跳到主要內容區塊
內頁主視覺
:::
臉書分享 line分享 推特分享 微博分享 複製網址

認識ISO27001資訊安全系統

        ISO27001是國際通用的資訊安全管理工具和制度,可以幫助在資訊安全上做控管以及降低資訊安全帶來的風險!在整個制度的核心主要圍繞CIA三點原則來確保資訊安全,並透過PDCA四階段的循環來不斷對資料安全性做審視及改進!以下就讓我們以捐款系統為例帶領大家認識ISO27001如何對資訊安全行保護!

資訊保護CIA原則

        資訊對於組織而言是十分重要的資產,我們都希望機構所擁有的捐款資料可以妥善地被保管,但要如何來判斷這些捐款資訊是不是有妥善地被保管,這時就需要透過CIA資訊安全保護三原則來判斷,CIA三點原則分別為

Confidentiality機密性:確保資訊只有經過授權的人員及程序才可以使用。

Integrity完整性:確保資訊或資料不被未授權的篡改。

Availability可用性:取得授權可以及時地且不間斷地讀取或使用資料。

        以下透過簡單案例來對資料安全性三點原則應用做解說,目前捐款系統上有機構管理權限功能,機構可以對系統使用者設定登入權限,如此一來僅有被開放權限的使用者才可以做資料檢視以及修改動作,未授權的使用者則無法使用保護捐款資料機密性;對外防範上,捐款系統也有對捐款人個資做機敏資料加密動作,今天當駭客使用非正常管道入侵系統時無法讀取捐款資料!為避免系統遭植入惡意軟體而造成捐款資料遭盜取,我們也有透過限縮系統權限功能,限制檔案上傳的權限來遏止惡意程式執行,保護資料的完整性以及可用性!

PDCA四步驟 持續對資訊安全做檢測

       現在我們對資料保護的準則有了,接下來我們需要對公司資訊安全做全盤風險評估,並針對潛在風險制定適當的方法來降低風險發生可能,而這些方法在制定完成後,我們會依照PDCA四步驟不斷循環來對資訊安全做評估改善,以下我們就來看看PDCA究竟是什麼,以及如何透過這四個步驟來對資訊安全防護做改善吧!

Plan(計畫):制定資安風險的目標及改進資安系統的相關政策、控制措施

Do(執行):實際運行計畫的政策、控制措施

Check(查核):依據執行的成果檢查與預計目標的差異

Act(行動):提出修正方案縮減成果與目標的差異

        俗話說百密總有一疏,訂定資訊安全的準則也不可能一次就到位,因此我們需要對資安執行計畫做查核,並對原先計畫漏洞提出改善措施,才可以確保資訊安全可以更加完善!

       在看完以上對資訊安全準則以及整體運作模式的介紹,大家是不是對ISO27001有基本的認識了呢?後續網軟也會持續於電子報中與大家分享網軟在系統安全上做了哪一些措施,NPO的夥伴們千萬記得持續追蹤網軟小學堂唷!!

回到上方