網站安全總體檢

網擎資訊於 3/13 日推出免費網站健檢活動，獲得異常熱烈的迴響，透過企業搜尋工具，進行特定關鍵字掃瞄，如機密文件等、偵測網頁發佈時間是否過期、超連結功能是否正常等作業，協助企業找出現有企業網站上存在之不當內容。相信所有參加者都已經拿到健檢報告，對於您的網站是不是有更進一步的認識呢 ? 如果需要 Openfind 針對報告為您做更進一步的說明，歡迎來電或來信。聯絡方式： (02)2369-7575 轉 799 hygiene@openfind.com

淺論 BS7799 與 ISO27001

什麼是BS7799?
BS7799 是一套資訊安全防護機制的規範 Information Security Management Systems ( 簡稱 ISMS) ，由英國標準協會 (British Standards Institute ，簡稱 BSI) 制訂並在 1995 頒布，期望透過 BS7799 這套計畫能夠有效建構資訊安全防護機制。一家企業只要能夠做到 BS7799 的要求並且通過獨立稽核機構的評鑑，便可獲頒 BS7799 資訊安全認證。到 2006 年 4 月 3 日止全世界總共有 3613 家企業 / 機構通過 BS7799 認證，其中前十名分別為 1. 日本 (1338 家通過 ) 、 2. 英國 (232 家通過 ) 、 3. 印度 (169 家通過 ) 、 4. 台灣 (81 家通過 ) 、 5. 德國 (56 家通過 ) 、 6. 義大利 (42 家通過 ) 、 7. 韓國 (38 家通過 ) 、 8. 美國 (36 家通過 ) 、 9. 匈牙利 (29 家通過 ) 、 10. 荷蘭 (27 家通過 ) 。台灣目前排在全世界第四名。相關資訊請參考 http://www.xisec.com 並點選 “Certificate Register” 。

什麼是 ISO27001 ? 和 BS7799 差別在哪?
BS7799 的 Part I 在 2000 年被採納為 ISO17799:2000 ，並在 2005 年修定成 ISO 17799:2005 ； Part II 則在 2005 年被採納為 ISO 27001 國際標準，並於 2005 年 10 月正式出版發行。 ISO 17799 只是一個 implementation guidance ，而 ISO 27001 則是一套完整的驗證標準。企業可以自訂需要驗證的項目與範圍，找輔導公司來幫企業導入，然後就這些項目來改善並通過驗證公司的審核。當然，輔導公司跟驗證公司必須是不同的。目前台灣比較常見的驗證公司有 BSI 、 DNV 、 SQS 、 BVQI 、標準檢驗局、以及各大會計師事務所 (KPMG 、 Price Waterhouse Coopers 、 DTT 等 ) 。

ISO27001:2005 的內容

總共分成 11 個領域、 39 個控制目標、 133 個控制要點。 11 個領域包括
A.5 Security Policy
A.6 Organization of information security
A.7 Asset management
A.8 Human resources security
A.9 Physical and environmental security
A.10 Communications and operations management
A.11 Access control
A.12 Information systems acquisition, development and maintenance
A.13 Information security incident management
A.14 Business continuity management
A.15 Compliance

我們就其中 A.9 來舉個例子。如果貴公司有機房，這個機房的位置必須要放在哪邊？通常建議是放在沒有窗戶的地方，或是至少把窗戶變成不透光、窗戶封死讓人不能爬進來，如果礙於消防法規，則至少在窗戶邊加上入侵偵測 ( 例如震動警報器 ) 。機房門禁需要什麼等級？要刷卡還是看眼球？這當然是由風險評估決定。刷卡的話建議採用 two factors 的精神，也就是磁卡加上按密碼，這樣卡片遺失才不會影響到安全性。監視器的位置最好可以拍到門口以及重要設備，可以看到什麼人在機器前面做了什麼。監視器的影帶如何保存？誰可以取得這些監視影帶？誰可以刪除？防火設備有沒有考慮動線的問題？滅火器的檢查紀錄有無確實？這些詳細內容輔導公司會給企業完整的說明。

企業如何建置自己的ISMS?

首先列出公司的資產清冊，第二步針對這些資產做風險評估，找出企業內部的弱點以及威脅。弱點代表先天性存在但是目前並無影響；威脅是外來的，一但遇到弱點就會產生風險。同時區分這些威脅對於資產造成的損害是屬於 Confidentiality 、 Integrity 、 Availability (CIA) 的哪幾種。第三步根據資產的重要性以及威脅的程度來計算需要列入 ISMS 範圍的項目，當然風險接受程度是由公司自己訂定。也曾經有受稽核單位整個評鑑範圍只有一台 Web server ，處理好這台 Web server 這個單位也可以宣稱自己通過了 ISO 27001 標準。找到必須列入考慮的資產項目之後，就要針對 133 條控制要點以及其他內文部份看看有沒有需要改進的地方，然後加以改進並找稽核公司驗證以通過稽核。

最後稽核條款必須是稽核單位與受稽核單位雙方同意，所以是存在討論空間的。一般建議是企業先找小範圍通過稽核並取得 ISO 27001 ，日後再依實際需求每半年加以改善或擴大範圍，這會是較為實際可行的方式。

2006 iThome 企業資安技術應用研討會

Openfind 網擎資訊即將於 4 月 26 日參加 iThome 所舉辦的『 2006 iThome 企業資安技術應用研討會 』，以郵件技術解決方案的專業廠商角度切入，提供企業全方位的郵件資安部署策略，協助企業建構固若金湯的郵件安全防護。

• 日期： 2006 年 4 月 26 日 （三）
• 時間： 9:00~17:00
• 地點：富邦國際會議中心（台北市敦化南路一段 108 號 B2 ）
• 名額： 300 人
• 活動方式：免費入場
• 活動網址： http://weekly.ithome.com.tw/seminar/06is/
  現場參觀 Openfind 攤位並填寫問卷即致贈精美禮品！