2011年11月21日 星期一

資訊安全

何謂資訊安全?
資訊對組織而言就是一種資產,和其它重要的營運資產一樣有價值,因此需要持續給予妥善保護。資訊安全可保護資訊不受各種威脅,確保持續營運、將營運損失降到最低、得到最豐厚的投資報酬率及商機。
資訊安全的重要性
隨著電腦運用的普及與網際網路的蓬勃發展,已帶給人類急速而巨大的衝擊,也改變了人類生活模式。然而隨著資訊便利而來的則是令人擔憂的資訊安全問題,因此,我們必須做好資訊安全防護措施,唯有在確保資訊安全之前提下享受資訊便利,才是面對資訊世紀來臨的正確態度,進而迎接未來更大的挑戰與衝擊。
資訊存在的方式
w        列印或書面表示
w        電子方式儲存
w        郵寄或是電子郵件傳送
w        影片播放或以口頭說明
w        無論資訊的形式為何,何種方式與他人共享或儲存,都應以適當的方式加以保護
資訊安全的種類
  • 硬體安全:包含硬體環境控制及人為管理控制等。
  • 軟體安全:包含資料安全、程式安全及通訊安全等
  • 個人安全防護:包含人身安全、個人隱私權安全、通訊(網路)安全等。
如何執行資訊安全?
要達到資訊安全就必須實施適當的控制措施,譬如資訊安全政策、實務規範(practice)、程序、組織架構及軟體功能,為了達成營運既定的安全目標, 就必須建立這些控制措施。
影響資訊安全的因素
  • 未經授權者(駭客)侵入電腦系統,竊取或更改資料甚至更動原系統設定
  • 合法使用電腦人員有意或無心,造成資料的毀損、竊取或系統破壞。
  • 資料在傳輸中途被截取、竊窺或變更
  • 電腦感染與傳遞病毒
組織的資訊安全成功因素
w        a)能反映營運目標的安全政策、目標
     及活動。
w        b) 與組織文化一致之實施安全保護的
     方法。
w        c) 來自管理階層的實際支持和承諾。
w        d) 對安全要求、風險評鑑以及風險管
     理的深入理解。

w        e)向全體管理人員和雇員有效推廣安
     全的理念。
w        f) 向所有雇員和承包商宣傳資訊安全
     政策的指導原則和標準。
w        g) 提供適切的訓練和教育。
w        h) 一個全面與平衡的量測系統,用於
     評估資訊安全管理的績效及回饋建
     議,以便進一步改進。
資訊安全的應用層面
資訊安全相關工作又可概分為資料安全、電腦系統安全、網路安全與電腦病毒防治等應用層面,在此我們僅就網路安全一題做說明。
網路安全的防護措施
  • 網路使用帳號,應由權責部門統籌管理設定
  • 網路密碼必須定期更換,且不得洩露他人,並於人員異動及職務變更時,註銷帳號或調整其使用權限
  • 下載資料或程式必須先確認無病毒感染後,再行下載。
  • 連線設備應使用防毒及合法版權軟體,嚴禁更動原系統設定
  • 為防範電腦遭到非法侵入,應該要設置防火牆(FireWall)
  • 設定警示訊號,隨時提醒系統管理或使用人員處理突發狀況

沒有留言:

張貼留言