Apr. 10 , 2006 Vol. 06
 
  親愛的客戶及合作伙伴, 您好:  
 

資訊是當今企業最為重要的無形資產。在網路發達的今天,如何確保客戶與公司內部資訊的完整與安全,已經變成十分重要的課題,這關係到公司的形象與競爭力,也是企業成功的基礎。這期電子報中,我們將為您淺論資訊安全防護機制的規範有哪些?另外獲得廣大用戶迴響的網站健檢活動,如果您還未申請,在四月底前都還有機會喔!

 
 
- 當期目錄 -
 
 
•優惠方案
  網站安全總體檢  
•最新消息
  郵件備份活用術
•產業洞悉
  淺論 BS7799 與 ISO27001  
•最新活動
  敬邀參加 2006 iThome 資訊安全日  
•新聞回顧與活動花絮
  從搜尋技術研發起家 網擎成功轉戰企業 e 化市場  
 
 
 
 

網站安全總體檢

網擎資訊於 3/13 日推出免費網站健檢活動,獲得異常熱烈的迴響,透過企業搜尋工具,進行特定關鍵字掃瞄,如機密文件等、偵測網頁發佈時間是否過期、超連結功能是否正常等作業,協助企業找出現有企業網站上存在之不當內容。相信所有參加者都已經拿到健檢報告,對於您的網站是不是有更進一步的認識呢 ? 如果需要 Openfind 針對報告為您做更進一步的說明,歡迎來電或來信。聯絡方式: (02)2369-7575 轉 799 hygiene@openfind.com

 
 
   
 
 

郵件備份活動術

Openfind 秉持其在郵件系統與搜尋引擎自主開發的核心技術,提供企業遵循郵件安全規範與法規的最佳選擇。透過易學易用的 Web 操作介面,管理者可以壓縮方式完整備份對內對外的信件,配合新信隨到隨查的快速巨量索引技術,使用者可以根據權限輕鬆以全文、欄位或附檔等查詢方式調閱相關郵件。
有鑑於大多數企業可能還不太清楚郵件備份的應用方式及其重要性, Openfind 特別以實際企業的應用現況,透過圖文並茂說明各部門人員在遇到相關困擾時,如何藉由 MailBase 協助您節省搜尋郵件的時間。...more

 
   
 
 
By Openfind 研發副總 翁嘉頎

淺論 BS7799 與 ISO27001

什麼是BS7799?
BS7799 是一套資訊安全防護機制的規範 Information Security Management Systems ( 簡稱 ISMS) ,由英國標準協會 (British Standards Institute ,簡稱 BSI) 制訂並在 1995 頒布,期望透過 BS7799 這套計畫能夠有效建構資訊安全防護機制。一家企業只要能夠做到 BS7799 的要求並且通過獨立稽核機構的評鑑,便可獲頒 BS7799 資訊安全認證。到 2006 年 4 月 3 日止全世界總共有 3613 家企業 / 機構通過 BS7799 認證,其中前十名分別為 1. 日本 (1338 家通過 ) 、 2. 英國 (232 家通過 ) 、 3. 印度 (169 家通過 ) 、 4. 台灣 (81 家通過 ) 、 5. 德國 (56 家通過 ) 、 6. 義大利 (42 家通過 ) 、 7. 韓國 (38 家通過 ) 、 8. 美國 (36 家通過 ) 、 9. 匈牙利 (29 家通過 ) 、 10. 荷蘭 (27 家通過 ) 。台灣目前排在全世界第四名。相關資訊請參考 http://www.xisec.com 並點選 “Certificate Register” 。

什麼是 ISO27001 ? 和 BS7799 差別在哪?
BS7799 的 Part I 在 2000 年被採納為 ISO17799:2000 ,並在 2005 年修定成 ISO 17799:2005 ; Part II 則在 2005 年被採納為 ISO 27001 國際標準,並於 2005 年 10 月正式出版發行。 ISO 17799 只是一個 implementation guidance ,而 ISO 27001 則是一套完整的驗證標準。企業可以自訂需要驗證的項目與範圍,找輔導公司來幫企業導入,然後就這些項目來改善並通過驗證公司的審核。當然,輔導公司跟驗證公司必須是不同的。目前台灣比較常見的驗證公司有 BSI 、 DNV 、 SQS 、 BVQI 、標準檢驗局、以及各大會計師事務所 (KPMG 、 Price Waterhouse Coopers 、 DTT 等 ) 。

ISO27001:2005 的內容

總共分成 11 個領域、 39 個控制目標、 133 個控制要點。 11 個領域包括
A.5 Security Policy
A.6 Organization of information security
A.7 Asset management
A.8 Human resources security
A.9 Physical and environmental security
A.10 Communications and operations management
A.11 Access control
A.12 Information systems acquisition, development and maintenance
A.13 Information security incident management
A.14 Business continuity management
A.15 Compliance

我們就其中 A.9 來舉個例子。如果貴公司有機房,這個機房的位置必須要放在哪邊?通常建議是放在沒有窗戶的地方,或是至少把窗戶變成不透光、窗戶封死讓人不能爬進來,如果礙於消防法規,則至少在窗戶邊加上入侵偵測 ( 例如震動警報器 ) 。機房門禁需要什麼等級?要刷卡還是看眼球?這當然是由風險評估決定。刷卡的話建議採用 two factors 的精神,也就是磁卡加上按密碼,這樣卡片遺失才不會影響到安全性。監視器的位置最好可以拍到門口以及重要設備,可以看到什麼人在機器前面做了什麼。監視器的影帶如何保存?誰可以取得這些監視影帶?誰可以刪除?防火設備有沒有考慮動線的問題?滅火器的檢查紀錄有無確實?這些詳細內容輔導公司會給企業完整的說明。

企業如何建置自己的ISMS?

首先列出公司的資產清冊,第二步針對這些資產做風險評估,找出企業內部的弱點以及威脅。弱點代表先天性存在但是目前並無影響;威脅是外來的,一但遇到弱點就會產生風險。同時區分這些威脅對於資產造成的損害是屬於 Confidentiality 、 Integrity 、 Availability (CIA) 的哪幾種。第三步根據資產的重要性以及威脅的程度來計算需要列入 ISMS 範圍的項目,當然風險接受程度是由公司自己訂定。也曾經有受稽核單位整個評鑑範圍只有一台 Web server ,處理好這台 Web server 這個單位也可以宣稱自己通過了 ISO 27001 標準。找到必須列入考慮的資產項目之後,就要針對 133 條控制要點以及其他內文部份看看有沒有需要改進的地方,然後加以改進並找稽核公司驗證以通過稽核。

最後稽核條款必須是稽核單位與受稽核單位雙方同意,所以是存在討論空間的。一般建議是企業先找小範圍通過稽核並取得 ISO 27001 ,日後再依實際需求每半年加以改善或擴大範圍,這會是較為實際可行的方式。

 
   
 
 

2006 iThome 企業資安技術應用研討會

Openfind 網擎資訊即將於 4 月 26 日參加 iThome 所舉辦的『 2006 iThome 企業資安技術應用研討會 』,以郵件技術解決方案的專業廠商角度切入,提供企業全方位的郵件資安部署策略,協助企業建構固若金湯的郵件安全防護。

  • 日期: 2006 年 4 月 26 日 (三)
  • 時間: 9:00~17:00
  • 地點:富邦國際會議中心(台北市敦化南路一段 108 號 B2 )
  • 名額: 300 人
  • 活動方式:免費入場
  • 活動網址: http://weekly.ithome.com.tw/seminar/06is/
    現場參觀 Openfind 攤位並填寫問卷即致贈精美禮品!
 
   
 
  從搜尋技術研發起家 網擎成功轉戰企業 e 化市場

成立於 1998 年的 Openfind 網擎資訊,原本是提供各大入口網站搜尋引擎技術的開發商,後來因為 2000年遇到網路泡沫化,為了提高市場利基,轉而經營企業市場,提供企業用戶搜尋引擎以及電子郵件相關服務。

如今,Openfind 在台灣軟體業者經營不易的市場環境下,成功與微軟及 IBM 等國際大廠競爭,Openfind 執行副總廖長健指出,該公司已經連續三年獲利,並且成功進駐日本市場,未來亦將持續開發適合大、中、小型企業、政府機關、學校單位的搜尋以及郵件相關服務... more

* 本文轉載自 DigiTimes 電子時報第 31 期
 
   

TOP↑

 

 
 
Openfind 將定期透過電子報寄送會員訊息,若未來您不希望收到此類訊息,請點選【取消訂閱】。
想要了解更多訊息,請瀏覽 www.openfind.com.tw 網站或來電 ( 02 ) 2369 - 7575
 

© 2008 Openfind Information Technology, Inc. All rights reserved.
版權所有 網擎資訊軟體股份有限公司