ISO/IEC27001:2013简介A brief introduction
用心服务，专业技术，合作发展
2 /33
亚远景
Disclosure/Alteration/Destruction组织面临的威胁
用心服务，专业技术，合作发展
3 /33
亚远景
什么是信息
信息是一种资产，就像企业其它资产一样重要，对企业具有重要的价值，因此需要受到适当的保护。 信息的类型 书写或打印于纸上 储存在电子媒体上 以邮寄或电子储存媒体传输 显示于企业影片上 言语-在对话中提出 不管信息的形式是什么，或者共享或储存的方式是什么，都应该受到适当的保护。
用心服务，专业技术，合作发展
4 /33
亚远景
什么是信息安全
机密性：信息不可被未经授权之个人、实体、流程所取得或揭露的特性。
可用性：基于需要可由授权者存取及使用的特性。
：性整完
征特的整完和
威胁
脆弱
确准产资护保
风险
用心服务，专业技术，合作发展
5 /33
亚远景
信息得到保障
信息安全4P-方针、过程、人员、产品
用心服务，专业技术，合作发展
6 /33
亚远景
现今的部署架构面临的挑战
Internet
Finance
Operations
Sales
WLAN Switch
Core Switch
IDS/IDP
Firewall
Router
A/D Server
Database Servers
$$
$$$
面对入侵迟钝的反应, 却花费大笔的金钱，而安全却毫无起色
用心服务，专业技术，合作发展
7 /33
亚远景
軟體驅動AP
會議室
倉儲作業
1. 無線電腦開機後發送PROBE連線請求
2. 週遭無線基地台回應 BEACONS
3. 無線電腦根據最佳的訊號強度, 雜訊等條件連接至最佳的AP無線基地台
4. 使用者可輕易設定為 Ad Hoc Network 模式與駭客連接
難以限制使用者的連線對象
意外連線
惡意連線
Ad Hoc Network
无线网络安全管理问题-无线连接行为难以管控
企業內部網路
Office周邊左鄰右舍
停車場
用心服务，专业技术，合作发展
8 /33
亚远景
全球信息保护相关信息
20%
80%的損失，是來自於電腦遺失/被竊取
網路入侵/駭客攻擊
在網路攻擊的20%內，有一半的比例，是駭客利用遺失/竊取得來的設備，利用既有的憑證/應用程式等進行合法的“機密資料竊取”。 (Source: Kensington Group)
80%
重要、機密資料被竊取的管道
用心服务，专业技术，合作发展
9 /33
亚远景
设备损失与资料外泄的成本
風險成本評估
用心服务，专业技术，合作发展
10 /33
亚远景
Introduction to ISO27001:2013 什么是信息安全管理体系
用心服务，专业技术，合作发展
11 /33
亚远景
信息安全管理，简称ISMS (Information Security Management System)
ISMS的目标是透过一整体规划的信息安全解决方案，来确保企业所有信息系统和业务的安全，并保持正常运作。 ISMS利用风险分析管理工具，结合企业资产列表和威胁来源的调查分析及系统安全弱点评估等结果，并综合评估影响企业整体的因素，来制定适当的信息安全政策与信息安全作业准则，从而降低潜在的风险危机。