核人才交流,編撰「內稽作業常見問題」提供教育體系強化內部稽核作業。陳主任更是發展一系列教材與資源公開分享,讓資安相關人員及主管能有效學習資安工作的推動與執行方法。
《資通安全法合規研究與管理實務指引》的內容中有陳主任多年來執行稽核計畫所累積的案例分析,以及擔任國立中興大學計資中心主任長達八年推動校內資安工作的實務經驗,是非常值得參考的資安實務指引。此書不僅說明符合資安法規要求的實作方法,更無私分享管理實務的難題與解決方案。全書豐富的圖文解說能讓資安新手更容易理解,而且其分享不少線上資源更是執行資安作業的絕佳工具,也是想更進一步提升功力的資安專業人員必看寶典。
教育部資訊及科技教育司 吳穎沺司長
2024.6.25
|
陳育毅
現職
教育機構資安驗證中心主任
國立中興大學資訊管理學系專任教授
經歷
國立中興大學計算機及資訊網路中心主任
國立中興大學資訊管理學系特聘教授
美商智旺科技公司首席顧問
|
推薦序 i
1. 資安長與資安推動組織 1-1
1.1 資通安全實地稽核項目第二構面 1-2
1.2 資通安全實地稽核項目第一、三構面 1-19
1.3 讓資安長掌握資通系統盤點之重點概念 1-22
1.4 讓資安長掌握業務持續運作之重點概念 1-28
1.5 讓資安長掌握必要資安防護機制之重點概念 1-44
1.6 讓資安長掌握資安人員配置訓練之重點概念 1-51
1.7 全機關導入ISMS 資安長應掌握重點 1-57
2. 核心業務及核心系統 2-1
2.1 界定機關核心業務 2-2
2.2 從業務角度盤點核心資通系統 2-6
2.3 非核心業務及說明 2-9
3. 高階風險評鑑方法改良 3-1
3.1 高階風險評鑑做法建議 3-2
3.2 依資通系統防護基準執行控制措施 3-5
3.3 程序書修訂參考 3-10
4. 詳細風險評鑑方法改良 4-1
4.1 威脅及弱點評估做法改良 4-2
4.2 識別既存控制措施做法改良 4-21
4.3 程序書修訂參考 4-29
5. 資通系統集中化管理 5-1
5.1 基本安全保障 5-2
5.2 系統本身安全? 5-7
5.3 資通系統集中化管理的推動過程 5-21
5.4 網路維運中心(NOC)及安全維運中心(SOC) 5-26
5.5 網站共構系統或將網站移置外部較安全平臺 5-28
6. 強化資安認知訓練 6-1
6.1 資安通識教育訓練實施方式 6-2
6.2 資安通識教育訓練配套措施 6-8
6.3 辦公室張貼資安宣導海報 6-10
6.4 強化新進人員資安宣導 6-12
6.5 資安專業教育訓練實施對象 6-21
7. 委外辦理資通業務 7-1
7.1 資通系統、資通服務 7-2
7.2 委外考量 7-3
7.3 選任適當受託者 7-10
7.4 監督受託者資通安全維護情形 7-25
7.5 資訊服務採購案之資安檢核事項 7-35
7.6 限制使用危害國家資通安全產品 7-46
7.7 資通安全稽核檢核項目之委外相關構面 7-54
7.8 委外承辦人員落實教育訓練 7-57
7.9 程序書修訂參考 7-60
8. 委外資通系統廠商須知 8-1
8.1 對資通系統防護基準有更多認識 8-2
8.2 資通系統防護基準之存取控制 8-11
8.3 資通系統防護基準之事件日誌與可歸責性 8-18
8.4 資通系統防護基準之營運持續計畫 8-32
8.5 資通系統防護基準之識別與鑑別 8-41
8.6 資通系統防護基準之系統與服務獲得 8-52
8.7 資通系統防護基準之系統與通訊保護 8-75
8.8 資通系統防護基準之系統與資訊完整性 8-79
8.9 資通安全稽核檢核項目相關構面 8-89
8.10 各類資訊(服務)採購之共通性資安基本要求 8-96
9. 各單位主管的支持 9-1
9.1 督導並要求落實資安文件 9-2
9.2 督導並要求落實清查IoT 9-6
9.3 督導並要求落實資安措施 9-8
9.4 督導並要求參與資安教育訓練 9-12
9.5 督導並要求遵循採購規範 9-15
9.6 配合稽核 9-18
9.7 資安的價值 9-19
10. 全員日常資安對策 10-1
10.1 資訊安全管理系統之導入 10-2
10.2 全員日常資安重點 10-4
10.3 全員日常資安-落實資安措施 10-7
10.4 全員日常資安-資安事件通報與社交工程 10-43
10.5 全員日常資安-資安通識教育 10-52
10.6 全員日常資安-IoT 適當管控 10-56
11. 利害關係人與通報管理 11-1
11.1 利害關係人地圖 11-2
11.2 利害關係人關注紀錄與回應處置 11-7
11.3 資通安全事件通報作業規範之考量 11-12
12. 資安融入內部控制制度 12-1
12.1 內部控制及稽核制度實施辦法 12 - 2
12.2 上市上櫃公司資通安全管控指引 12-8
13. 資安稽核常見問題說明 13-1
13.1 Part A:一、核心業務及其重要性 13-2
13.2 Part B:二、資通安全政策及推動組織 13-9
13.3 Part C:三、專責人力及經費配置 13-11
13.4 Part D:四、資通系統盤點及風險評估 13-13
13.5 Part E:五、資通系統或服務委外辦理 13-17
13.6 Part F:六、資通安全維護計畫與實施情形 13-28
13.7 Part G:七、資通安全防護及控制措施 13-33
13.8 Part H:八、資通系統發展及維護安全 13-42
13.9 Part I:九、資通安全事件通報應變 13-45
13.10 請持續關注查檢重點與依據 13-51
14. 鑑往知來、預做準備 14-1
14.1 基於ISO 27001改版調整委外查核表(Part1) 14-2
14.2 基於ISO 27001改版調整委外查核表(Part2) 14-13
14.3 基於ISO 27001改版調整委外查核表(Part3) 14-16
14.4 基於ISO 27001改版調整委外查核表(Part4) 14-22
14.5 基於ISO 27001改版調整委外查核表(完成) 14-28
14.6 基於資通安全實地稽核表改版做準備 14-32
14.7 資安管理工作的投入 14-42
|
|
