who we are… · • isms/iso27001 國際標準簡介與應用方式 •...
TRANSCRIPT
「ISMS 國際資安標準之應用及資通安全威脅與管理」研討會
ISMS 國際資安標準於電信業的應用
主講人:TÜ ViT Asia Pacific協理: 黃廷弘
Email: [email protected]
Agenda
• ISMS/ISO27001 國際標準簡介與應用方式
• 資訊安全風險評鑑與資訊安全控管措施介紹
• 機房管理與國際機房標準
• 驗證範圍與驗證過程介紹
2011 2
ISMS/ISO27001 國際標準簡介與應用方式
2011 3
ISO 27001 Certificates (Top 20)
3720
509 494 455 401
145 106 96 96 71 64 63 58 46 37 37 35 33 30 30 0
500
1000
1500
2000
2500
3000
3500
4000
Total number of certificates : 7,078 , Feb., 2011
ISO27001 Adopted by business category
資訊安全的各層領域- 1
System A
System B
Teleworking
Internet
Mobile
Computing
Database
Information
System C
Database
產品安全
系統安全
組織安全 Information Security Management Systems (ISMS)
6
合法使用者為企業機密資料的主要外洩管道
• 美國CSI (Computer Security Institute) 的調查數據
– 70% 內部合法使用者造成
– 39% 員工曾經將客戶資料寄出
– 52% 曾在離職時帶走工作資料
– 86% 習慣性將郵件轉寄他人
30.01.2011 7
管理系統 V.S. 資安技術機制
• 駭客入侵手法
– RSA 員工被誘導開啟惡意信件….
• 駭客能力
– Google, Apple, RSA, Sony…
• 單單依靠技術機制防禦並不足以防範
• 除了技術機制, ISO27001 標準重視
– 預防型的控制措施
– 多重層次的安全管控
– 從事故、事件中快速學習修正
2011 8
A6 A7
A8
控制措施之間的平衡
A9 A10
A8
A12 A14 A15
風險 風險
ISO管理系統的核心架構 - PDCA
P D
C A
資訊
安全
品質
執行時間
10
管理系統的特徵(要件)
•Plan Do Check Act 執行架構
•管理責任與管理承諾
•提供管理資源
•人員能力、認知與訓練管理
•實施內稽、管審及監督
•預防、矯正措施
•持續改進
11
規劃
4.2.1
建立 ISMS
執行
4.2.2
實作與運作 ISMS
檢查
4.2.3
監視與審查 ISMS
行動
4.2.4
維持與改進 ISMS
ISO/IEC 27001 架構
ISO 管理系統剖析
ISO 20000-1
資訊服務管理系統
ISO 9001-2000
品質管理系統
ISO 27001
資訊安全管理系統
5.2 8 8.5 P-D-C-A
4.2 文件化要求
4.2.2 文件管制
4.2.3 紀錄管制
5. 管理階層責任
5.1 管理承諾
6. 資源管理
6.1 資源提供
6.2.2 能力、認知及訓練
7. 管理階層審查
8.5 改進
8.5.1 持續改進
8.5.2 矯正措施
8.5.2 預防措施
4.2.1-4.2.4 P-D-C-A
4.3 文件化要求
4.3.2 文件管制
4.3.3 紀錄管制
5. 管理階層責任
5.1 管理承諾
5.2 資源管理
5.2.1 資源提供
5.2.2 訓練、認知及能力
6. 內部稽核
7. 管理階層審查
8. ISMS 之改進
8.1 持續改進
8.2 矯正措施
8.3 預防措施
4.1- 4.4, 5 P-D-C-A
3.2 文件化要求
4.2.2 文件管制
4.2.3 紀錄管制
3.1 管理階層責任/承諾
3.1(e) 資源提供
3.2.2 能力、認知及訓練
3.1(g) 管理階層審查
4.4 持續改進
4.4.2(a) 矯正/預防措施
13
ISO 管理系統 DNA
ISO 9000
品質管理系統
ISO 20000-1
Ch 3-5
管理系統
Ch. 6-10
五大 IT服務
流程管理
ISO 27001
Ch 4-8
管理系統
A5-A15
133 項資安
控制措施
General
Management
System
Specific
Management
items
14
附錄 A (規定): 11 個領域, 39個控制目標, 133個控制措施
A.5 – 安全政策
A.6 –資訊安全的組織
A.7 – 資產管理
A.11 –存取控制
A.14 – 營運持續管理
A.13 –資訊安全事故管理
A.12 資訊系統獲取、
開發及維護
A.10 通訊與作業管理
A.9
實體與環境安全
A.8 人力資源安全
A.15 –遵循性
ISO27001 附錄 A
30.01.2011 16
ISO/IEC 27002: 歷史與發展
• November 2000: ISO/IEC 27002:2000
(BS 7799, Parf 1, 不變)
• Sept. 2002: BS 7799-2: 2002
• February 1995: BS 7799 Part 1
• February 1998: BS 7799 Part 2
• April 1999: BS 7799-1/-2:1999
• September 1993: „指導原則“
• January 1993:
產業工會團體
ISO/IEC 27002 update
•Jun. 2005: ISO/IEC 17799:2005
•Oct. 2005: ISO/IEC 27001: 2005
•July. 2007: ISO/IEC 27002:2005
ISO/IEC 17799 update
ISO/IEC 27001 issued
ISO 27001 -ISMS 11 個領域, 39個控制目標, 133個控制措施
A.5 – 安全政策
A.6 –資訊安全的組織
A.7 – 資產管理
A.11 –存取控制
A.14 – 營運持續管理
A.13 –資訊安全事故管理
A.12 資訊系統獲取、
開發及維護
A.10 通訊與作業管理
A.9 實體與環境安全
A.8 人力資源安全
A.15 –遵循性
4.2 建立與 管理 ISMS
6 ISMS 內部稽核
7. 管理階層審查
8. ISMS 持續改進
4.3 文件化 要求
5 管理責任 5.2 管理承諾 5.2 資源管理 5.2.2 教育
管理系統
資安特殊控制項
18
稽核案例分享- 離職員工
A.8 人力資源安全
A.11 存取控制
A.13 資訊安全事故管理
30.01.2011 19
稽核案例分享- 水、電、空調故障
A.9 實體與環境安全
A.13 資訊安全事故管理
A.14 營運持續管
理
30.01.2011 20
稽核案例分享- 駭客入侵
A.10 通訊與作業管理
A.11 存取控制
A.13 資訊安全事故管理
30.01.2011 21
結構化的管理: 人員管理應用參考
• 結構化的管理
– 聘僱前、聘僱期間、離職
• 聘僱前
2011 22
聘僱期間
2011 23
聘僱終止與變更
2011 24
存取控制
• A.11.2.1 使用者註冊 控制措施
– 應有適當的正式使用者註冊與註銷註冊程序, 以對所有資訊系統與服務核准和撤銷存取。
• A.11.2.3 使用者通行碼管理 控制措施
– 應以正式的管理過程控制通行碼的配置。
• A.11.2.4 使用者存取權限的審查
– 管理階層應定期使用正式過程審查使用者的存取權限。
• A.11.3.1 通行碼的使用 控制措施
– 應要求使用者遵照良好安全實務去選擇與使用通行碼。
• A.11.3.3 桌面淨空與螢幕淨空政策
– 應採用對紙本媒體與可移除式儲存媒體之桌面淨空政策, 及資訊處理設施的螢幕淨空政策。
2011 25
個資法應辦事項整理
個資蒐集
個資處理
利用
停止
利用
刪除
接受當事人行使當事人權利
查詢 閱覽 補充 更正 制給複製本 刪除
告知 取得同意 處理或利用前告知 (間接蒐集)
停止蒐集處理利用
15+15 日內 30+30 日內
採行適當資料檔案之安全措施(防止竊取、竄改、毀損、滅失、洩漏)
個人資料檔案安全維護計畫 業務終止後個人資料處理方法
實施細則將規定
事業主管機關頒行
建立管理作業流程
1
4
3
6
7 8
2
§ 8 § 9
§ 11 § 10
個資遭竊、洩漏 主動通知 § 12
§ 13 § 13
§ 11
§ 27
事項公開於電腦網站(公務) § 17
一、個人資料檔案名稱。
二、保有機關名稱及聯絡方式。
三、個人資料檔案保有之依據及特定目的。
四、個人資料之類別。
5
安全維護事項(施行細則中訂定)-1
• 1. 必要之組織
• 2. 界定個人資料之範圍
• 3. 隱私權影響評估
• 4. 個人資料蒐集、處理或利用之程序
• 5. 當事人行使權利之處理程序
• 6. 資料安全
• 7. 資料稽核
30.01.2011 27
安全維護事項(施行細則中訂定)-2
• 8. 人員管理及教育訓練
• 9. 設備管理
• 10. 紀錄與證據之保存
• 11. 緊急應變措施及通報
• 12. 改善建議措施
• 13. 其他安全維護事項
30.01.2011 28
隱私衝擊分析流程
業務流程分析 資料流程分析
個人資料
清冊
環境分析 資訊系統分析
個人檔案保護環境、系統及人員清冊
適法性檢查
Compliance checking 蒐集、處理、利用之適法性檢查
資安風險分析
Risk Assessment
選擇控制措施 管理控制措施
技術控制措施
個資風險
處理計畫
個資盤點 衝擊分析 現況、環境分析
處理計畫
個資衝擊分析 Privacy Impact Analysis
個資蒐集利用現況調查
適法性衝擊評估
資安風險評鑑報告
選擇控制措施 管理控制措施
技術控制措施
29
與”網站(Web application)”有關
1. 釣魚網頁
2. 在拍賣網站從事詐欺
3. 在遊戲網站盜取寶物
4. …
使用者電腦被植入木馬程式
在電子郵箱進行SPAM並散播病毒
企業、政府機關及學校等資料庫遭駭客侵入
Internet
server
Database
有可能洩露個人資料的地方與網路使用行為…
資訊安全與個人資料保護趨勢(一)
30
與”網站(Web application)”有關
1. 隱藏買家個人資料
2. 健全個資保護法令
確保交易金流安全
1. 網路安全教育宣導
2. 使用自然人憑證
Internet
server
Database
如何保護企業裡的個人資料與隱私
電子信箱惡意程式偵測
1. 使用動態密碼
2. 安全圖章及拍賣網外連結提醒
1. 資料使用紀錄
2. 定期稽查
資訊安全與個人資料保護趨勢(二)
網路型
DLP 主機型
DLP
DB
安全稽核系統
Level 7
過濾器
側錄
弱埽
弱埽
31
ISO27001 應用
• A.8.1.3 聘僱條款與條件 控制措施
– 身為契約義務的一方, 員工、承包者及第三方使用者應同意並簽署其聘僱契約之條款與條件, 該契約應陳述其與組織對資訊安全的責任。
• A.8.2.2 資訊安全認知、教育及訓練控制措施
– 組織所有員工和相關的承包者及第三方使用者,均應接受與其工作職務相關, 以及定期更新的組織政策與程序內容之適切認知訓練。
• A.10.7.1 可移除式媒體的管理
– 應有適當的程序以管理可移除式媒體。
2011 32
Monitoring監控應用 ISO27001
2011 33
資訊安全風險評鑑與資訊安全控管措施介紹
2011 34
規劃 - 建立 ISMS
a.界定資訊安全管理系統之範圍及界限
b.界定資訊安全管理系統之政策
c.界定組織的風險評鑑方法
d.識別各項風險
e.分析與評估各項風險
f.識別並評估風險處理之各項選項作法
g.選擇控制目標及控制措施以處理風險
h.取得管理階層對所提議剩餘風險的核准
i.取得管理階層對實作和操作資訊安全管理系統的授權
風險處理
風險評鑑
風險管理過程
j.擬定一份適用性聲明書
參考 ( ISO/IEC 27001:2005 4.2.1.a~j, 10 步驟 )
風險評鑑過程
c.界定組織的風險評鑑方法
d.識別各項風險
e.分析與評估各項風險
f.識別並評估風險處理之各項選項作法
g.選擇控制目標及控制措施以處理風險
h.取得管理階層對所提議剩餘風險的核准
• 風險評鑑方法
− 可比較(Comparable)
− 可再產生(Reproducible)
• 風險接受的準則(criteria)
• 風險可接受的等級(Acceptable levels of risk)
風險評鑑過程
c.界定組織的風險評鑑方法
d.識別各項風險
e.分析與評估各項風險
1. 識別風險
2.風險值/評等
3.保證程度
f.識別並評估風險處理之各項選項作法
g.選擇控制目標及控制措施以處理風險
h.取得管理階層對所提議剩餘風險的核准
什麼是風險 ?
脆弱點?
威脅?
衝擊? (直接/間接)
風險描述的全貌
• 三要素
– 資產
– 威脅
– 脆弱點
• 兩參數
– 衝擊
– 可能性
脆弱點/ 威脅
• 脆弱點 (Vulnerabilities) – 與資產相關的脆弱點包括實體排列、組織、程序、人員、管理、
行政、硬體、軟體或資訊的弱點. Vulnerabilities associated with assets include weakness in physical layout, organization, procedures, personnel, management, administration, hardware, software or information.
– 它們可能會被造成IT 系統或營運目標傷害的威脅所利用。脆弱性本身不會造成傷害。 They may be exploit by a threat that may cause harm to the IT system or business objectives. A vulnerability in itself does not cause harm;
• 威脅 (Threat) – 威脅有可能發生不想要的事故而對系統或組織及其資產造成傷害
。 A threat has the potential to cause an unwanted incident which may result in harm to a system or organization and its assets.
ISO/IEC TR 13335 page 6, 8.2
ISO/IEC TR 13335 page 8, 8.3
風險
• 風險是某威脅將利用脆弱點直接或間接造成組織一個或一群資產受到漏失或損害(衝擊)的可能性。 Risk is
the potential that a given threat exploit
vulnerabilities to cause loss or damage (impact) to
an asset or group of assets, and hence directly or
indirectly to the organization.
Ref: ISO/IEC TR 13335, page 8
風險識別公式(example)
• 威脅(動詞,即將造成的傷害)
– 天災 火災 水災 地震 SARS
– 人禍 (動機,選擇性)
• 脆弱點(形容詞)
– 不足、不夠、不強
– 本身不會造成傷害
• 風險= 衝擊(資產,威脅,脆弱點) X 可能性
評鑑風險 – 可能性(likelihood)
• 範例 - 評估可能性的
可能性 說明
很低 事情幾乎很少發生
低 事情不常發生,也許三年發生一次
普通 事情不定期會發生,也許每年發生一次
高 事情可預期會發生,一年會發生幾次
很高 事情可合理預期會發生,每月經常發生
評鑑風險 – 衝擊(impact)
• 範例 - 評估衝擊的大小 (導致組織衝擊)
潛在組織衝擊
組織運作和財務健康
法令規定與義務
名聲與商譽 個人資訊
低 很少或沒有破壞 / 財物損失
沒有違反法令規定和義務
在組織內有很少或有限的困窘
沒有痛苦或困窘產生
普通 不利於組織效率 / 財務健康
法令規定和義務上有技術缺失
對於客戶或股東有負面衝擊
對個人有些微的痛苦或困窘
高 造成嚴重破壞 / 財物損失
嚴重違反法令規定和義務
對於客戶或股東有嚴重的負面衝擊
嚴重的痛苦或困窘
很高 可能導致破產 可能導致組織關閉
威脅到組織的未來
廣泛且嚴重的痛苦或困窘
評鑑風險 – 風險值 (risk value)
• 範例 : 風險值 = 可能性 * 衝擊 (risk value = likelihood x impact)
可能性 很低 低 普通 高 很高
衝擊
低 1 3 5 7 9
普通 3 9 15 21 27
高 5 15 25 35 45
很高 7 21 35 49 63
風險評鑑報告
辨別風險: a. 資產 / 威脅 / 脆弱點
b. 衝擊 (風險) 評估風險: a. 估計程度
b. 決定可接受準則
風險處理 a. 採用適當的控制措施
b. 符合風險可接受準則
c. 避免/轉移風險
地點
類別.
資產
數量
威脅
脆弱點
可能性
衝擊值
風險值
選擇控制措施
研發部門
系統
檔案伺服器
(windows
2000 伺服器)
1 惡意程式,
濫用, 人員失誤, 未授權使用, ..
系統脆弱點 5 5 25 A.9.2.4
A.10.1.1~A.10.1.4
A.10.4.1~A.10.4.2
A.11.x.x
支援文件 a. 資產清冊
b. … 支持文件 a. 風險評鑑程序
b. …
風險處理過程
c.界定組織的風險評鑑方法
d.識別各項風險
e.分析與評估各項風險
f.識別並評估風險處理之各項選項作法
g.選擇控制目標及控制措施以處理風險
h.取得管理階層對所提議剩餘風險的核准
1.選擇控制措施
2.風險處理
3.剩餘風險
風險處理
• 風險處理計畫的可能內容:
1. 處理風險所選擇的方法
2. 採用何種控制措施
3. 提出何種額外的控制措施
4. 執行所提出控制措施的時程規劃
5. 辨別風險可接受的等級(保證等級)
• 決定風險可接受的等級,比如 其它行動皆不可行,或成本太高
• 轉移風險
• 降低風險到可接受的等級
威脅名稱 資產 對策 控制措施/
預防措施
資源 成本 執行時程
較弱的系統績效
整個網路基礎建設
從技術和營運面提升效能計畫
A.10.3.1 1. 網路…
2. …
$xxxx
階段 1:…
階段 2:…
使用者犯錯
顧客資料
Help Desk及訓練
A.8.2.2 1. 訓練..
2. …
$xxxx
風險處理計畫的範例
ISO27001 原理及步驟
2011 49
持續管理循環
發佈政策程序、實行監控檢查、持續改善
實施風險評鑑(Risk Assessment)
透過風險評鑑了解組織的風險,實施控制措施(技術、管理)來降低風險
實施資產盤點
資訊資產包括軟體、硬體、資料、人員、服務等資產
應用案例
• 透過資產盤點及風險評鑑後發現
– 地點: A3 服務機房
– 資產名稱: CISCO 3960 Switch
– Threat: 設備故障
– Vulnerability: 單點失效無備援設備
– Likelihood: 中(兩年可能發生一次)
– Impact: A3 網路失能,目前與廠商契約為8 小時完修,最大衝擊值為網路中斷 8 小時。
• 風險處理方式?
2011 50
ISO 27001 -ISMS 11 個領域, 39個控制目標, 133個控制措施
A.5 – 安全政策
A.6 –資訊安全的組織
A.7 – 資產管理
A.11 –存取控制
A.14 – 營運持續管理
A.13 –資訊安全事故管理
A.12 資訊系統獲取、
開發及維護
A.10 通訊與作業管理
A.9 實體與環境安全
A.8 人力資源安全
A.15 –遵循性
4.2 建立與 管理 ISMS
6 ISMS 內部稽核
7. 管理階層審查
8. ISMS 持續改進
4.3 文件化 要求
5 管理責任 5.2 管理承諾 5.2 資源管理 5.2.2 教育
管理系統
資安特殊控制項
51
針對風險進行控管項目應用
• 購買設備、實作 HA 或 Standby 安全管控
• A.9.2.4 設備維護 控制措施
– 應正確地維護設備, 以確保其持續的可用性與完整性。
• A.10.1.2 變更管理 控制措施
– 對資訊處理設施與系統的變更應受控制。
• A.10.10.2 監控系統的使用 控制措施
– 應建立資訊處理設施使用的監視程序, 並定期審
– 查監視活動的結果。
• 實施風險再評鑑,仍有部分風險? 兩台一起失效? 接受?
• A.14.1.3 發展與實作包括資訊安全的持續計畫
– 應發展與實作各項計畫, 當重要營運過程中斷或失效後, 可藉以維持或恢復運作, 並確保資訊的可用性在要求時間內達到所要求等級。
2011 52
風險處理方式 (應用)
• 4.2.2 實作與運作ISMS
• 組織應執行下列事項:
– (a) 為管理資訊安全風險, 架構一項風險處理計畫, 以識別適當管理措施、資源、責任及優先順序。
– (b) 實作風險處理計畫,以達成所識別的各項控制目標,其中包括賦予資金的考量以及角色與責任的配置。
– (c) 實作第4.2.1 節(g)所選擇的控制措施, 以符合控制目標。
– (d) 界定如何量測所選擇的控制措施或控制措施群的有效性,並規定如何使用這些量測去評鑑控制措施的有效性,以產生可比較
– (e) 實作訓練與認知計畫。
2011 53
風險處理
• 風險處理計畫的可能內容:
1. 處理風險所選擇的方法
2. 採用何種控制措施
3. 提出何種額外的控制措施
4. 執行所提出控制措施的時程規劃
5. 辨別風險可接受的等級(保證等級)
• 決定風險可接受的等級,比如 其它行動皆不可行,或成本太高
• 轉移風險
• 降低風險到可接受的等級
威脅名稱 資產 對策 控制措施/
預防措施
資源 成本 執行時程
較弱的系統績效
整個網路基礎建設
從技術和營運面提升效能計畫
A.10.3.1 1. 網路…
2. …
$xxxx
階段 1:…
階段 2:…
使用者犯錯
顧客資料
Help Desk及訓練
A.8.2.2 1. 訓練..
2. …
$xxxx
風險處理計畫的範例
機房管理與國際機房標準
2011 55
A.7 資產管理
A.7.1 資產責任 (3)
A.7.2 資訊分類 (2)
1. 資產清冊
2. 資產的擁有權
3. 資產之可被接受的使用
1. 分類指導綱要
2. 資訊標示與處置 Need to protect?
Yes No
Rec
epti
on
Server room
IT and Development
Meeting room
Reception area
Kitchen / Cafe Finance Meeting room
Management
Sales / Marketing
Customer service / Logistics
Doo
r
A.9 實體與環境安全
A.9.1 安全區域 (6)
A.9.2 設備安全 (7)
ISO27001 附錄 A , A9 實體與環境安全管理
2011 58
2011 59
A.10 通訊與作業管理
資訊 系統 A
作業環境
系統B
開發環境
A.10.1 作業之程序與責任 (4)
A.10.3系統規劃與驗收 (2)
A.10.4防範惡意碼與行動碼 (2)
A.10.5 備份 (1)
A.10.7媒體的處置 (4)
A.10.10 監視 (6)
A.10.6 網路安全管理 (2)
系統 C
外部設備
A.10.8資訊交換 (5)
資料庫
資料庫
A.10.2 第三方服務交付管理 (3)
A.10.9 電子商務服務 (3)
機房管理問題
• 耗能問題
2011 61
Data Center Standards
• BICSI,
• BICSI 002-2011,
• Data Center Design and
Implementation Best
Practices
2011 62
ANSI/BICSI 002-2011, Data Center Design and
Implementation Best Practices
• 1 Introduction
2 Scope
3 References
4 Definitions, Acronyms,
Abbreviations, And Units Of
Measurement *
5 Space Planning
6 Site Selection
7 Architectural
8 Structural
9 Electrical Systems *
10 Mechanical
11 Fire Protection
12 Security
13 Building Automation
Systems
14 Telecommunications *
15 Information Technology
16 Commissioning
17 Data Center Maintenance
Annex A: Design Process
(Informative)
Annex B: Reliability And
Availability (Informative)
Annex C: Referenced
Documents (Informative)
2011 63
TIA 942
• TIA, Telecommunications
Industry Association
• Telecommunications
Infrastructure Standard for
Data Center
2011 64
機房管理- 功能區域規劃
2011 65
Tier of Data Center
• Tier 1 – basic data center
– no redundancy
• Tier 2 – redundant components
– Single distribution path with redundant components
• Tier 3 – concurrently maintainable
– Multiple distribution paths with only one active
• Tier 4 – fault tolerant
– Multiple active distribution paths
2011 66
© TÜ V Informationstechnik GmbH – Member of TÜ V
NORD Group
Requirements subdivided into 8 fields
Mission critical
Infrastructures
• Comprehensive
• Complete
• In-depth analysis
© TÜ V Informationstechnik GmbH – Member of TÜ V
NORD Group
TSI Katalog V3.0: 157 Requirements
ENV (10) CON (27) FIR (12) SEC (21)
POW (37) ACV (22) ORG (13) DOC (15)
© TÜ V Informationstechnik GmbH – Member of TÜ V NORD Group
Validation & Certification Process
Validation
report
Site
inspection Document inspection
Work-
shop
Project decision
Site Visit
Introduction to TSI
Important requirem.
Document demands
Project
Meeting possible 2-5 auditors
1-2 days
Supplementary
Audit in case of
stipulations
Com-
ments
© TÜ V Informationstechnik GmbH – Member of
TÜ V NORD Group
Document Demands
Security concept
Fire protection concept
Alarm lists
Floor plans
Crossection plans
Surrounding map
Projections on floor plans regarding
• cable routes
• security zones
• intrusion detection elements
• access controls
• CCTV
• sensors, e.g. of leakage system
Schematics of
• Access Control System
• Intrusion Detection System
• Fire Alarm System
• Fire Extinguishing System
• Electricity system
• HVAC system
Number plate information
of all important components
Like transformer, UPS,
Battery, EPU, chiller, etc.
Energy balance
Cooling balance
© TÜ V Informationstechnik GmbH – Member of TÜ V
NORD Group
TSI pre-check / certification
DESIGN
PHASE IN OPERATION
PRE-CHECK CERTIFICATION
CONSTRUCTION
PHASE
其他機房認證
• PUE, Power Usage Effectiveness 能源使用效率
– 總用電量 / IT設備用電量
• 能源與環境先導設計(Leadership in Energy and
Environmental Design,LEED)美國綠建築協會
– 基本的認證、銀級認證、黃金級認證,白金級認證
2011 73
驗證範圍與驗證過程介紹
2011 74
現行 ISO27001 規定
• 1、各電信事業應於每年9月底前,依其自我評估作業編號之資通安全等級,提報下列資料至本會:
• (1)附件一、附件二、附件五及附件六。
• (2)依第八點執行內部稽核,勾選檢查項目「否」者,頇提報附件七及附件八。
• (3)依第八點執行內部稽核,勾選檢查項目「不適用」者,頇提報附件九及附件十。
• 2、電信事業經本會認可之資通安全管理機制驗證機構進行外部驗證,並取得ISO/IEC 27001證明者,僅頇提報附件六至附件八及附件十,得免提報附件五及附件九,惟頇檢附該驗證證書及驗證報告等相關資料影本。
June 2009 75
ISO27011 適用規範
• 赴大陸投資
– 投資電信業(第二類電信事業之一般業務)受理審查原則如下:
– (一) 開放赴大陸投資第二類電信事業一般業務,現階段適用範圍為大陸地區所稱之「存儲轉發業務、信息服務業務、在線數據處理及交易處理業務、因特網數據中心業務及因特網接入服務業務」。
– (二) 赴大陸投資之臺灣業者應檢具已取得規範電信事業資訊安全管理系統(ISMS)之ISO 27011認證之證明文件。
– (三) 涉及國人個人資料之事項或業務部門、業務功能及系統等,例如電信業者之用戶資料庫、客服系統/客服中心、帳務系統/帳務中心等,均限制不得移往大陸設置營運或於當地投資、合作。
June 2009 Autho
r:
Philip
Ku,
Introd
uciton
to
TUV
NOR
D IT
servic
es
76
ISO27011 適用規範
• 海纜業者
– 電信事業資訊通訊安全管理作業要點第五點第二項,將修正為「電信事業依固定通信業務管理規則第七十條第一項第二款或第七十二條之一,建置兩岸直接海纜通信網路者,應於申請通信網路技術審驗前,向本會認可之資通安全管理機制驗證機構,就核准之作業範圍申請驗證,並取得符合ISO/IEC 27001標準及電信事業資通安全管理手冊之ISO/IEC 27011增項稽核表驗證合格證明。」
June 2009 Autho
r:
Philip
Ku,
Introd
uciton
to
TUV
NOR
D IT
servic
es
77
ISO27011 適用規範
• 管理要點 第五條
– 電信事業申請在大陸地區投資相當於國內第二類電信事業一般業務前,應將其資通安全管理之實施作業範圍報經本會核准後,向本會認可之資通安全管理機制驗證機構,就核准之作業範圍申請驗證,並取得符合ISO/IEC 27001標準及電信事業資通安全管理手冊之ISO/IEC 27011增項稽核表驗證合格證明。
June 2009 Autho
r:
Philip
Ku,
Introd
uciton
to
TUV
NOR
D IT
servic
es
78
ISMS Scope
驗證範圍的決定
驗證範圍
企業本身
顧問公司/導入人員 驗證公司
事業合作 Partners
客戶 $$, Resources
$$, Resources
Image, Marketing, Mgmt
$$, Compliance
Trust, Mgmt
Trust
主管機關
範圍大小
客戶管理 產品/服務管理 帳務處理
機房管理
業務行銷
設備管理
I.T. MIS 財務會計
後勤支援
行政管理
人事管理
郵遞/貨運
委外開發 維運合約
客戶需求
核心業務過程
業務開發
支援管理過程
外部支援過程 客戶滿意
設備供應商 專線提供
外部顧問
程式、系統開發
ISO27001/ISO27011 外部稽核活動介紹
證書取得
證書持續
Pre-Audit
預評
階段一稽核
Stage 1
Audit
階段二稽核
Stage 2
Audit
稽核計畫 Stage 1
稽核報告
Stage 2
稽核報告 1 2 3
稽核活動的綜述
開始稽核
- 指派稽核小組長 - 確定稽核目標、範圍、標準
- 決定稽核可行性 - 選擇稽核小組 - 建立和被稽核者的初步合約
執行文件審查
- 審查相關管理系統文件,包含紀錄,即決定其適用的標準
準備現場稽核活動
- 準備稽核計畫 - 指派稽核小組工作 - 準備工作文件
執行現場稽核活動
- 召開起始會議 - 稽核時的溝通 - 引導者和觀察者的角色和責任 - 收集和驗證資訊 - 產生稽核發現點 - 準備稽核結論 - 召開結案會議
準備、認可、及寄發稽核報告
- 準備稽核報告 - 認可和寄發稽核報告
完成稽核 執行稽核追蹤
Ref: ISO 19011:2000, page 10
第一階段稽核 第二階段稽核
收集資訊的方法
面談
主要幹部與一般會議
審查文件
程序與計畫
了解管理系統的
有效性
觀察
特定區域和活動的現場參觀
資料與紀錄
監視紀錄
客觀證據
資訊的來源
收集適當的
樣本和驗證
根據稽核標準
來評估
審查
稽核檢論
稽核證據
稽核發現點
ISMS 驗證過程
步驟 1 步驟 2 步驟 3
步驟 7 步驟 6
步驟 5 步驟 4
步驟 8+
討論 ISMS
的範圍 審查合約
同意
服務規定
規劃
基本資訊審查
第一階段稽核
(包含文件審查)
第二階段稽核
現場稽核
發行
ISO 27001
證書
追查稽核
(每年)
3 年更新循環
Who we are…
June 2009 Author: Philip Ku, Introduciton to TUV NORD IT services 85
Asia Pacific – IT business dept.
謝謝
谢谢
Thank you
Vielen Dank
June 2009 Author: Philip Ku, Introduciton to TUV NORD IT services 86
Asia Pacific – IT business dept.