信息資訊安全管理的相關(guān)政策

資訊安全管理委辦單位：教育部顧問室資通安全聯(lián)盟執(zhí)行單位：淡江大學(xué)資訊管理學(xué)系1課程模組大綱Module1：資訊安全管理概論Module2：資訊安全風(fēng)險(xiǎn)Module3：先期規(guī)劃Module4：風(fēng)險(xiǎn)評鑑Module5：資訊安全政策M(jìn)odule6：資訊安全管理組織Module7：資產(chǎn)管理Module8：人力資源管理Module9：實(shí)體與環(huán)境安全管理2Module10：通信與作業(yè)管理Module11：存取控制Module12：資訊系統(tǒng)的取得、開發(fā)及維護(hù)Module13：資安事故管理Module14：營運(yùn)持續(xù)管理Module15：法令、政策、標(biāo)準(zhǔn)、及技術(shù)的符合性Module16：內(nèi)部稽核Module17：管理審查Module18：持續(xù)改進(jìn)3Module1：資訊安全管理概論

4學(xué)習(xí)目的本模組目的在於學(xué)習(xí)資訊安全的定義，為何需要資訊安全管理，如何建立資訊安全需求，評估資訊安全風(fēng)險(xiǎn)，處理資訊安全風(fēng)險(xiǎn)，選擇控制措施，資訊安全管理標(biāo)準(zhǔn)簡介及其演進(jìn)，資訊安全管理之關(guān)鍵成功因素，以及資訊安全管理之重要名詞說明等本模組的重點(diǎn)是瞭解什麼是資訊安全，資訊安全管理的重要性，以及資訊安全管理系統(tǒng)重要元素，包括：資訊安全風(fēng)險(xiǎn)評估與處理、控制措施選擇等。並瞭解資訊安全管理的標(biāo)準(zhǔn)、關(guān)鍵成功因素、重要名詞等。5Module1：資訊安全管理概論Module1-1：資訊安全的定義Module1-2：為何需要資訊安全管理Module1-3：如何建立資訊安全需求Module1-4：評估資訊安全風(fēng)險(xiǎn)Module1-5：處理資訊安全風(fēng)險(xiǎn)Module1-6：選擇控制措施Module1-7：資訊安全管理標(biāo)準(zhǔn)簡介及其演進(jìn)Module1-8：關(guān)鍵成功因素Module1-9：重要名詞說明Module1-10：我國資安管理法源/政策6參考文獻(xiàn)習(xí)題7Module1-1：資訊安全的定義8Module1-1：資訊安全的定義隨著網(wǎng)際網(wǎng)路高度發(fā)展及全球化的趨勢，資訊安全已成為企業(yè)經(jīng)營管理不可忽視之重要課題。資訊（Information）是組織重要資產(chǎn)，就像其它重要的營運(yùn)資產(chǎn)一樣，對組織具有價(jià)值。因此需要適當(dāng)保護(hù)，尤其是高度依賴資訊化服務(wù)的組織將更形重要。相對地，資訊也更有機(jī)會(huì)暴露於日益多樣的威脅與脆弱性中。Module1-19資訊儲(chǔ)存及呈現(xiàn)的形式相當(dāng)多元，可以列印成書面表示、可以用電子方式儲(chǔ)存、可以用郵寄或是電子郵件傳送、也可以用影片播放或以口頭說明。無論資訊的形式為何，以何種方式儲(chǔ)存或與他人共享，均應(yīng)以適當(dāng)?shù)姆绞郊右员Ｗo(hù)。Module1-110資訊訊安安全全（（InformationSecurity,簡簡稱稱資資安安））是是將將保保護(hù)護(hù)資資訊訊的的控控制制措措施施實(shí)實(shí)施施於於組組織織現(xiàn)現(xiàn)有有的的營營運(yùn)運(yùn)流流程程及及組組織織架架構(gòu)構(gòu)中中，，保保護(hù)護(hù)資資訊訊不不受受各各種種威威脅脅，，確確保保營營運(yùn)運(yùn)持持續(xù)續(xù)、、降降低低營營運(yùn)運(yùn)損損失失、、使使組組織織獲獲致致最最佳佳投投資資報(bào)報(bào)酬酬率率及及商商業(yè)業(yè)機(jī)機(jī)會(huì)會(huì)。。當(dāng)資資訊訊的的機(jī)機(jī)密密性性（（Confidentiality））、、完完整整性性（（Integrity））、、可可用用性性（（Availability））遭遭到到破破壞壞時(shí)時(shí)，，可可能能會(huì)會(huì)造造成成組組織織重重大大的的衝衝擊擊，，甚甚至至中中止止組組織織的的運(yùn)運(yùn)作作。。如何何保保護(hù)護(hù)資資訊訊資資產(chǎn)產(chǎn)是是所所有有組組織織所所面面臨臨的的重重要要議議題題之之一一。。Module1-111Module1-2：：為為何何需需要要資資訊訊安安全全管管理理12Module1-2：：為為何何需需要要資資訊訊安安全全管管理理資訊訊和和支支援援作作業(yè)業(yè)、、系系統(tǒng)統(tǒng)及及網(wǎng)網(wǎng)路路都都是是重重要要的的營營運(yùn)運(yùn)資資產(chǎn)產(chǎn)。。資訊訊安安全全攸攸關(guān)關(guān)能能否否維維繫繫競競爭爭力力、、現(xiàn)現(xiàn)金金流流量量、、獲獲利利能能力力、、適適法法性性、、及及商商業(yè)業(yè)形形象象。。組織織本本身身與與其其資資訊訊系系統(tǒng)統(tǒng)、、網(wǎng)網(wǎng)路路所所面面臨臨的的安安全全威威脅脅來來源源日日益益廣廣泛泛。。Module1-213除了火火災(zāi)或或水災(zāi)災(zāi)等天天然的的災(zāi)害害外，，尚有有人為為的攻攻擊破破壞，，如電電腦相相關(guān)詐詐欺行行為、、入侵侵攻擊擊行為為（例例如：：如惡惡意碼碼、電電腦駭駭客等等）、、蓄意意破壞壞、毀毀損等等攻擊擊，都都愈來來愈普普遍、、影響響也越越來越越大、、技術(shù)術(shù)亦日日益複複雜。。資安需需要全全面的的綜合合管理理。Module1-214資訊安安全管管理系系統(tǒng)（（InformationSecurityManagementSystems,ISMS））的導(dǎo)導(dǎo)入，，可以以協(xié)調(diào)調(diào)組織織各方方面的的管理理機(jī)制制，使使資訊訊安全全更有有保障障。資訊訊安安全全管管理理系系統(tǒng)統(tǒng)是是運(yùn)運(yùn)用用一一套套系系統(tǒng)統(tǒng)方方法法，，對對組組織織內(nèi)內(nèi)敏敏感感資資產(chǎn)產(chǎn)進(jìn)進(jìn)行行管管理理，，涉涉及及到到人人員員、、程程序序和和資資訊訊技技術(shù)術(shù)（（InformationTechnology,IT））等等的的系系統(tǒng)統(tǒng)。。Module1-215資安安的的需需求求是是存存在在於於各各種種組組織織（（不不論論政政府府部部門門、、私私人人企企業(yè)業(yè)或或非非營營利利組組織織等等））。。確保資訊訊資產(chǎn)安安全，才才能避免免或降低低有關(guān)的的風(fēng)險(xiǎn)。。過去多數(shù)數(shù)組織對對資訊安安全並無無太多概概念，很很多資訊訊系統(tǒng)在在設(shè)計(jì)時(shí)時(shí)，並未未將安全全控管納納入考慮慮。Module1-216透過技術(shù)術(shù)手段所所能達(dá)到到的安全全有限，，必須透透過適切切的管理理及程序序支援才才能有效效達(dá)成目目標(biāo)。資訊安全全管理將將包括組組織內(nèi)所所有員工工及組織織外的供供應(yīng)商、、第三方方、客戶戶等外部部人員。。Module1-217Module1-3：如何何建立資訊訊安全需求求18Module1-3：如何何建立資訊訊安全需求求組織識(shí)別自自身的安全全要求，是是絶對必要要的。安全要求主主要來源：：1.風(fēng)險(xiǎn)險(xiǎn)評鑑2.外在在環(huán)境3.內(nèi)在在環(huán)境Module1-3191.風(fēng)險(xiǎn)險(xiǎn)評鑑來自對組織織面臨風(fēng)險(xiǎn)險(xiǎn)的評鑑，，考慮到組組織整體的的營運(yùn)策略略及目標(biāo)。。風(fēng)險(xiǎn)評鑑（（RiskAssessment））後，方能能識(shí)別資產(chǎn)產(chǎn)所面臨的的威脅，並並評估脆弱弱性及其發(fā)發(fā)生的可能能性，以及及預(yù)估可能能造成的衝衝擊（Impact）。Module1-3202.外在在環(huán)境是組織、交交易夥伴、、合約商及及服務(wù)供應(yīng)應(yīng)商，必須須滿足的法法律、法令令、規(guī)章及及合約方面面的要求，，以及他們們的社會(huì)文文化環(huán)境。。Module1-3213.內(nèi)在在環(huán)境是組織為了了支援營運(yùn)運(yùn)活動(dòng)而發(fā)發(fā)展的，對對資訊處理理的原則、、目標(biāo)、和和營運(yùn)的要要求。Module1-322Module1-4：評估估資訊安全全風(fēng)險(xiǎn)23Module1-4：評估估資訊安全全風(fēng)險(xiǎn)透過有系統(tǒng)統(tǒng)的安全風(fēng)風(fēng)險(xiǎn)評鑑，，才能識(shí)別別安全要求求。資訊安全的的保護(hù)投資資必需符合合經(jīng)濟(jì)原則則，有關(guān)控控制措施的的支出及可可能造成的的營運(yùn)損失失，需保持持平衡。Module1-424風(fēng)險(xiǎn)評鑑的的結(jié)果，有有助於指導(dǎo)導(dǎo)及決定適適當(dāng)?shù)墓芾砝碜鳛椤⒐芄芾碣Y訊安安全風(fēng)險(xiǎn)的的優(yōu)先順序序、實(shí)作所所選的控制制措施，以以防範(fàn)這些些風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評鑑宜宜定期重覆覆進(jìn)行，以以應(yīng)付可能能影響風(fēng)險(xiǎn)險(xiǎn)評鑑結(jié)果果的任何改改變。Module1-425Module1-5：處理理資訊安全全風(fēng)險(xiǎn)26Module1-5：處理理資訊安全全風(fēng)險(xiǎn)一旦識(shí)別了了安全要求求、確定組組織的風(fēng)險(xiǎn)險(xiǎn)與其執(zhí)行行風(fēng)險(xiǎn)處理理之決策後後，宜選擇擇並實(shí)作控控制措施，，以確保將將風(fēng)險(xiǎn)降低低到可接受受的程度。?？刂拼胧┑牡倪x擇，將將依據(jù)組織織風(fēng)險(xiǎn)承受受的準(zhǔn)則、、風(fēng)險(xiǎn)處理理的選擇、、以及一般般適用於組組織風(fēng)險(xiǎn)管管理方法等等的決策而而定，當(dāng)然然同時(shí)受限限於所有相相關(guān)的國家家及國際法法律與管理理規(guī)定。Module1-527Module1-6：選擇擇控制措施施28Module1-6：選擇擇控制措施施很多的控制制措施都能能被視為實(shí)實(shí)行資訊安安全很好的的起點(diǎn)。這些措施可可以是根據(jù)據(jù)基本的法法律要求為為基礎(chǔ)，也也可以是資資訊安全的的一般最佳佳實(shí)務(wù)。Module1-629依據(jù)據(jù)可可適適用用的的法法律律，，從從法法律律的的角角度度來來看看，，對對組組織織至至關(guān)關(guān)重重要要的的控控制制措措施施，，包包括括：：保護(hù)護(hù)資資料料(訊訊)及及個(gè)個(gè)人人資資訊訊的的隱隱私私；；保護(hù)護(hù)組組織織的的記記錄錄；；保護(hù)護(hù)組組織織的的智智慧慧財(cái)財(cái)產(chǎn)產(chǎn)權(quán)權(quán)（（IntellectualPropertyRights,IPR））。。Module1-630在資資訊訊安安全全的的實(shí)實(shí)務(wù)務(wù)中中，，常常用用的的控控制制措措施施，，包包括括：：資訊訊安安全全政政策策文文件件；；資訊訊安安全全責(zé)責(zé)任任的的配配置置；；資訊訊安安全全認(rèn)認(rèn)知知、、訓(xùn)訓(xùn)練練與與教教育育；；應(yīng)用用系系統(tǒng)統(tǒng)的的正正確確處處理理流流程程；；脆弱性性管理理；營運(yùn)持持續(xù)管管理；；管理資資訊安安全事事故與與改善善。Module1-631這些控控制措措施適適用於於大部部分的的組織織及環(huán)環(huán)境。。但任何何控制制措施施是否否適用用，還還是取取決於於組織織所面面臨的的特有有風(fēng)險(xiǎn)險(xiǎn)。Module1-632Module1-7：：資訊訊安全全管理理標(biāo)準(zhǔn)準(zhǔn)簡介介及其其演進(jìn)進(jìn)33Module1-7：：資訊訊安全全管理理標(biāo)準(zhǔn)準(zhǔn)簡介介及其其演進(jìn)進(jìn)英國標(biāo)標(biāo)準(zhǔn)協(xié)協(xié)會(huì)（（BritishStandardsInstitution,BSI）為為國國際標(biāo)標(biāo)準(zhǔn)制制定機(jī)機(jī)構(gòu)之之一，，於1995年年提出出編號(hào)號(hào)為BS7799的資資訊安安全管管理系系統(tǒng)（（InformationSecurityManagementSystems,ISMS））標(biāo)準(zhǔn)準(zhǔn)。Module1-734BS7799分為為BS7799-1&BS7799-2兩兩個(gè)部部分（（Part），，其中中BS7799-1已已在2005年年6月月成為為ISO/IEC17799：：2005國際際標(biāo)準(zhǔn)準(zhǔn)；而而BS7799-2亦亦於2005年年10月正正式成成為ISO/IEC27001：2005國國際標(biāo)標(biāo)準(zhǔn)。。Module1-735資訊安安全管管理在在國內(nèi)內(nèi)及全全球已已逐漸漸被重重視，，上述述標(biāo)準(zhǔn)準(zhǔn)為目目前國國際公公認(rèn)最最完整整之資資訊安安全管管理標(biāo)標(biāo)準(zhǔn)。。表1-1顯顯示，，導(dǎo)入入ISMS且取取得認(rèn)認(rèn)證的的機(jī)構(gòu)構(gòu)數(shù)總總共有有3,363家家（2007年年3月月），，日本本導(dǎo)入入ISMS的機(jī)機(jī)構(gòu)數(shù)數(shù)最多多（1,910），，而臺(tái)臺(tái)灣排排名第第4（（124））。Module1-736由於部部分機(jī)機(jī)構(gòu)為為跨國國企業(yè)業(yè)可能能註冊冊於多多個(gè)國國家，，或者者有些些機(jī)構(gòu)構(gòu)擁有有多張張證照照，扣扣除這這些該該重複複註冊冊部分分，導(dǎo)導(dǎo)入ISMS且且取得得認(rèn)證證的機(jī)機(jī)構(gòu)數(shù)數(shù)有3,350家。。Module1-737Module1-738Module1-739ISO17799:2005資資訊安安全管管理作作業(yè)要要點(diǎn)（（CodeofPracticeforInformationSecurityManagement）主主要是是作為為參考考文件件，提提供廣廣泛性性的安安全控控制措措施，，作為為現(xiàn)行行資訊訊安全全之最最佳作作業(yè)方方法。。其中包包含11個(gè)個(gè)控制制措施施章節(jié)節(jié)，但但不作作為評評鑑與與驗(yàn)證證標(biāo)準(zhǔn)準(zhǔn)。Module1-740ISO27001:2005資資訊安安全管管理系系統(tǒng)要要求（（InformationSecurityManagementSystems（（ISMS））-Requirements）係係根據(jù)據(jù)ISO17799，，提供供資訊訊安全全管理理系統(tǒng)統(tǒng)之建建立實(shí)實(shí)施與與書面面化之之具體體要求求，依依據(jù)個(gè)個(gè)別組組織的的需求求，規(guī)規(guī)定要要實(shí)施施之安安全控控制措措施的的要求求。Module1-741ISO27001是國國際資資訊安安全管管理系系統(tǒng)標(biāo)標(biāo)準(zhǔn)。。它可可以幫幫助組組織鑑鑑別、、管理理和減減少資資訊所所面臨臨的各各種風(fēng)風(fēng)險(xiǎn)。。Module1-742ISO27001包括括建置置組織織管理理系統(tǒng)統(tǒng)所需需要的的PDCA（Plan,Do,Check,Act））管理理架構(gòu)構(gòu)及廣廣泛的的安全全控制制措施施指引引：1.安安全全政策策（SecurityPolicy）2.資資訊訊安全全組織織（OrganizationofInformationSecurity））3.資資產(chǎn)產(chǎn)管理理（AssetManagement））4.人人力力資源源安全全（HumanResourcesSecurity））5.實(shí)實(shí)體體和環(huán)環(huán)境安安全（（PhysicalandEnvironmentalSecurity））Module1-7436.通通訊訊與作作業(yè)管管理（（CommunicationsandOperationsManagement）7.存存取取控制制（AccessControl））8.資資訊訊系統(tǒng)統(tǒng)取得得、開開發(fā)和和維護(hù)護(hù)（InformationSystemsAcquisition,DevelopmentandMaintenance））9.資資訊訊安全全事故故管理理（InformationSecurityIncidentManagement））10.營營運(yùn)持持續(xù)管管理（（BusinessContinuityManagement）11.遵遵循性性（Compliance））Module1-744Module1-7ISO/IEC17799:2005架架構(gòu)構(gòu)資通安安全管管理技技術(shù)標(biāo)標(biāo)準(zhǔn)介介紹-ISO/IEC27001，，資策策會(huì)專專案支支援處處資安安服務(wù)務(wù)中心心，2006/6/30安全政策資訊安全組織資產(chǎn)管理人力資源安全實(shí)體和環(huán)境安全通訊與作業(yè)管理資訊系統(tǒng)取得、開發(fā)和維護(hù)存取控制資訊安全事故管理營運(yùn)持續(xù)管理遵循性451.安安全全政策策表達(dá)對對資訊訊安全全管理理系統(tǒng)統(tǒng)的支支持和和承諾諾。Module1-7462.資資訊訊安全全組織織建立一一個(gè)管管理架架構(gòu)，，用於於公司司內(nèi)部部資訊訊安全全的管管理和和控制制，以以及執(zhí)執(zhí)行現(xiàn)現(xiàn)有的的資訊訊安全全規(guī)定定。Module1-7473.資資產(chǎn)產(chǎn)管理理確保對對組織織各項(xiàng)項(xiàng)資產(chǎn)產(chǎn)的安安全進(jìn)進(jìn)行有有效保保護(hù)。。Module1-7484.人人力力資源源安全全明訂所所有人人員在在安全全方面面的職職責(zé)和和角色色。Module1-7495.實(shí)實(shí)體體和環(huán)環(huán)境安安全對組織織營運(yùn)運(yùn)場所所及人人員提提出簡簡單明明確的的安全全要求求。Module1-7506.通通訊訊與作作業(yè)管管理盡可能能完善善公司司內(nèi)外外的溝溝通聯(lián)聯(lián)繫，，以利利於資資訊安安全管管理系系統(tǒng)的的順利利運(yùn)行行。Module1-7517.存存取控制制對資訊存存取行為為的管理理。Module1-7528.資資訊系統(tǒng)統(tǒng)取得、、開發(fā)和和維護(hù)確保公司司IT專專案和相相關(guān)的支支援活動(dòng)動(dòng)已實(shí)施施安全控控制，必必要時(shí)進(jìn)進(jìn)行資料料管制和和加密。。Module1-7539.資資訊安全全事故管管理確保在某某種程度度上，傳傳達(dá)與資資訊系統(tǒng)統(tǒng)有關(guān)的的資訊安安全事件件與弱點(diǎn)點(diǎn)，始能能採取即即時(shí)的矯矯正行動(dòng)動(dòng)。確保實(shí)施施一致與與有效的的方法來來管理資資訊安全全事故。。Module1-75410.營營運(yùn)持持續(xù)管理理發(fā)展和維維護(hù)企業(yè)業(yè)營運(yùn)持持續(xù)計(jì)劃劃，保護(hù)護(hù)關(guān)鍵的的業(yè)務(wù)活活動(dòng)，免免受重大大災(zāi)難或或中斷的的影響。。Module1-75511.遵遵循性性符合資訊訊安全法法令或規(guī)規(guī)定的相相關(guān)要求求。Module1-756Module1-8：關(guān)鍵鍵成功因因素57Module1-8：關(guān)鍵鍵成功因因素能反映營營運(yùn)目標(biāo)標(biāo)的資訊訊安全政政策、目目標(biāo)及活活動(dòng)與組織文文化一致致之實(shí)作作、維護(hù)護(hù)、監(jiān)控控、及改改進(jìn)資訊訊安全的的方法與與框架來自所有有管理階階層的實(shí)實(shí)際支持持和承諾諾對資訊安安全要求求、風(fēng)險(xiǎn)險(xiǎn)評鑑以以及風(fēng)險(xiǎn)險(xiǎn)管理的的深入理理解Module1-858向全體管管理人員員、受雇雇人員、、及相關(guān)關(guān)人員，，有效推推廣資訊訊安全，，以達(dá)到到認(rèn)知向所有管管理人員員、受雇雇人員、、及相關(guān)關(guān)人員宣宣傳資訊訊安全政政策的指指引和標(biāo)標(biāo)準(zhǔn)資助資訊訊安全管管理的規(guī)規(guī)定Module1-859提供適切切的認(rèn)知知、訓(xùn)練練及教育育制定有效效的資訊訊安全事事故管理理過程實(shí)施用於於評估資資訊安全全管理的的績效及及改善的的回饋建建議之量量測系統(tǒng)統(tǒng)Module1-860Module1-9：重要要名詞說說明61Module1-9：重要要名詞說說明1.資資產(chǎn)（Asset）2.資資訊處理理設(shè)施（（InformationProcessingFacilities）3.資資訊安全全（InformationSecurity）4.資資訊安全全管理系系統(tǒng)（InformationSecurityManagementSystem,ISMS）5.機(jī)機(jī)密性（（Confidentiality）6.完完整性（（Integrity）7.可用用性（Availability））Module1-9628.資資訊安全全事件（（InformationSecurityEvent））9.資資訊安全全事故（（InformationSecurityIncident））10.風(fēng)風(fēng)險(xiǎn)（（Risk）11.威威脅（（Threat）12.脆脆弱性性（Vulnerability））13.風(fēng)風(fēng)險(xiǎn)分分析（RiskAnalysis）14.風(fēng)風(fēng)險(xiǎn)評評估（RiskEvaluation））15.風(fēng)風(fēng)險(xiǎn)評評鑑（RiskAssessment））Module1-96316.風(fēng)風(fēng)險(xiǎn)處處理（RiskTreatment）17.剩剩餘風(fēng)風(fēng)險(xiǎn)（ResidualRisk）18.風(fēng)風(fēng)險(xiǎn)接接受（RiskAcceptance））19.風(fēng)風(fēng)險(xiǎn)管管理（RiskManagement））20.適適用性性聲明（（StatementofApplicability））Module1-9641.資資產(chǎn)對組織有有價(jià)值的的任何事事物。[ISO/IEC13335-1:2004]Module1-9652.資資訊處理理設(shè)施任何資訊訊處理系系統(tǒng)、服服務(wù)或基基礎(chǔ)建設(shè)設(shè)、或是是儲(chǔ)藏它它們的實(shí)實(shí)體地點(diǎn)點(diǎn)。Module1-9663.資資訊安全全保護(hù)資訊訊的機(jī)密密性、完完整性及及可用性性；此外外，亦能能涉及如如鑑別性性、可歸歸責(zé)性、、不可否否認(rèn)性及及可靠度度等性質(zhì)質(zhì)。[ISO/IEC17799：2005]Module1-9674.資資訊安全全管理系系統(tǒng)整體管理理系統(tǒng)的的一部份份，以營營運(yùn)風(fēng)險(xiǎn)險(xiǎn)導(dǎo)向（（作法））為基礎(chǔ)礎(chǔ)，用以以建立、、實(shí)作、、運(yùn)作、、監(jiān)視、、審查、、維持與與改進(jìn)資資訊安全全。資訊安全全管理系系統(tǒng)包括括組織架架構(gòu)、政政策、規(guī)規(guī)劃活動(dòng)動(dòng)、責(zé)任任、實(shí)務(wù)務(wù)、程序序、過程程及資源源。Module1-9685.機(jī)機(jī)密性使資訊不不可用或或不揭露露給未經(jīng)經(jīng)授權(quán)之之個(gè)人、、個(gè)體或或過程的的性質(zhì)。。[ISO/IEC13335-1:2004]Module1-9696.完完整性保護(hù)資訊訊資產(chǎn)的的準(zhǔn)確度度(Accuracy)和完完全性(Completeness)的性性質(zhì)。[ISO/IECTR18044:2004]Module1-970經(jīng)授權(quán)個(gè)個(gè)體因應(yīng)應(yīng)需求之之可存取取及可使使用的性性質(zhì)。[ISO/IEC13335-1:2004]7.可可用性Module1-9718.資資訊安全全事件系統(tǒng)、服服務(wù)或網(wǎng)網(wǎng)路發(fā)生生一個(gè)已已識(shí)別的的狀態(tài)，，其指示示可能的的資訊安安全政策策違例或或保護(hù)措措施失效效，或是是可能與與安全相相關(guān)而先先前未知知的狀況況等。[ISO/IECTR18044:2004]Module1-9729.資資訊安全全事故單一或一一連串有有顯著機(jī)機(jī)率可能能危害營營運(yùn)作業(yè)業(yè)與威脅脅資訊安安全之非非所欲或或非預(yù)期期的資訊訊安全事事件。[ISO/IECTR18044:2004]Module1-97310.風(fēng)風(fēng)險(xiǎn)事件發(fā)生生與其影影響的可可能性之之組合。。[ISOGuide73:2002]Module1-97411.威威脅可能導(dǎo)致致對系統(tǒng)統(tǒng)或組織織傷害，，有害事事件的潛潛在原因因。[ISO/IEC13335-1:2004]Module1-97512.脆弱性能被單一一威脅利利用的單單一或一一群資產(chǎn)產(chǎn)的弱點(diǎn)點(diǎn)。[ISO/IEC13335-1:2004]Module1-97613.風(fēng)險(xiǎn)分析析系統(tǒng)性的的使用資資訊，以以識(shí)別緣緣由與估估計(jì)風(fēng)險(xiǎn)險(xiǎn)。[ISOGuide73:2002]Module1-97714.風(fēng)風(fēng)險(xiǎn)評評估把預(yù)估的的風(fēng)險(xiǎn)和和已知的的風(fēng)險(xiǎn)準(zhǔn)準(zhǔn)則，進(jìn)進(jìn)行比較較的過程程，以決決定風(fēng)險(xiǎn)險(xiǎn)的顯著著性。[ISOGuide73:2002]Module1-97815.風(fēng)風(fēng)險(xiǎn)評評鑑風(fēng)險(xiǎn)分析析與風(fēng)險(xiǎn)險(xiǎn)評估的的整個(gè)過過程。[ISOGuide73:2002]Module1-97916.風(fēng)風(fēng)險(xiǎn)處處理選擇與實(shí)實(shí)作措施施的過程程，藉以以修正風(fēng)風(fēng)險(xiǎn)。[ISOGuide73:2002]Module1-98017.剩剩餘風(fēng)風(fēng)險(xiǎn)風(fēng)險(xiǎn)處理理後，所所剩餘的的風(fēng)險(xiǎn)。。[ISOGuide73:2002]Module1-98118.風(fēng)風(fēng)險(xiǎn)接接受決定接受受某風(fēng)險(xiǎn)險(xiǎn)。[ISO/IECGuide73:2002]Module1-98219.風(fēng)風(fēng)險(xiǎn)管管理藉由協(xié)調(diào)調(diào)各項(xiàng)活活動(dòng)，以以指導(dǎo)與與控管組組織之有有關(guān)風(fēng)險(xiǎn)險(xiǎn)。[ISOGuide73:2002]Module1-98320.適適用性性聲明描述與組組織之資資訊安全全管理系系統(tǒng)(ISMS)相關(guān)關(guān)且對其其適用之之各項(xiàng)控控制目標(biāo)標(biāo)與控制制措施的的已文件件化聲明明?？刂颇繕?biāo)標(biāo)與控制制措施，，係以風(fēng)風(fēng)險(xiǎn)評鑑鑑與風(fēng)險(xiǎn)險(xiǎn)處理之之各項(xiàng)過過程的結(jié)結(jié)果與結(jié)結(jié)論、法法律或法法規(guī)要求求、契約約義務(wù)，，以及組組織對資資訊安全全的營運(yùn)運(yùn)要求為為基礎(chǔ)。。Module1-984Module1-10：我我國資安安管理法法源/政政策M(jìn)odule1-10行政院及及所屬機(jī)機(jī)關(guān)資訊訊安全管管理規(guī)範(fàn)範(fàn)(草案案)，，資通安安全會(huì)報(bào)報(bào)技服中中心，2005。85我國資通通安全共共通規(guī)範(fàn)範(fàn)架構(gòu)行政院及及所屬機(jī)機(jī)關(guān)資訊訊安全管管理規(guī)範(fàn)範(fàn)(草案案)，，資通安安全會(huì)報(bào)報(bào)技服中中心，2005。86參考文獻(xiàn)獻(xiàn)87參考文獻(xiàn)獻(xiàn)行政院及及所屬機(jī)機(jī)關(guān)資訊訊安全管管理規(guī)範(fàn)範(fàn)(草案案)，，行政院院資通安安全會(huì)報(bào)報(bào)技服中中心，2005。國家標(biāo)準(zhǔn)準(zhǔn)CNS17799「資訊訊技術(shù)-安全技技術(shù)--資訊安安全管理理之作業(yè)業(yè)規(guī)範(fàn)」」。國家標(biāo)準(zhǔn)準(zhǔn)CNS27001「「資訊技技術(shù)-安安全技術(shù)術(shù)--資資訊安全全管理系系統(tǒng)-要要求事項(xiàng)項(xiàng)」。ISO/IEC27001:2005Informationtechnology--Securitytechniques--Informationsecuritymanagementsystems––Requirements.ISO27001:2005Informationtechnology–Securitytechniques––Codeofpracticeforinformationsecuritymanagement.ISO/IECGuide2:1996,Standardizationandrelatedactivities––Generalvocabulary.88Module1：資資訊安全全管理概概論習(xí)習(xí)題89是非題(1)_題目資訊安全全管理系系統(tǒng)是指指用以管管理儲(chǔ)存存資料及及資訊的的電腦系系統(tǒng)。是非90是非題(2)_題目資訊安全全管理系系統(tǒng)是運(yùn)運(yùn)用一套套系統(tǒng)方方法，對對組織內(nèi)內(nèi)敏感資資產(chǎn)進(jìn)行行管理。。是非91是非題(3)_題目資訊越隱隱密就越越少人知知道，越越少人知知道就越越安全。。故將所所有的資資訊列為為最高機(jī)機(jī)密就達(dá)達(dá)成安全全。是非92是非題(4)_題目控制措施施的選擇擇，需受受限於所所有相關(guān)關(guān)的國家家及國際際法律與與管理規(guī)規(guī)定。是非93是非題(5)_題目資訊安全全的實(shí)務(wù)務(wù)中，已已經(jīng)產(chǎn)生生很多的的最佳實(shí)實(shí)務(wù)，是是所有組組織導(dǎo)入入ISMS所必必須遵守守的。是非94是非題(6)_題目資產(chǎn)是指指組織中中的有形形的實(shí)體體設(shè)施，，如機(jī)械械、廠房房、資本本、人員員、土地地等。是非95是非題(7)_題目風(fēng)險(xiǎn)評鑑鑑宜定期期重覆進(jìn)進(jìn)行，以以應(yīng)付環(huán)環(huán)境的改改變。是非96是非題(8)_題目資訊安全全管理是是組織的的重點(diǎn)工工作其實(shí)實(shí)施的範(fàn)範(fàn)圍只包包括組織織內(nèi)所有有員工及及產(chǎn)生的的資訊。。是非97是非題(9)_題目資訊安全全認(rèn)知、、訓(xùn)練與與教育是是一種常常用的控控制措施施。是非98是非題(10)_題目目無論對小小企業(yè)或或跨國性性大企業(yè)業(yè)而言，，資安的的需求都都是存在在的。是非99選擇題(1)_題目(1)有有助於於指導(dǎo)及及決定適適當(dāng)?shù)墓芄芾碜鳛闉?2)風(fēng)風(fēng)險(xiǎn)評評鑑結(jié)果果能保證證資訊資資產(chǎn)絕對對安全(3)管管理資資訊安全全風(fēng)險(xiǎn)的的優(yōu)先順順序(4)實(shí)實(shí)作所所選的控控制措施施下列有關(guān)關(guān)風(fēng)險(xiǎn)評評鑑結(jié)果果之描述述，何者者正確？？(複複選)100選擇題(2)_題目(1)保保護(hù)組組織的智智慧財(cái)產(chǎn)產(chǎn)權(quán)(2)保保護(hù)組組織的記記錄(3)保保護(hù)資資訊的價(jià)價(jià)格（Price）(4)保保護(hù)個(gè)個(gè)人資訊訊的隱私私從法律的的角度而而言，重重要的控控制措施施包括下下列何項(xiàng)項(xiàng)？(複選)101選擇題(3)_題目(1)資資訊的的價(jià)格（（Price））(2)資資訊的的機(jī)密性性（Confidentiality）(3)資資訊的的完整性性（Integrity）(4)資資訊的的可用性性（Availability）資訊安全全是要保保護(hù)資訊訊的那些些要件？？(複複選)102選擇題(4)_題目(1)ISO27001(2)ISO9001(3)ISO14000(4)ISO7777下列何者者是國際際資訊安安全管理理系統(tǒng)標(biāo)標(biāo)準(zhǔn)？103選擇題(5)_題目(1)追追求絕絕對的安安全性。。(2)減減少使使用資訊訊科技，，就可降降低資訊訊安全問問題。(3)資資安是是因使用用資訊技技術(shù)而起起，所以以使用相相關(guān)技術(shù)術(shù)就可以以了。(4)是是使用用適當(dāng)?shù)牡某杀?，，來保護(hù)護(hù)資訊資資產(chǎn)。下列何者者為資訊訊安全的的重要觀觀念？104選擇題(6)_題目(1)識(shí)識(shí)別資資產(chǎn)所面面臨的威威脅(2)評評估資資產(chǎn)的脆脆弱性(3)預(yù)預(yù)估事事故可能能造成的的衝擊(4)預(yù)預(yù)估所所需的硬硬體設(shè)備備為何？？風(fēng)險(xiǎn)評鑑鑑（RiskAssessment）的的功能有有那些？？(複選選)105選擇題(7)_題目(1)風(fēng)風(fēng)險(xiǎn)值值(2)威威脅(3)弱弱點(diǎn)(4)風(fēng)風(fēng)險(xiǎn)「事件發(fā)發(fā)生與其其影響的的可能性性之組合合」是那那個(gè)名詞詞之定義義？106選擇題(8)_題目(1)完完整性性(2)保保密性性(3)透透明性性(4)可可用性性保護(hù)資產(chǎn)產(chǎn)的準(zhǔn)確確度和完完全性的的性質(zhì)是是指何？？107選擇題(9)_題目(1)資資訊安安全的管管理(2)資資訊安安全的控控制(3)資資訊安安全政策策核準(zhǔn)(4)資資訊安安全的執(zhí)執(zhí)行資訊安全全組織的的主要工工成作為為何？(複選)108選擇題(10)_題目目(1)降降低風(fēng)風(fēng)險(xiǎn)接受受值；(2)適適切的的管理；；(3)程程序支支援；(4)技技術(shù)ISMS的導(dǎo)入入要能達(dá)達(dá)成目標(biāo)標(biāo)，下列列那些事事項(xiàng)須配配合？(複選)1099、靜靜夜夜四四無無鄰鄰，，荒荒居居舊舊業(yè)業(yè)貧貧。。。。12月月-2212月月-22Thursday,December29,202210、雨中中黃葉葉樹，，燈下下白頭頭人。。。03:49:2603:49:2603:4912/29/20223:49:26AM11、以我獨(dú)沈沈久，愧君君相見頻。。。12月-2203:49:2603:49Dec-2229-Dec-2212、故人江江海別，，幾度隔隔山川。。。03:49:2603:49:2603:49Thursday,December29,202213、乍乍見見翻翻疑疑夢夢，，相相悲悲各各問問年年。。。。12月月-2212月月-2203:49:2603:49:26December29,202214、他鄉(xiāng)鄉(xiāng)生白白發(fā)，，舊國國見青青山。。。29十十二二月20223:49:26上上午03:49:2612月月-2215、比不了了得就不不比，得得不到的的就不要要。。。十二月223:49上午午12月-2203:49December29,202216、行動(dòng)出出成果，，工作出出財(cái)富。。。2022/12/293:49:2603:49:2629December202217、做前前，能能夠環(huán)環(huán)視四四周；；做時(shí)時(shí)，你你只能能或者者最好好沿著著以腳腳為起起點(diǎn)的的射線線向前前。。。3:49:26上上午3:49上上午03:49:2612月-229、沒有失敗敗，只有暫暫時(shí)停止成成功！。12月-2212月-22Thursday,December29,202210