TWI226024B - Method of establishing a security policy, and apparatus for supporting establishment of security policy - Google Patents
Method of establishing a security policy, and apparatus for supporting establishment of security policy Download PDFInfo
- Publication number
- TWI226024B TWI226024B TW090113015A TW90113015A TWI226024B TW I226024 B TWI226024 B TW I226024B TW 090113015 A TW090113015 A TW 090113015A TW 90113015 A TW90113015 A TW 90113015A TW I226024 B TWI226024 B TW I226024B
- Authority
- TW
- Taiwan
- Prior art keywords
- answer
- mentioned
- group
- security
- policy
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Description
1226024 五、發明說明(1) 【發明所屬之技術領域】 本發明係關於所謂保全政策之構建。尤其是有關適合於 各團體之可迅速構建保全政策之方法及裝置、暨支援保全 政策構建方法及裝置。 【習知之技術】 隨著資訊技術的日益發達,同時,資訊保全的重要性也 曰益增加。因而,要求於團體之中,尋求用以保護團體内 部之資訊的各種手段。 例如,在與外部網路連接之部分設置所謂之防火牆,藉 以防止外部人員無故入侵内部網路,而對内部資訊的存 取。 此外,為了驅逐電腦病毒等,利用病毒檢測·驅除軟體 對團體内部之電腦進行監視。又,在本說明書全文中," 團體"係指企業之外、還包括國家與地方公共團體的機 關,財團法人等各種法人,以及其他之團體、組織等。 如上所述,從以往開始已採用種種之手段用以確保資訊 之保全。 然而,雖有分別及獨立地對上述各種手段作了議論與檢 討,而作為確保團體全體之保全強度則仍有困難。 例如,即使再如何強化防火牆,第三者也可自由地進入 團體所處的建築物内,並且,只要可操縱位於該處的電 腦,團體全體的保全強度就會隨之明顯下降。 此外,即使使用病毒檢測軟體,只要因疏忽而延遲了對 可用以對抗新病毒的軟體的更新,則會造成無法對抗新的
C:\2D-C0DH\90-08\90]13015.ptd 第 4 頁
1226024 五、發明說明(2) 電腦病毒。 因此,即使作為一團體全體而為了提高其資訊的保全強 度,也有必要製成用作團體全體的資訊保全的設計以及該 實現手法。一般係將該設計及其實現手法(群)稱作為”保 全政策"。 【發明所欲解決之問題】 當然,該保全政策針對各團體中每一團體分別具有不同 之項目與内容,但是,作為一種國際性的基準,已有種種 用於構建標準之保全政,策的基本項目與内容的提案。 i 雖然存在有如此般的通用之基準,而對於實際之應用 上,則有將保全政策構建於每一團體的必要。因此,由於 不可大量生產,要構建保全政策必須花費大量的勞力與時 間。 又,隨著時間之流失而有必要對保全政策的内容作一改 變。例如,在企業内部之組織發生變化的情況,對應於此 一變化原已儲存之資訊的利用價值與風險評價發生了改 變,而必須對上述保全政策作符合此項變化的改變。 以往,對有關保全政策之構建、定期之修正等的一般之 手法並不知曉,僅僅是憑藉每一系統工程師的經驗來執行 $ 對保全政策之構建與修正。該結果造成了需要大量的勞力 來執行對保全政策之構建與修正,而且,往往可預見到該 修正無法趕上團體之實際狀況的變化的事態。 因此,造成保全政策與團體之實際狀況相距甚遠,要構 建及維持強固之資訊保全顯然具有困難的一面。
C:\2D-C0DE\90-08\90113015.ptd 第 5 頁 1226024 發明說明(3) 本發明係鑑於上述課題而提出者,其目的在於提供一種 有放構建保全政策的方法以及支援保全政策之構建的裝 置。 【解決問題之手段】 、為I解決上述課題,本發明係為一種保全政策構建方 法’疋於構建指定團體之保全政策的方法中,其特徵為· ^括草案構建步驟,該草案構建步驟用以構建保全政策的 f案;分析步驟,該分析步驟用以調查上述保全政策的 ^體實際形態的差L以及調整步驟,該調整步驟根 據上述呈異對上述保全政策的草案進行調整、或、 述差異對上述團體之實際資訊系統的運用規則進行調整。 3上述之構成’可分級式地進行保全政 而可有效地進行保全政策的構建。 是 u 此外,本發明係為一種保全政策構建方法,其 上述草案構建步驟包括,生成步驟,該生成生二裏 以對團體所屬之會員的詢問;詢問步驟,#以:”用 詢問來詢問上述會員;回答取得步驟, 成之上述 以取得上述會員對上述詢問而作的回笟τ::取得步驟用 該構建步驟根據上述取得之回定來 構建步驟, 草案。 據勺問而有效地構建保全政策的 此外,本發明係為一種保全政策構建 上述生成步驟係根據被詢問者 / ,、特彳政為. 問。 之職務内容來生成上述詢
C:\2D-⑴ DE\90-08\9()]130】5.ptd 第6胃 1226024 五、發明說明(4) 由於係根據職務内容來生成詢問, 問。 而可進行有效的詢 此外本务明係為一種保全政策構逮 上述回答取得步驟包括下述步驟中至^方法,其特徵為: 驟,該保管步驟用以統合上述取得之二:項步驟,保管步 之相同的回答,並將該回答作為單群中之被詢問者 管於上述記憶機構中;收容步驟,嗜^ f ^者的回答而保 之回答群中含有矛盾之回答的情況Γ執:;=上述取得 決矛盾’且將上述回答群收容於上述;;丁;=以便於解 示步驟,該顯示步驟於上述取得之回;以及顯 答的情況,蕤出 > ⑽ U合群中含有矛盾之回 權,進而推定回欠0 ^ J η才力内谷賦予上述回答加 U S且絲頁不推疋之回答。 根據上述之構成,在 統合獲得之回答。 欣也進仃珣問的情況,可
此外,本發日日A μ、十、八妣丰 係為一種保全政策構建方法,Α特忾為· 上述分析步驟句4工^丄μ 1 -、荷破為· 驟,該矛盾檢杳秘中至少一項步驟,矛盾檢查步 矛盾之回答;檢查疋否於上述取得之回答群中含有 藉由上述回答群異檢測步驟,1玄第1差異檢測步驟比較 且檢查差4 想性地假設的資訊系統與上述保全政策 — _ 乂及第2差異檢測步驟,該第2差里扒、、Βϊ 土 _ 利用g際之貝訊系統的調查 =^: 地假設的資訊系t ^ 合鮮假想性 政朿的卓案且檢查差異。 、上逃保全 根據上述之構# 产卜 . 構成’可知道回答間的矛盾’又,可檢測出
1226024 五、發明說明(5) 實際系統與 此外,本 包括對策步 策與該對策 根據上述 此外,本 包括診斷步 由將上述診 團體認識保 根據上述 此外,本 包括優先度 劃與上述優 的預算化。 根據上述 算變得容易 此外,本 上述保全對 糸統的導入 析;網路監 保全政策的 不只是導 等,可達成 此外,本 求取具備優先度的對策。 種保全政策構建方法,其特徵為: 步驟診斷上述團體的保全狀況;藉 斷結果提示於上述團體,可使上述 要性。 知道團體的保全狀況。 種保全政策構建方法,其特徵為: 該優先度計劃步驟配合該優先度計 立的保全對策的執行,以實現團體 保全政策的差異。 發明係為一種保全政策構建方法,其特徵為: 驟,該對策步驟同時建立上述調查之差異的對 的優先度。 之構成,可 發明係為一 驟,該診斷 斷步驟的診 全政策的必 之構成,可 發明係為一 計劃步驟, 先度同時建 之構成,可有計劃地執行保全對策,使建立預 〇 發明係為一種保全政策構建方法,其特徵為: 策包括,製作管理保全政策作成的體制;保全 :遵守保全政策用的員工教育;系統日誌的分 視;對依照保全政策所作之應用的監查;以及 重新修正。 入資訊保全裝置,由於也包括對員工的教育 高級資訊保全。 發明係為一種保全政策構建方法,其特徵為:
C:\2D-CODE\90-08\90113015.ptd 第8頁 1226024 五、發明說明(6) J f:全強化對策執行步驟,节俾人 上述計劃以執行上述保強化對策執行步驟用 I上述之構成,可圓滑地將保入斤朴— 此外,本發明係為一 _ :王對策付著實施。 全政策的方法中,其朿構建方法,是於構建保 生成專用以對團體所屬之會員生成步驟,該生成步驟 步驟以生成之上述詢;門二問;詢問步㉟,該詢問 答;以及構建:=传上述會員對上述詢問而作的回 建保全政策。V 1 °亥構建步驟根據上述取得之回答來構 才艮才康JL iii 4#. λ> 此外,纟發明#或I根據詢問來構建保全政策的草案。 上述生成步‘俨非诚一種保全政策構建方法’其特徵為: 問。u““艮據被詢問者之職務内容來生成上述詢 由於係根據職務内交办 此外,太旅^内末生成询問,可進行有效的詢問。 j月係為一種保全政策構建方法,其特徵為: ;,\σ σ μ侍步驟包括下述步驟中至少一項步驟,保管步 4,〇保官=驟用以統合上述取得之回答群中之被詢問者 =1同的回合,並將該回答作為單一被詢問者的回答而保 言方、上述5己憶機構中;收容步驟,該收容步驟於上述取得 之回合群中含有矛盾之回答的情況,執行再詢問以便於解 決矛盾,且將上述回答群收容於上述記憶機構中;以及顯 示步驟,該顯示步驟於上述取得之回答群中含有矛盾之回 合的情況’错由按照被詢問者的職務内谷賦予上述回答加
C:\2D-CODE\90-08\901]3015.ptcl 第9頁 1226024 五、發明說明(7) 權,進而推定回答且顯示推定之回答。 根據上述之構成,在以多位工程師分散地進行訪問的情 況,整合性地取得該回答,可統合訪問結果。 此外,本發明係為一種保全政策構建方法,其特徵為: 上述構建步驟用以構建下述3級之保全政策,執行級政 策,該執行級政策用以記述有關上述團體之資訊保全的思 考方法及方針;團體級政策,該團體級政策用以記述實現 上述執行級政東之貧訊保全糸統的具體基準;以及產品級 政萊’該產品級政萊記述根據上述團體級政策的基準,用 以執行上述執行級政策之方針的機構。 由於構建有3級之保全政策,因而,可獲得分級式的保 全政策。在此,根據上述團體級政策的基準用以執行的機 構係不僅是指硬體及軟體,還包括實際利用此等軟硬體之 際的運用規則等。 此外,本發明係為一種保全政策構建方法,其特徵為: 上述團體級政策係記述上述團體全體之資訊保全系統的基 準,且記述構成上述團體之資訊保全系統的各單元的每一 基準。 根據上述之構成,可明確團體全體之保全政策以及個別 裝置之保全政策。在此,裝置係指包括網路、主機、應用 等的概念。 此外,本發明係為一種保全政策構建方法,其特徵為: 上述產品級政策包括下述2種類的產品級政策,第1級,該 第1級以自然語言記述構成資訊保全系統的各構成裝置的
C:\2D-mi〕E\90-08\90】130]5.ptd 第10頁 1226024 五、發明說明(8) 設定;第2級,以特定商品之特定語言記述構成資訊保全 糸統的各構成裝置的設定。 如此,藉由自然語言之產品級政策,人間可理解保全政 策,又藉由利用特定語言記述之產品級政策而使各裝置的 設定變得容易。在此,構成裝置係指包括構成資訊保全系 統的軟硬體者。 此外,本發明係為一種保全政策構建方法,其特徵為: 包括分析步驟,該分析步驟用以調查與團體實際形態的差 異;上述分析步驟又包括矛盾檢查步驟,該矛盾檢查步驟 檢查是否於上述取得之回答群中含有矛盾之回答;差異檢 測步驟,該差異檢測步驟用以調查藉由上述回答群而獲得 之團體之資訊系統與團體之實際資訊系統之間是否有差 異。 根據上述之構成,可有效地檢測矛盾點與差異。 此外,本發明係為一種保全政策構建方法,其特徵為: 包括對策步驟,該對策步驟同時建立上述調查之差異的對 策與該對策的優先度。 由於同時建立對策及該對策的優先度,可容易立案資訊 保全的構建計劃。 此外,本發明係為一種保全政策構建裝置,其特徵為: 包括詢問生成機構,該詢問生成機構生成專用以對團體所 層之會貝的詢問,記憶機構’該記憶機構用以保官對上述 生成之詢問而作的回答;回答保管機構,該回答保管機構 用以取得對上述生成之詢問而作的回答,且將該回答保管
am ί: C:\2D-CODE\90-08\90113015.ptd 第11頁 1226024 五、發明說明(9) 方;上述記憶機構中·、 於上、f ,以及構建機構,該構建拙 、上述纪丨思機構之上述 2建钱構根據保管 業變為衮县 f 由於生成針對會員的詢問,伯 又,會員係指與該團體之η二使詢問作 固人。例如,不只是指 、。孔糸统相關連的 作公司的職員等。 边包括-點工讀生與相關協 此外’本發明係為—種 上述詢問生成機構係根據被 1置,其特徵為·· 於上述被詢問者之^據被6旬問者之職務内容來生成專用 由於係根據職務内容來生 此外,本發明係ΑW入 τ進仃有效地詢問。 上述回答保管機構,f 衣置其特徵為: w t丁、於上述取得之回夂雜中 者之相同的回答,並將,亥0欠你二口。群中統合被詢問 保管於上述記憶機構中Ί ” 一被詢問者的回答而 矛盾之回答的情況U ’於上述取得之回答群中含有 上述回答群收容於上述紀愔她姐士 午、^眉點,且將 答群中含有矛盾之回Ϊ的或’於上述取得之回 内容賦予上述回答“ ΐ 〇 :由f照被詢問者的職務 L„ … 推疋回合且顯示推定之回叉。 、,兄X敕土述之構成’在以多位工程師分散地進行訪門的情 况:整合性地取得該回答,可統合訪問結果。問“ 外’本發明係為—種保令跄笛雄邊驻穿 二述;建機構用以構建下述3級之保全政策,執V:政為: Ϊ方Ϊ =政團策I:記述有關上述團體之資訊保全的思 、’十,團版、、及政策,該團體級政策用以記述實現
II 第12頁 C:\2D-CODE\90-08\90113015.picl 1226024 五、發明說明(ίο) 上述執行級政策之資訊保全系統的具體基準;以及產品級 政策,該產品級政策記述根據上述圑體級政策的基準,用 以執行上述執行級政策之方針的機構。 由於構建有3級之保全政策,因而,可獲得分級式的保 全政策。在此,根據上述圑體級政策的基準用以執行的機 構係不僅是指硬體及軟體,還包括實際利用此等軟硬體之 際的運用規則等。 此外,本發明係為一種保全政策構建方法,其特徵為' : 上述團體級政策記述上述團體全體之資訊保全系統的基 準,且記述構成上述團體之資訊保全系統的各單元的每一 基準。 根據上述之構成,可明確團體全體之保全政策以及個別 裝置之保全政策。在此,裝置係指包括網路、主機、應用 等的概念。 此外,本發明係為一種保全政策構建裝置,其特徵為: 上述產品級政策包括下述2種類的產品級政策,第1級,該 第1級以自然語言記述構成資訊保全系統的各裝置的設 定;以及第2級,以特定商品之特定語言記述構成資訊保 全系統的各裝置的設定。 如此,藉由第1級之產品級政策,人間可理解保全政 策,又藉由第2級之產品級政策而使各裝置的設定變得容 易。在此,構成裝置係指包括構成資訊保全系統的軟體及 硬體者。 此外,本發明係為一種評價方法,是於評價團體之保全
C:\2D-CODE\90-08\9Q113015.picl 第]3 頁 1226024 五、發明說明(π) 狀況之評價方法中,其特徵為:包括生成步驟,該生成步 驟生成專用以對上述團體所屬之會員的詢問;詢問步驟, 該詢問步驟以生成之上述詢問來詢問上述會員;回答取得 步驟,該回答取得步驟用以取得上述會員對上述詢問而作 的回答;以及保全狀況評價步驟,該保全狀況評價步驟根 據上述取得之回答來評價保全狀況。 根據上述之構成,根據對詢問所作之回答,可知道團體 、 之保全狀況。 此外,本發明係為一種評價方法,其特徵為:上述詢問 生成步驟係根據被詢問者之職務内容來生成專用於上述被 ο 詢問者的詢問。 由於係根據職務内容來生成詢問,因而可進行有效的詢 問。 此外,本發明係為一種評價方法,其特徵為:上述回答 保管步驟係於上述取得之回答為以前有獲得回答之被詢問 者之回答的情況,用以統合上述以前之回答與上述取得之 回答,並將該統合後之回答作為單一被詢問者的回答而保 管於記憶機構中。 根據上述之構成,在以多位工程師分散地進行訪問的情 ¥ 況,整合性地取得該回答,可統合訪問結果。 此外,本發明係為一種評價方法,其特徵為:上述保全 狀況的評價包括,上述團體之保全的評價;屬於上述團體 之產業領域所包括之其他團體之保全的評價的平均值;以 及屬於上述團體之產業領域所包括之團體之可判斷允許達
C:\2D-CODE\90-08\9Q113015.ptd 第 14 頁 1226024 五、發明說明(12) 成之保全的評 根據上述之 價。此外,由 將該最高值作 此外,本發 狀況的評價包 保全體制、意 改善措施等各 根據上述之 的評價,以及 方法。 此外,本發 狀況的評價裝 構輸出專用以 憶機構用以保 機構,該回答 回答,且保管 構,該保全完 體之保全完成 根據上述之 ,並根據對詢 此外’本發 保管機構係於 者之回答的情 價的最高值。 構成,可將社 於B f 團體與其他公司比較而作評 為指f以^上之最高值,經營者可容易地 明:Γ δΤ定目標。 括,有關對仏方法’其特徵為:上述保全 外袁& > '保全的理解與態度、上述團體的 q爭%之對座 項目的分案: 有關保全之預算化以及保全 構成,按各Jg 對經營者 j目類別可知道對團體資訊保全 各之作為概念級保全的一種思考 明係為一種4平 置中,牡 彳貝農置,是於評價團體之保全 對團體所屬 芍·包括輸出機構,該輸出機 管對:述c勺詢問;f己憶機構,該記 保管機構用以ί ^問而作的回答;回答保管 於上.f々#传對上述輸出之詢問而作的 成度機構根據】:伴=保ΐ完成度作成機 度的保全完成度匕之…作成顯示團 構成,由於將生成之兮I Ρ弓田 A <词問用以對會員的詢問 問所作的回答,而可知搶固 、 J知道團體之保全狀況。 明係為一種評價裝置,复姓w上 Μ 具特徵為··上述回答 上述取得之回答為以前古從/ a ^ I入 A則有獲得回答之被詢問 況,用以統合上述以前夕 < 乂則之回答與上述取得之
C.\2D-CODE\90-08\90i13015 ptd 1226024 五、發明說明(13) 回答,並將該統合後之回答作為單一被詢問者的回答而保 管於上述記憶機構中。 根據上述之構成,在以多人分散地進行詢問的情況,可 統合所獲得之回答 此外,本發明係為一種評價裝置,其特徵為:上述保全 完成度報告書包括,上述團體之保全的完成度;屬於上述 團體之產業領域所包括之其他團體之保全的完成度的平均 值;以及屬於上述團體之產業領域所包括之團體之可判斷 允許達成之保全的完成度的最高值。 根據上述之構成,可將該團體與其他企業比較而作評 價。此外,由於是顯示邏輯上之最高值,可容易地設定目 標值。 此外,本發明係為一種評價裝置,其特徵為:上述保全 完成度報告書包括,有關對保全的理解與態度、團體的保 全體制、意外事態之對應、有關保全之預算化以及保全改 善措施等各項目的分數。 根據上述之構成,按各項目類別可知道對團體資訊保全 的評價,以及對經營者而言之作為概念級保全的一種思考 方法。 此外,本發明係為一種分析裝置,是於分析保全政策與 團體資訊系統的差異的分析裝置中,其特徵為:包括矛盾 檢查機構,該矛盾檢查機構用以檢查藉對團體之會員所作 詢問而獲得之回答群中含有之每一回答間是否有矛盾存 在;以及矛盾輸出機構,該矛盾輸出機構輸出上述檢查之
C:\2D-CODE\90-08\90113015.ptd 第 16 頁 1226024 五、發明說明(14) 與矛盾有關的資訊。 根據上述之構成,可知道含於回答群中之矛盾。 此外,本發明係為一種分析裝置,其特徵為:包括指摘 機構,該指摘機構用以指摘上述回答群中之矛盾點;構建 機構,該構建機構係根據對指摘機構所指摘之矛盾點已作 解決的回答群,假想地來構建團體資訊系統的結構;以及 差異輸出機構,該差異輸出機構用以比較上述假想地構建 而成的資訊系統的結構與保全政策,且將兩者之差異輸 出。 根據上述之構成,可知道保全政策與團體之實際形態的 差異。 此外,本發明係為一種分析裝置,其特徵為:包括實際 系統輸入機構,該實際系統輸入機構調查上述圑體之資訊 系統,且輸入上述資訊系統的結構中;以及差異輸出機 構,該差異輸出機構校正上述假想構成之資訊系統,並比 較校正後之上述假想構建而成的資訊系統的結構與保全政 策,且將兩者之差異輸出。 根據上述之構成,由於藉由實際之調查來進行校正後之 資訊系統與保全政策的比較,可藉由兩者之差異作正確地 分析。 以下,係有關實施形態2之發明。 為了解決上述課題,本發明係為一種保全政策構建方 法,其特徵為:上述生成步驟係根據上述團體的產業種類 來生成上述詢問。
C:\2D-C0DE\9Q-08\90113015.picl 第 17 頁 1226024 五、發明說明(15) 此外,本發明 上述詢問生成步 被詢問者的詢問 根據此等發明 建對應該產業類 以下,係有關 本發明係為一 建步驟 建保全 此外 上述構 目來構 根據 基準而 以下 本發 建步驟 項目, 此外 上述構 基準的 根據 策。 本發 係根據專 政策。 ,本發明 建機構係 建保全政 此等構成 針對其中 ,係有關 明係為一 係為一種保全政策構建裝置,其特徵為: 驟係根據上述團體的產業種類來生成用於 〇 ,由於考慮到團體的產業種類,因而可構 的保全政策。 實施形態3之發明。 種保全政策構建方法,其特徵為:上述構 用於特定產業種類的勸告或規定項目來構 係為一 根據專 策。 ,對有 詳細之 實施形 種保全 用者指 係根據利 來構建保全政策 ,本發明係為一 建機構係根據利 項目,來構建保 此等發明之構成 種保全政策構建裝置,其特徵為: 用於特定產業種類的勸告或規定項 關特定產業種類可藉由通用之全球 項目來構建保全政策。 態4之發明。 政策構建方法,其特徵為:上述構 示之1種類或多種類的全球基準的 〇 種保全政策構建裝置,其特徵為: 用者指示之1種類或多種類的全球 全政策。 ,可由利用者選擇採用之保全政 明係為一種保全政策構建方法,其特徵為:上述生
C:\2D-CODE\90-08\90113015.ptd 第18頁 1226024 i、發明說明(]6) 成步驟係根據利用 來生成上述詢問。s不之1種類或多種類的全球基準 此外,本發 明係為一種保全 生成機構係:據利ZT巧裝其特徵為 全球基準,來生 用者指示之1種類或多種 類的 準作詢 以下,係有 本發明係為 之詢問 關實施形態6之發 建步驟係根據政策構建方法 其特徵為··上述構 保全政策。 示之保全政策之強度指標,來構建 此外,本發明係一 上述構建機構係根據種保全政策構建裝置,其特徵為: 來構建保全政策:1用者指示之保全政策之強度指標, 根據此等發明之構 自由地指示保全政 可由利用者使用「強度指標」可 本發明係為—錄^ 、強度。 成步驟係根據利用者—朿構建方法,其特徵為:上述生 上述詢問。 日不之保全政策之強度指標,來生成 此外,本發明係為一 上述詢問生成機構^ 種保全政策構建裝置,其特徵為: 標,來生成上述詢問艮據利用者指示之保全政策之強度指 根據此等構成,按昭 述般,若增強指示之…利用者指示之強度作成詢問。如後 強度’ 一般可增加詢問數量,則也生
第19頁 1226024 五、發明說明(17) 成有關更細緻項目的詢問。若減弱指示之強度,一般詢問 數量減少,則該内容中之細緻内容也隨之消失。由於係按 照強度生成詢問,因而可作有效地詢問。 其次,本發明係為一種保全政策強度調整方法,是於調 整保全政策之強度的保全政策強度調整方法中,其特徵 為:包括強度調整步驟,該強度調整步驟係對上述保全政 策中具有的每一規則,將被判定為與利用者指定之強度指 標不一致的規則,置換成與上述強度指標一致的規則;以 及合成輸出步驟,該合成輸出步驟係將與上述強度指標一 致的規則,和上述強度調整步驟中被置換的規則予以合成 後輸出。 此外,本發明係為一種保全政策強度調整裝置,是於調 整保全政策之強度的保全政策強度調整裝置中,其特徵 為:包括強度調整機構,該強度調整機構係對上述保全政 策中具有的每一規則,將被判定為與利用者指定之強度指 標不一致的規則,置換成與上述強度指標一致的規則;以 及合成輸出機構,該合成輸出機構係將與上述強度指標一 致的規則,和上述強度調整機構中被置換的規則予以合成 後輸出。 根據此等發明之構成,可對保全政策強度進行調整,直 到滿足利用者按強度指標指示強度為止。 以下,係有關實施形態6之發明。 本發明係為一種保全政策構建方法,是於構建指定團體 之保全政策的方法中,其特徵為:包括生成步驟,該生成 118 » »遍_
C:\2D-raDE\90-08\90]]:30]5.pul 第20頁 1226024 五、發明說明(18) __ 步驟生成專用以對團體所屬之合 為了構建上述團體之保全政M : 士勺珣問,該詢問係有關 驟,該詢問步驟以生成之上=問步 =驟’該取得步驟用以取得上m;貝;取得 答;以及構建步驟,該構建步拼、以^而作的回 建保全政策的草案,此外,上述槿=上^取得之回答來構 者指示之構建範圍的保全政策。步驟係用來構建利用 根據上述之構成,可獲得利用 — 政策。 私不之構建範圍的保全 此外,本發明係為一種保全政策 上述生成步驟係生成有關利用- / ,八特徵為: 根據上述之構成,由於生;=之構建範圍的詢問。 的詢問,…會發生所作用者指示之構建範圍 情況。 旬問與上述構建範圍無關的 一此外’本發明係為一種保全政 疋團體之保全政策的裝置中,其衣置,是於構建指 該生成機構生成專用以對團體所屬=f二包括生成機構, 係有關為了構建上述團體之保全=冒貝的詢問,該詢問 憶機構,該記憶機構用以保管對=而有必要的事項;記 合,回答保管機構,該回答保管構=成之詢問而作的回 之詢問而作的回答,且將該回答保取得對上述生成 以及:冓建機構’該構建機構根據保‘於t述記憶機構中; 述回答來構建保全政策,此外,上雜4記憶機構之上 利用者指示之構建範圍的保全政策。冑機構係用來構建 第21頁 C:\2D-CODE\90-08\90113015.ptcl 1226024 五、發明說明(19) 根據上述之椹 —一^〜 —
政策。 成,可獲得利用者指示之構建r π A 此外,本發明係為-, 冑“圍的保全 問。門生成機構係生成有關利用者 椹二特徵為: 根據上述之構,,… …構建範圍的詢 的詢問,因而不合八^灰生成有關利用者指示之構建F 情況。 生所作之詢問與上述構建範:;:: Ϊ:二有中關實,施形態7之發明。 種種動作的程式, 寺)。因此,此等程式以及卞伴兮Λ式之屺錄媒體(硬碟 用與至此為止所敘述的/明相^ 二"先本發明係為一種可進行電腦球 J錄:體記錄有將下述操作步驟執行:二:媒二,該 對團體所屬之會員的=該生成 上述團體之保全政策而有必要的事 ;;有闕為了構建 驟,該回答保管操作步驟用以取得對上::保管操作步 的回答,且將該回答收容於記憶機構中問而作 :來Γί建操作步驟根據保管於上述記憶機構2 合來構建保全政策。 彳再T之上述回 此外,本發明係為一種可進行電腦讀取之 特徵為:上述詢問生成操作步驟係根據被詢問者之ς務= C:\2D-CODE\90-08\901130J5.pid 第22頁 1 1226024 五、發明說明(20) 容來生成專用於上述被詢問者之詢問。 此外,本發明係為一種可進行電腦讀取之記錄媒體,其 特徵為:上述回答保管操作步驟,係於上述輸入之回答群 中統合被詢問者之相同的回答,並將該回答作為單一被詢 問者的回答而保管於上述記憶機構中;或,於上述輸入之 回答群中含有矛盾之回答的情況,藉由按照被詢問者的職 務内容賦予上述回答加權,推定最終之回答且顯示該推定 之回答。 此外,本發明係為一種可進行電腦讀取之記錄媒體,其 特徵為:上述詢問生成操作步驟係根據上述團體之產業種 類來生成專用於上述被詢問者之詢問。 此外,本發明係為一種可進行電腦讀取之記錄媒體,其 特徵為:上述構建操作步驟係根據利用者指示之1種類或 多種類的全球基準的項目,來構建保全政策。 此外,本發明係為一種可進行電腦讀取之記錄媒體,其 特徵為:上述詢問生成操作步驟係根據利用者指示之保全 政策之強度指標,來生成上述詢問。 此外,本發明係為一種可進行電腦讀取之記錄媒體,其 特徵為:上述構建操作步驟係構建利用者指示之構建範圍 内之保全政策。 此外,本發明係為一種可進行電腦讀取之記錄媒體,該 記錄媒體記錄有將下述操作步驟執行於電腦中的程式,該 等操作步驟包括詢問輸出操作步驟,該詢問輸出操作步驟 輸出專用以對團體所屬之會員的詢問,該詢問係有關為了
C:\2D-CODE\90-08\90113015.ptcl 第23頁 1226024 五、發明說明(21) 評價上述團體保全之完成度而有必要的事項;回答保管操 作步驟,該回答保管操作步驟用以取得對上述輸出之詢問 而作的回答,且保管於記憶機構中;以及保全完成度作成 操作步驟,該保全完成度作成操作步驟根據上述保管於上 述記憶機構中之上述回答,作成顯示上述圑體之保全完成 度的保全完成度報告書。 此外,本發明係為一種可進行電腦讀取之記錄媒體,該 記錄媒體記錄有將下述操作步驟執行於電腦中的程式,該 等操作步驟包括矛盾檢查操作步驟,該矛盾檢查操作步驟 用以檢查藉對團體之會員所作詢問而獲得之回答群中含有 之每一回答間是否有矛盾存在,該詢問係有關為了知道與 上述團體之資訊糸統的差異而有必要的事項;以及矛盾輸 出操作步驟,該矛盾輸出操作步驟輸出上述檢查之與矛盾 有關的資訊。 此外,本發明係為一種可進行電腦讀取之記錄媒體,該 記錄媒體記錄有將下述操作步驟執行於電腦中的程式,該 等操作步驟包括整合操作步驟,該整合操作步驟係根據上 述矛盾之相關資訊,取得上述回答群的整合,且生成用以 解決上述矛盾點的回答群;構建操作步驟,該構建操作步 驟係根據上述整合後之回答群,假想地來構建上述團體之 資訊系統的結構;以及差異輸出操作步驟,該差異輸出操 作步驟用以比較上述假想地構建而成的資訊系統的結構與 上述保全政策,且將兩者之差異輸出。 此外,本發明係為一種可進行電腦讀取之記錄媒體,該
C:\2D·⑴DE\90-08\90113015.ptd 第24頁 1226024 五、發明說明(22) 記錄媒體記錄有將下述操作步驟執行於電腦中的程式,該 等操作步驟包括強度調整操作步驟,該強度調整操作步驟 係對上述保全政策中具有的每一規則,將被判定為與利用 者指定之強度指標不一致的規則,置換成與上述強度指標 一致的規則;以及合成輸出操作步驟,該合成輸出操作步 驟係將與上述強度指標一致的規則,和上述強度調整步驟 中被置換的規則予以合成後輸出。 - 以上之發明係有關記錄媒體之發明。以下,則顯示有關 程式之發明。 本發明係為一種程式,該程式於電腦中執行下述操作步 驟,該等操作步驟包括詢問生成操作步驟,該詢問生成步 驟生成專用以對團體所屬之會員的詢問,該詢問係有關為 了構建上述圑體之保全政策而有必要的事項;回答保管操 作步驟,該回答保管操作步驟用以取得對上述生成之詢問 而作的回答,且將該回答收容於記憶機構中;以及構建操 作步驟,該構建操作步驟根據保管於上述記憶機構中之上 述回答來構建保全政策。 此外,本發明係為一種程式,其特徵為:上述詢問生成 操作步驟係根據被詢問者之職務内容來生成專用於上述被 詢問者之詢問。 此外,本發明係為一種程式,其特徵為:上述回答保管 操作步驟,係於上述輸入之回答群中統合被詢問者之相同 的回答,並將該回答作為單一被詢問者的回答而保管於上 述記憶機構中;或,於上述輸入之回答群中含有矛盾之回
C:\2D-am90-08\90]] 3015-pul 第25頁 1226024 五、發明說明(23) 答的情況,藉 權,推定最終 此外,本發 操作步驟係根 詢問者之詢問 此外,本發 步驟係根據利 目,來構建保 此外,本發 操作步驟係根 成上述詢問。 此外,本發 步驟係構建利 此外,本發 操作步驟,該 輸出操作步驟 問係有關為了 項;回答保管 上述輸出之詢 保全完成度作 據上述保管於 團體之保全完 此外,本發 操作步驟,該 由按照被詢問者的職務内容賦予上述回答加 之回答且顯示該推定之回答。 明係為一種程式,其特徵為:上述詢問生成 據上述團體之產業種類來生成專用於上述被 〇 明係為一種程式,其特徵為:上述構建操作 用者指示之1種類或多種類的全球基準的項 全政策。 明係為一種程式,其特徵為:上述詢問生成 據利用者指示之保全政策之強度指標,來生 明係為 用者指 明係為 等操作 輸出專 評價上 操作步 問而作 成操作 Jl t 己 成度的 明係為 等操作 一種程式 示之構建 一種程式 步驟包括 用以對團 述團體保 驟,該回 的回答, 步驟,該 憶機構中 保全完成 一種程式 步驟包括 ,其特 範圍内 ,該程 詢問輸 體所屬 全之完 答保管 且保管 保全完 之上述 度報告 ,該程 矛盾檢 徵為: 之保全 式於電 出操作 之會員 成度而 操作步 於記憶 成度作 回答, 書。 式於電 查操作 上述構 政策。 腦中執 步驟, 的詢問 有必要 驟用以 機構中 成操作 作成顯 建操作 行下述 該詢問 ,該詢 的事 取得對 ;以及 步驟根 示上述 腦中執行下述 步驟’該矛盾
C:\2D-⑴ Dti\90-08\90]13015.pul 第26頁 1226024 五、發明說明(24) 才双查操作步驟用以# 回答群中含有之每:員所作詢問而獲得之 關為了知道與上述團::g存在,該詢問係有 項;以及矛盾輸出訊異而有必要的事 述檢查之與矛盾有關6亥矛盾輸出操作步驟輸出上 操作步驟本㈡:::種程式,該程式於電腦中執行下述 步驟係根據上述㈡合;作步驟,該整合操作 Γ:生成用以解決上述述=群:整 來構建上述團體之資:=上述整合後之回答群,假想地 驟,該差里輸出择作1糸統的結構;以及差異輸出操作步 資訊系統的地構建而成的 此外,本務明总* 將兩者之差異輸出。 操作步驟,,等轳二:種程式’該程式於電腦中執行下述 調整摔作牛υ作ν驟包括強度調整操作步⑳,該強度 判中具有的每-規則,將被 成一致的規則;以及合成輸出操作步驟,該合 【發明之實ΐ::】 予以合成後輸出。 實m照圖式說明本發明之較佳實施形態。 針對包括從對某一團體而作的保全政策的構建至對該構 第27頁 C:\2D-G0DE\90-08\901130l5.ptd 1226024 五、發明說明(25) 建之保全政策的維護的一連 明。此〔卜’最好使用系統工二J 示範版本進行 。/商用示範版本。 專用系統來執行 首先,說明本實施形態1 Μ J示表現本商用示範版本理二:版本的原ί里。圖i為 ::Γ範…ϊ上是由6個= 步驟1 步驟2 步驟3 步驟4 步驟5 步驟6 保全完成度評價 保全政策草案構建 系統及該系統的運用 政策調整1則調整 d分析 優先度計劃 執行保全強化策略 根據上述6階段的步,驟%碰、口 初係構建訪問基礎下之保全政成的保^政束構,手法,最 體之實際形態的再調整,進而—二鈒、照需要作與團 此,可配合各團體之時二二=^保全政策,因 評價,貧訊保全的現狀的步驟。笋i γ 貝,團體獲得本企業之 ‘由该 保全的現狀。 s #、,及的丸軚,而可知道資訊 步驟2係為藉由對團體之會員 保全政策草案的步驟。由於、、询問來作成簡易的 的草案’可作成廉價的保全政策。董“方問所作之保全政策 步驟3係為檢討假想系統盥團俨 驟。由於假想系統係根據針對詢;^^ 仆t 口合而作成,因 第28頁 ::\2D-CODE\90-08\90]130]5.ptd 1226024 五、發明說明(26) 而有與實際形態產生差異的情況。 步驟4係為根據差異來調整保全政策或調整已導入之保 全商品的規則的步驟。 步驟5係為構建也包括採用各機構與對策的優先度的今 後之資訊保全計劃的步驟。 步驟6係為根據該計劃實施必要之保全保護對策的步 驟。 由於執行上述之分級式的保全政策的構建,可作成與各 團體的預算及思考方法等的實際狀況相配合的保全政策的 構建。 例如,藉由企業的思考方法與預算,應該有在保全政策 的草案中即足夠的情況。此外,根據優先度計劃,由於可 瞭解未來之計劃,而有容易建立團體之預算的優點。 尤其是,關於本商用示範版本的重點步驟,係為步驟2 至步驟4者。於步驟2作成草案,再於步驟3中分析與實際 形態的差異,再於步驟4中對保全政策或已導入的保全商 品進行調整。只要為至少包括此等步驟2至步驟4的商用示 範版本,即可系統性地進行保全政策的構建,與利用習知 之經驗及猜測的手法相比較,可提高其生產性及品質。 此外,為了實現上述般的分級式的保全政策,在本實施 形態1中,使用種種的專用系統。 以下,也包括專用系統的利用方法,按照步驟1至步驟6 的各步驟順序進行說明。 A.步驟1 :保全完成度評價
C:\2D-⑴ DF.\90-08\90] 13015. ptd 第29頁 1226024 五、發明說明(27) 在該步驟中,係針對團體現在的資訊保全作一客觀的評 價。藉由上述所作之評價,可賦以與保全相關的團體的 級。又,具體而言,上述評價係藉由作成保全完成度評價 書來加以執行者。 在實施形態1中,根據美國大學(Carnegie Mellon University) ^Software Capability Maturity Model(軟 體能力專用範本),來執行保全完成度評價。該示範版本 中係針對5個項目進行定量的評價。換言之,給予分數。 5個項目如下。 a ·管理者對資訊保全的理解與態度 b .團體之保全狀況 c .意外事態的對應 d ·有關保全之預算化 e .保全改善措施 在此,意外事態係指威脅到資訊保全的事態。例如,盜 聽行為、裝置故障等。顯示是否有對應此等之意外事態的 體制係為上述c .意外事態的對應。此外,d .預算化係指 是否充分地取得用於該資訊保全的預算。此外,e .保全 改善措施顯示對保全的改善的預定與計劃已建立到何種程 度。 在本實施形態1中,藉由作成包括賦予上述5個項目之相 關的分數的完成度評價書,可知道有關針對團體經營者的 指標、保全的取入的意識級的客觀評價。 說明具體之保全完成度評價書的作成手法如下。
III ** m IBl
C:\2D-⑴ DE\90-08\9()113015.ptd 第30頁 1226024 五、發明說明(28) 在本實施形態1中,對屬於團體之經營者進行詢問,根 據該回答作成完成度評價書◦具體而言,使用圖2所示之 評價裝置1 0,來執行詢問的生成、回答的收集、保全完成 度評價書的作成等。此外,圖3顯示評價書之作成作業的 動作的流程。在該圖3所示之流程圖中,係為顯示比圖1之 步驟S1-1更為詳細的流程。 首先,如圖2所示,評價裝置1 0具備詢問輸出機構1 2, 該詢問輸出機構1 2輸出用於被詢問者的詢問。 記憶機構1 4預先收容有多種多樣的詢問。並藉由詢問輸 出機構1 2選取出用於被詢問者的必要的詢問。 此外,評價裝置1 0具備回答保管機構1 6。將如上述般地 生成之詢問提示於屬於團的經營者而獲得的回答,係輸入 該回答保管機構1 6。該回答保管機構1 6將回答保管於記憶 機構1 4。 本實施形態1特徵為,回答保管機構1 6具有回答的統合 功能。該統合功能係於多位系統工程師進行詢問的情況 下,將該回答集中於1個資料庫而保管於記憶機構1 4内的 功能。當欲詢問之經營者為多人的情況,由多位的系統工 程師分別負擔進行訪問詢問,可迅速地取得對詢問所作的 回答。在如此地分擔執行詢問的情況,其結果係分別被記 憶於多台的電腦上。因此,有統合此等結果的必要。 當然,對於某一人的經營者的詢問與回答無法一次完 成,而需分多次進行的情況,為了統合此等結果也可予以 利用。
C:\2D-CODE\90-08\90113015.ptd 第 31 頁 1226024 五、發明說明(29) 此外,評價裝置1 0具備 完成度作成機構1 8用以作 成度作成機構1 8係根據保 謂之有關該團體的資訊保 書。 該評價裝置1 0即是所謂 尤其是,如上所述,本 集之回答的功能等的評價 精密地作成保全完成度評 其次,根據圖3之流程, 動作。 首先,於步驟S3_l中, 的詢問。 然後,於步驟S3-2中系 營者進行詢問。 於步驟S 3 - 3中獲得由經 評價裝置1 0的回答保管機 再於步驟S3-4中根據保 憶機構1 4内的回答群,作 (分數)的保全完成度評價 藉由上述步驟,使用評 書。 與業界標準_的比較 如上所述,保全完成度 保全完成度作成機構1 8,該保全 成保全完成度報告書。該保全完 管於記憶機構1 4内的回答群作成 全的評價書的保全完成度報告 專用系統。 貫施形態1中,採用具備統合收 裝置1 0。因此,可效率良好地且 價書。 說明保全完成度評價書的作成 询問輸出機構1 2輸出用於經營者 統工程師將獲得之詢問用以對經 營者對詢問所作的回答,且輸入 構16 〇 t元成度作成機構1 8之收容於記 成包括有關上述5個項目的得分 書。 4貝裳置1 0作成保全完成度評價 評價書顯 示上述5個項目的得分
C:\2D-CODE\90-08\90ll30l5.ptd 第32頁 1226024 五、發明說明(30) (分數)。 尤其是,本實施形態1之特徵,係將該團體所屬之業界 的全團體的平均得分及最高得分合併而顯示者。在此,最 高得分為只要是該業界所含之團體可預測達成之最高得分 (邏輯值)。 藉此,可容易知道對於該團體之資訊保全的取入,於該 業界中位於何種程度的位置。又,如此之業界之平均值與 最高值係預先收容於記憶機構1 4内。又,平均值執行保全 完成度評價且被定期地更新。 保全安裝的過程報告 本實施形態1中,保全完成度評價書係於構建保全政策 前按照調查之團體經營者的意識趣味而作成。但是,若在 順序執行資訊保全的對策過程中分級式地適宜作成該保全 完成度報告書的話,可知道資訊保全對策的進度狀況。因 此,該保全完成度報告書的作成步驟也具有作為保全安裝 的過程報告的性質。 又,在本實施形態1之評價裝置1 0中,詢問與回答等均 收容於記憶機構1 4内,但是,也可以分別將此等收容於其 他專用之個別的記憶機構内。 B.步驟2 :保全政策草案構建 在該步驟中,構建該團體之保全政策的簡單草案。該草 案係為對屬於團體之會員進行詢問並根據該回答來構建的 保全政策。因此,由於未執行對團體之實際資訊系統的調 查,而可迅速地進行保全政策的構建。
C:\2D·⑴ DE\90-08\90in()]5.pul 第33頁 五、發明說明(31) 多種作為國際基準之構建標準 目、内衮P盔I & 丨不王双朿用的基本項 宏猶作Α ί Ϊ 所熟知。並將此等標準之基本項目、、肉 组人此二I球基準。本實施形態1中,係藉由適宜取出、 ,、::王球基準中的原則,來構建保全政 本貫施形態1中,利用保全政策草案構建 卓木。 保全政策的草荦。圖4 Α θ 、置2 0來構建 千木 ㈤4為餘員不该保全政第直安描奋 的結構方塊圖。 又朿卓木構建裝置20 如圖4所示,保全政策草案構建裝 構22,該詢問生成機槿9?和娟诚4 % 備巧問生成機 土 μJ 構22係根據被詢問者之職務内容,生 成仅進灯之珣問。上述般地根據職務 上述評價裝置1 〇的詢問生成機9 h π谷木又更洵問,與 意義之回答。Ί門生成枝構12相同’係因為可獲得有 與上述圖2之記憶機構14相同 此外 ^ t ^20 , „ „24; ^ ^ 問。然後,詢問生成機㈣按日3 : l種夕樣的為 構24抽選出合適之詢問。 ^、、θ貝之職務内容從記憶相 此外,保全政策草案構建装 ⑼。該回答保管機構26與上述 ;備回答保管機構 答保管於記憶機構24内。此外,:f &機構1 6相同,將回 回答的功能。 回°保管機構2 6具有統合 統合功能 統合功3b包括如下的功能。 並收集作為訪 。例如,多位 (1)多位工程師分散地對會員進行訪 問結果之回答,將該回答集中於丨個資
1226024 五、發明說明(32) r . r 此外,例如,在多位會員針對有關相同種類 1 ::::): 一連串的問題的情;兄,統合此等回答且組入 上個負料庫内。 (2)在訪問中有同—詢問用於不同之會員的情況。結果 、:有f生矛盾,之回答的情況。為了解決該矛盾則有2種手 二。第1手法係為進行再訪問。針對該矛盾點,當 ;說錯々等的情況’通過執行再訪問或實查(或此等雙方)可 ^决此等矛盾’點。第2手法係根據類型(職務内容)賦予重 要性(附重要性)來確定回答的方法。 賦予重 2手 1本實施形態1中,利用者可自由選擇上述第U法與第 :卜|保全政策草案構建裝置2〇具備草案 该卓案構建機構28用作構建保 执構28 ’ 機構28係根據保管於記,丨盖f朿的草木。該草案構讀 策的草案。 。己丨思機構24内的回答群來作成保全於 1乐全政策草小^ π γv n , 專用系統,實際上,上述久與評價I置1 Q相同係為所 之軟體來實現。 ^ &構最好係藉由於電腦上動 其次’根據圖5之流裎,說 作。圖5顯示使用保全政策安建保全政策的草案的動 策之草案的動作的流程。 本構建裝置2 0來構建保全政 首先,在步驟S5-1中 輸入詢問生成機構22, 以生成針對=
1226024 五、發明說明(33) 在本實施形態1中,如此決定Φ益山#人 、疋出赭由戎會員的職務内容 而生成的詢問。釔果可生成針對該被詢問者之合適的詢 問。 藉由會員的職務内容所決定之詢問,被稱作為詢問群之 科目。各科目中提出之實際問題係根據會員的回答而 者。例如’對於是否有使用VPN的詢問,當回答為 用時,則會跳過有關VPN之詳細詢問。但是,告 使用VPN時,則對該回答之會g描巾& ^ ^田。為有 曰貝徒出有關VPN的詳細詢 問0 如此之控制係利用所謂知識庫之專用系統來加以執行 考0 在步驟S5_2中,對會員進行上述生成之詢問。 々在步驟S5-3: ’從會員處獲得該員針對詢問所作的回 答’並將該回答輸入保全政策箪宏播 機構26内。輸入作業最好由詢問者 的回答保管 受詢問之會員面向保全政策草當然,接 姑田门变:瓶-夕% Μ 、建裝置2 0的顯示晝面, 才木用回答顯不之ό旬問的形態亦可。 述之統合功能,將多位詢問者:得=官機構26具有上 機構24内。 門者取传之回答統合後輸入記憶 在步驟S5-4中,草案構建機躺 内的回答群,與全球基準中的 …己憶枝構24 建保全政策。 、、 種的組合,藉以構 如上所述,使用保全政策草案 政策的草案。 ^ 建凌置2〇,以作成保全
C:\2D-CODE\90-08\90113015.Dtd 第36頁 1226024 五、發明說明(34) 又,在本實施形態1中,構建下述3級之保全政策(草 案),執行級政策、團體級政策、以及產品級政策。有關 此等3級之保全政策的說明,將在下述之B- 5章中予以敘 述。 B-1 :詢問(訪問)内容 以後說明詢問(也稱作為訪問)的内容 大訪問項目如下。 1 ·團體 2 .網路 3 ·伺服器與主機 4 ·應用與資料庫 5 .重要性高之保全項目 6 ·其他之保全項目 以下,將針對各項目逐一進行說明。 (1)團體 在項目「團體」中,執行有關團體之概要、體制的訪 問。從該項訪問詢問的回答中,可引導出資訊保全的管理 體制、政策的原則、以及脆弱性分析(差異分析)等。 在項目「團體」中,再分割為各小項目,其包括下述各 項目。 1 · 1管理體制 1 · 2從業員工 1 . 3公司概要 1 · 4賣方
C:\2D-CODE\90-08\90113015.ptd 第37頁 1226024 五、發明說明(35) 1 • 5顧客 1 .6顧問 1 • 7外部委託 1 • 8應用 1 .9網路 1 .1 0保全簡介 1 • 1 1產業種類 1 .1 2團體政策 但是,根據職務内容其詢問項目也不同。例如,針對最 高經營責任者則無針對主機的詢問項目。如此,本實施形 態1之特徵點為,根據職務内容其詢問内容也不同。藉 此,可按照職務内容作詢問,從而進行有效率地訪問。 (2)網路 項目「網路」中係執行有關網路之概要、運用、設定等 的訪問詢問。從對該訪問詢問所作的回答中,可引導出有 關網路的脆弱性、網路相關的集團級政策等。 在項目「網路」中,再分割為各小項目,其包括下述各 項目。 2 · 1運用環境 2 . 2網路的内容 2 . 3認證與識別 2 . 4監查與日誌 2 · 5存取控制 2 . 6變更手續
C:\2D-⑴DE\90-08\901]30]5.ptd 第38頁 1226024 五、發明說明(36) 2 . 7災害復原與支援 2 · 8作業的信賴性 2 . 9物理性保全 2 · 1 0數據機 2 · 1 1工作站保全 (3 )伺服器與主機 在項目「伺服器與主機」中,執行有關主機的概要、運 用、以及與設定相關之訪問詢問。從該訪問詢問之回答 中,可引導出主機的脆弱性、以及有關主機與伺服器的集 團級保全政策等。 在項目「伺服器與主機」中,再分割為各小項目,其包 括下述各項目。 3 . 1伺服器與主機内容 3 . 2認證與識別 3 · 3監查與日誌 3 . 4存取控制 3 · 5變更手續 3 · 6災害復原與支援 3 · 7作業的信賴性 3 . 8物理性保全 (4 )應用與資料庫 在項目「應用與資料庫」中,執行有關應用的概要、運 用、以及與設定相關之訪問詢問。從該訪問詢問之回答 中,可引導出應用的脆弱性、以及有關應用的集團級保全
C:\2D-CODE\90-08\90113015.ptd 第39頁 1226024 五、發明說明(37) 政策等。 在項目「應用與資料庫」中,再分割為各小項目,其包 括下述各項目。 4 · 1應用與資料庫之内容 4 · 2認證與識別 4 · 3監查與日誌 4 1 4存取控制 4 · 5變更手續 4 . 6災害復原與支援 4 · 7作業的信賴性 4 . 8物理性保全 (5 )重要性高之保全項目 在項目「重要性高之保全項目」中,執行有關一般構建 防火牆與存取控制之際的必要資訊的訪問詢問。從該訪問 詢問之回答中,可引導出集團級保全政策、與產品級保全 政策等。項目「重要性高之保全項目」中包括之大多數的 詢問群,係有關集團級保全政策與產品級保全政策的詢 問,但也是對執行級保全政策有影響的詢問。 在項目「重要性高之保全項目」中,再分割為各小項 目,其包括下述各項目。 5 · 1 防火牆的管理 5 · 2外包裝過遽 5 · 3 網路位址變化(NAT) 5 · 4 SMTP内容過濾
C:\2D-CODE\90-08\90113015.ptd 第40頁 1226024
5 .5 FTP内容過濾 5 ·6 HTTP内容過濾 5 · 7曰誌與警戒 (6 ) 其他之保全項目 在項目「其他之保全炤曰 , ih ^ ^
^ ^ v ^ ^ , 員目」中’執仃有關一般構建VPN 之p:的必要貝汛的訪問詢問。從該訪問詢問之回答中 弓丨導出集團級保全政策、與產品級保全政策等。 在項目「其他之保全j百曰 士 蔽八+ 、 W王項目」中,再分割為 包括下述各項目。 具 6 · 1 VPN之内容 6 · 2 VPN之管理 6 · 3 鍵的分配 6.4 日誌與監查 B - 2 訪問形式 訪問團之内容如上述各項目所欽述者,冑問係以 及選擇式等的種種形式來執行者。 g-3 訪問對象 本實施形態1之保全政策草案構建裝置2〇,係根據構 訪問團對象的會員來變更詢問的内容。換言之,係根 訪問者的職務内容來控制詢問内容。 該結果可生成專用於被訪問者的合適的詢問。 藉由會員的職務内容所決定之詢問,被稱作為 科目。各科目中提出之實際問題係根據會員的回^同,之 變更者。例如,對於是否有使用VPN的詢問,A =内容而 §回答為沒
C:\2D-CODE\90-08\901I3015.ptd 第41頁 1226024 五、發明說明(39) 有使用時,則會跳過有關VPN之詳細詢問。但是,當回答 為有使用V P N時,則對該回答之會員提出有關V P N的詳細詢 問。 如此之控制係利用所謂知識庫之專用系統來加以執行 者。 因此,在實際之訪問之前,有將被詢問者之職務内容輸 入保全政策草案構建裝置2 0的必要。具體而言,係按照以 下項目執行輸入。 冰姓名 *部會名 *職務 郵政編號 住址 國家 電話號碼 E M A I L位址 氺類型 在此等項目中,前面附有*記號之項目為必須輸入之項 目。此外,類型是指顯示職務之記號,本實施形態中,使 用圖6所示之記號來顯示職務内容。簡單地說的話,該類 型顯示所謂職務内容。根據該類型來決定應欲詢問之内 容。本實施形態中採用圖6顯示之職務内容的類型的一覽 表。 又,實際用於被詢問者之詢問内容,係根據針對該詢問
C:\2D-CODE\90-08\90113015.ptd 第42頁 1226024 五、發明說明(40) 的回答而改變者。這形成為所謂知識庫(Knowledge Base) 的動作。例如,針對"是否存在密碼的有效期限?"的詢 問,對於回答為"有效期限無限制"的會員,則不進行M有 效期限為幾日?"的詢問。相對於此,對回答為π具有有效 期限π的會員,則進行”有效期限為幾日?"的詢問。 Β-4 應予管理之資訊財產 本實施形態1,確保保全的資訊財產分為5種類。該5種 類的資訊財產為網路、主機、應用、用戶群及其他。在將 資訊財產輸入本實施形態1之保全政策構建裝置的情況, 輸入以下4項目。但是,屬於「主機」、「網路」的財產 的情況,再輸入「I Ρ位址」、「次網罩」。 財產(Assets)ID *財產類型 氺財產名 詳細 其中,財產類型具有5種類的類型。 A應用 Η 主機 Ν 網路 U用戶群 W 其他、UAL、區域、檔案名 在此,用戶群係指具有共同特徵之用戶的邏輯性的集 合。例如,採用會計資訊,則稱修正、分析、報告會計資 訊的用戶為會計群。用戶群係由1人或2人以上的用戶所構
C:\2D-CODE\90-08\90113015.ptd 第 43 頁 1226024 五、發明說明(41) 成者。又,用 戶係指 使用該資訊財產的人 ^ 59] pa 執行保^ ^作的回答輸入保全政 由輪入二政策的構建。該裝置係 予以蛉,對上述生成的詢問所作 成某種:欠”羞置。藉由輸入針對 知,函,、料的裝置,由於作為習 ^ 上、/ ,g],丨、 。A且 7田 1中,省略詳細之說明。 策、J^生成下述3級之保全政策, 由3級之及產品級政策。因此,關 策 呆全政策草案來作成。 朿係敘述關於團體保全的「思考 包括例如為以下的項目。 權的存取權的管理與控制,該資 必要。此外 豕貝 策草案構建 為所謂之專 的回答,生 上述詢問所 知之專用系 執行級政 於保全政策 方法,、 控制 … 定要借用且 控制系統的存取控制的機構用; 榷的控制的該團體的思考方法、 持資訊財產是—項極為重要的事 於業務上的決定時所必不可缺的 述了有關資訊財產的内容的正確 δί1財產的擁 有保存或處 存取控制係 方針。 項。這是因 條件。該資 性的團體的
^D-CODE\90-08\90113015. ptd 第44頁 1226024 五、發明說明(42) 思考方法、方針。 保證 團體一定要採用用以可保證資訊資源、保全對策的適當 安全性的適當措施。該保證係記述有關該種措施的團體的 思考方法、方針。 責任 全部的系統一定要均可記錄、分析用戶的活動。各用戶 一定要對自己的行為負擔責任。該責任係記述有關各用戶 本身之責任的團體的思考方法、方針。 識別·認證 全部的用戶一定要按照資訊財產的保密性作適當的識 別。該識別·認證係記述有關如此之識別的團體的思考方 法、方針。 緊急時應變計劃 團體為了保證對系統與網路之故障的合適之處理,一定 要作成詳細之計劃與手續。該緊急時應變計劃係記述有關 如此之計劃與手續的團體的思考方法、方針。 保全認識 從業員工與經營團隊除需認識團體資訊保全的要件,同 時,更一定要對自己的責任有自我責任感。該保全認識係 記述有關自我責任的團體的思考方法、方針。 資訊分類 資訊保全係為保護資訊財產用者。因此,應為保護對象 之資訊財產一定要被分類,且根據各分類而適當予以保
C:\2D-CODE\90-08\90113015.ptd 第45頁 1226024 五、發明說明(43) 護。該資訊分類係記述有關該資訊財產的圑體的思考方 法、方針。 職業道德 用戶一定要遵守規定之行動規範來取用資訊財產。此 外,若用戶方破壞了規則,或,係於私人目的來取用資訊 財產的情況,將被作為處罰對象。用戶必須要認識作為處 罰對象的事項。該職業道德係記述有關用戶應遵守的行動 規範的團體的思考方法、方針。 文書管理 全部的保全的機構均一定要適當地文書化,且根據必要 作參照。該文書管理係記述有關該文書化的圑體的思考方 法、方針。 調查 圑體於發生故障與侵害的情況,沿著保全政策調查該故 障與侵害,一定要將該内容文書化。調查係記述有關如此 之故障與侵害的調查與文書化的團體的思考方法、方針。 個人隱私 資訊財產的使用的前提是一定要保證當事人的個人隱 私。個人隱私係記述有關該個人隱私的保證的團體的思考 方法、方針。 風險管理 資訊財產的擁有者一定要評價潛在的風險以求取合適的 控制或防衛策。風險管理係記述有關如此之評價、控制及 防衛策的圑體的思考方法、方針。
C: \2D-C0DE\90- 08\90113015 . p tcl 第46頁 1226024 五、發明說明(44) 檢證 圑體一定要定期地檢證所有的保全的安裝。檢證係記述 有關如此之檢證的團體的思考方法、方針。 財產評價 團體一定要分析資訊財產。財產評價係記述有關該分析 的圑體的思考方法、方針。 保全管理 團體一定要適當地管理作成之保全政策,若有必要變 更、修正的情況予以改正。保全管理係記述有關該保全政 策的管理的團體的思考方法、方針。 (2 )集團級政策 集團級政策係對團體之資訊財產適用之執行級政策的記 述,係為記述保全的「運用規定」者。該適用係執行於每 一團體之運用單元。運用單元係指根據該作用將構成資訊 系統的部分分成群組。例如,網路、主機、應用即分別為 運用單元。 執行級政策係為記述所謂「憲法(大原則)」者,而相 對於此,集團級政策則為記述「法律(根據大原則之規定) j ° 集團級政策有記述團體全體之資訊保全系統的基準,以 及構成圑體之資訊保全系統的各單元的每一基準。 有關存在於團體之運用單元全體的政策中,例如,記述 有以下的規定。 網路
C:\2D-CODE\90-08\90113015.ptd 第47頁 1226024 五、發明說明(45) 該網路記述針對團體網路之全體的規定。 主機 該主機記述針對團體主機的全體的規定。 應用 該應用記述有針對團體應用之全體的規定。 此外,在與藉由運用細分化之每一單元有關的特定政策 中,記述有例如以下的項目。 軟體管理 該軟體管理記述有與該團體内部使用之每一軟體有關的 軟體使用與特許管理的規定。 撥號 該撥號記述有與該團體内部使用之每一撥號及遙控存取 伺服器有關的規定。 電子郵件 該電子郵件記述有該團體内部使用之每一電子郵件的規 定。 防火牆管理 該防火牆記述有該團體内部使用之每一防火牆管理的規 定。 密碼 該密碼記述有該團體内部使用之每一密碼化的安裝規 定。 電子商務 該電子商務記述有該團體内部使用之每一電子商務的規
C:\2D-C0DE\9Q-08\90113015 .ptd 第48頁 1226024 五、發明說明(46) —--- 定。 網路 網路的規定 該網路記述有該團體内部使用之每 主機 該主機記述有該團體内部使用之每一主機的規定。 m用 該應用記述有該團體内部使用之每一應該的規定。 (3 )產品級政策 產級政策係為使用怎樣的資源(保全商品、運用體制) 及該設定來保護資訊財產’而記述有包括具體《「方法」 的,用步驟者。相對於上述執行級政策與集團級政策係記 述ΐ:方針及政策的規定者,而產品級政策則包括對硬體 及軟體的細部的記述,係根據執行級政策所提供之「原 則丄’及集團級政策所提供之「規定」,而提供如何具體 二貫現保護資訊財產的相關「方法」纟。因此,產品級政 策係為包括有關具體之技術安裝的記述。 該產品級政策包括有關硬體及軟體的記 地運用此等之規則。 X 5己通再篮 以實際之實務執行上的理由,也 . 的情況,此外’也許有因裝置故障品有被變更 況。對於此等狀況之責任與製用替代裝置的情 行級政策與集團級政策所規‘的「S則2,任於上述執 言之,對於此等狀況之對策等有受 4 規定」。換 團級政策之充分之規定的必要。 坟執行級政策與集
C:\2D-OODE\90-08\90ll3015.ptd 第49頁 1226024 五、發明說明(47) 例 另:卜,上述執行級政策係 如,有類似"一定要於業務結 斤叫之「原則」者, 此外’集團級政策係為記邮'除存取權"的規則。 似”存取權-定要由os來控制”二:規定纟,例如,有類 相對於此’產品級政策則為規I 有類似"词服器A的存取控制 ;二者’例如, 理者X所管理。業務上有需 0 f取振的&制係由管 業務結束後迅速依賴管理者'以消除存取權。取
又’在本貫施形態1中,作為口 V 級政策。 乍為產叩級政朿作成2級的產品 ;:1;級與執仃級政策及集團級政策等相同,係為以自然 語言記述構成資訊保全系統的各構成裝置的設定者上述: 述之例中也為該第1級之產品級政策。 ” 第2級,以特定商品之特定語言記述構成資訊保全系統 的各構成裝置的設定者,例如,係為記述具體裝置之設定 的私式檔(S c r 1 p t)者。換言之,係記述各裝置(不僅包括 硬體也包括軟體)之設定程式檔本身者,可就此應用於各 裝置之設定用者。本實施形態i中,由於產品級政策係作 成各裝置之具體的程式檔,而具有可減輕所謂實際執行防 火牆與路由器等裝置之設定之際的勞力的效果。 回答分析 保王政雇之草案係藉由珣問及該回答所作成。該步驟中
1226024 五'發明說明(48) 有可能產生回答不一致及矛盾。此外,並不保證回答一定 正確。 在此,步驟2中又執行以下的事項。 首先,調查多項回答是否有矛盾。再執行保全政策的草 案與由訪問的回答而假設的資訊系統的比較。然後,執行 保全政策的草案與進行實際之資訊系統的實際調查而進行 了校正(檢證)的資訊系統的比較,並檢測出該差異。 實質之調查係使用為專用系統之分析裝置來執行者。圖 7顯示了該分析裝置3 0的構成塊圖。如該圖所示,分析裝 置30具備矛盾檢查機構32,該矛盾檢查機構32用以檢查回 答群中是否有相互矛盾的回答。並將該檢查結果輸入矛盾 輸出機構40。 矛盾輸出機構4 0將檢查結果矛盾輸出機構4 0作為訪問結 果矛盾報告輸出至外部。 訪問結果矛盾報告的内容被輸入整合機構4 1。該整合機 構4 1執行回答間具有矛盾之情況的處理。該處理整合機構 4 1分為2種類,利用者可選擇任一種。 (1 )根據各會員的職務内容,利用知識庫顯示最正確之 回答。利用者可採用該最正確之回答,也可自己決定正確 之回答。 (2)關於矛盾點實施再訪問。或進行實際之調查以瞭解 資訊系統的實際形態。最好是實施再訪問與實際之調查的 兩者。 藉此取得整合之訪問的結果(亦即回答)被供給假想構建
C:\2D-C0DE\90-08\90113015.ptd 第51頁 1226024 五、發明說明(49) 機構3 4。 該假想構建機構34根據取得整合之回答群,假想地構建 該團體的資訊系統。藉此將假想構建機構34構建的資訊系 統的構成與運用輸入差異輸出機構38。 此外,分析裝置3 0具備實際系統輸入機構3 6,該實際系 統輸入機構3 6用以輸入該團體之實際資訊系統的構成與運 用。該實際系統輸入機構3 6輸入之實際系統的構成與運用 被供給上述差異輸出機構3 8。 如上所述,假想之資訊系統係僅由訪問所構建者。因 此,具有與實際系統存在差異的可能性。因此,藉由實查 只要將以實際之資訊系統校正之該假想的資訊系統者與保 全政策的草案作比較,即可知道更為正確之現在的實際系 統的應予修正點。 該進行校正用之實查最好是越精密越好。但是,對所有 之資訊系統之實查須要大的勞力與成本。又,使得進行訪 問的意義變輕。 在此,進行可輔助訪問之回答之程度的實查,進行上述 假想之資訊系統的校正,並進行校正之資訊系統與保全政 策的差異分析,則非常有效。 例如,最好是對在訪問中的回答有矛盾的部分進行重點 實際調查。又,最好對因被詢問者之會員忘記等的理由而 無法回答的部分進行重點實際調查。 到底要進行何種程度的實際調查,可藉由被要求之精 度、期限、成本等來決定。藉由如此步驟後,將所求得之
K
__
C:\2D-CODE\90-0S\90113015.ptcl 第52頁 1226024 五、發明說明(5〇) 差異作為分析報告輸出 成:下差:輪出機構38提供保全政策 出各自差異輸出機構38執行以下之2項比、在如此之構 出各自之差異。 之Z員比較,檢測並輸 (2$ S = 之草案與訪問結果的差異分析。 校正者的ί 1策之草案與藉由實際調杳訪問姓果的 仪止考的差異分析。 一 w问結果的而取得 據對會員之訪問:果?:=而:於該兩 情況。 構建而成,也有幾乎無差異之 J ^訪問之回答也有成為”密碼盔限制有4 ”沾降 3 J保全政策中密碼無法無限制有效。密 保全政策之基本要件, 列啕议在碼有期限是 因此,保全政第夕苗安 …、彳無難謂保全政策。 檢、、則夕#覆 草案與上述訪問結果會存在差显。1 才双f之差異係作為分析報告輸出。 ㈢仔在差/、该 藉由該分析報告, 予修正之點。 問結果可從保全政策之觀點找出應 士外’ :(2)之差異分析中, 由實際調查上述構建之妒相夕次又朿之皁莱與错 比較。 #建之假心之貝吼糸統而取得之校正者的 1又:與Μ之比較,可僅執行其中之任一方者 也可同時執行兩方者 导 ’ 不夠充分的情況,再執行(2)。 % C:\2D-CQDE\90-08\90113015.ptd 第53頁 1226024 五、發明說明(51) 此外,考慮後述之級(2 )的實際調查與分析所獲得的優 先度,最好是將優先度高的部分作為實際調查對象。 其次,圖5為顯示本步驟3之動作的流程。該流程係為更 為詳細地顯示上述圖1之步驟S 1 - 2者。 步驟S5-5中,使用矛盾檢查機構32,檢查矛盾群中是否 有矛盾之回答。此外,步驟S5-6中,使用差異輸出機構 3 8,檢查保全政策之草案與訪問結果之間是否有差異。在 此,訪問結果包括下述2種,藉由訪問之回答構建之假想 資訊系統,以及藉由實際調查該假想資訊系統而校正之系 統。 如此,根據本實施形態1,由於使用圖7所示之分析裝置 30,而可迅速地知道含於回答群中之回答間是否有矛盾、 或回答之内容與實際系統之間是否有差異。 又,分析裝置3 0係為所謂專門系統者,上述各機構最好 係利用電腦上工作之軟體來實現者。 C.步驟3 :系統及其該系統之運用的實際調查·分析 在該步驟中,檢查構建之保全政策的草案與實際之資訊 系統及其該資訊系統的運用手法的差異且進行分析。該分 析除用以找出差異外,又用作將該對策案與優先度一起予 以顯示。 如下,係該步驟之實際調查·分析。 在該步驟3之實際調查·分析中,將由上述步驟S1 -2所 獲得之差異分類3種類,即人之體制的差異、運用方法的 差異、以及技術對策的差異。然後,分別檢討每一差異之
C:\2D-CODE\90-Q8\90113015.picl 第 54 頁 1226024 五、發明說明(52) 對策及優先度。 以下,顯示有關網路政策有差異的情況的對策與優先度 的例子。 (1)差異1 種類:人為體制的差異 内容:在網路政策中雖明確有網路程式段的管理者,然 而,究竟如何,於實際系統中卻不甚明確。 對策:明確地分配管理者或擁有者 優先度:立即 (2)差異2 種類:技術對策的差異 内容:在網路政策中規定有若網路之用戶認證所使用的 欲碼’長期間未得到使用的話將會被抹消。但是,實際系 統中並無此種抹消構造。 對策:設置若有3 0日未使用用戶帳號將抹消該密碼的構 造 ° 優先度:高 如此,根據本實施形態1,由於容易建立解消與實際系 統的差異用的對策,可容易消除保全政策與實際系統間的 不一致〇 驟4 :政签調整·規則調整 藉由上述步驟3明確地形成實際系統與保全政策草案間 的不一致點,此外,也明確地形成相對於此之對策與優先 度。在本步驟4中,執行對策的檢討與實際之作業。
C:\2D-CODE\90-08\90ll3015.ptd 第55頁 1226024 五、發明說明(53) 對策共分為2大種類。 (1 )對保全政策草安 (2)調整實際系統:=以調整以配合實際系統。 以下,針對上述運用規則等。 丨-1 的對策作詳細說明。 保全政策草案已如 二、 準之標準保全政策 ’係將構建稱作為全球基 建者。現在,已公知=作適宜之組合來構 形態1中,係從該數種類之"取、〜王球基準,在本實施 以組合以進行保全政策的 n之規則與方針等予 草案。 件取為嚴格者,以組入保全政策的 π換二Γ ’此等全球基準係隨其種類而規定的強择 。:如’在某-全球基準中密碼的有效期限=各不相 在其他之全球基準中密碼的有效期限則為18〇日為60日’但 也就是說’在草案的階段中,係以最嚴格。 各規則等。因此,根據團體側的意向,保全二件來構建 的各規則的強度也有被判為太強的情況。在钕2的草案内 宜變更為較弱的規則。 ^兄最好適 若變 例如,使相同的密碼的有效期限為6 〇日的 就是說在規則較強的情況,可根據與團體側的=嚴,也 有效期限為18G日,也就是說變更為較弱的規則商®而變更 如此,攸各團體的意向與強度的平衡的觀電 更規則的強度’可構建與實際系統一致的保全政= 第56頁 C:\2D-CODE\90-08\90ll3015.ptd 1226024 五、發明說明(54) 藉此,來執行保全政策草案的調整。 規則 根據上述之級2的實際調查與分析中說明的對策,來調 整實際系統側的運用。該規則調整具有變更運用方法者、 與另外再進行保全系統(例如防火牆)的規則設定的修正 等。 E.步驟5 至上述 保全政策 但是, 策。在此 並製成表 對策的計 說,可實 活’無法 態的預測 保全對 全政策用 此外, 監查、以 J優先彦計劃 步驟4為止,完成了有關團體之實際資訊系統的 的構建。 今後,有必要順序配合該保全政策來執行保全I,本步驟5中,包括優先順位而檢討各種之對策 單。利用預先作成該種表單,可建立今後的劃。又,根據該計劃可進行預算的檢討 就: 現資訊保全對策的預算化。若沒有此種表單^ 建立對將來之資訊保全費用究竟花費為多少^ ,而使得預算化變得困難。 夕的等 策除保全系統的導入與測試之冰、吾—1 的從業員工的教育、系統曰::分;等包ΠΓ 及保全政策的修正。 采之運用#
又’配合團體侧的資訊系統的 有必要變更保全政策。在此,有 策的修正。 髮更、運用的變更等,也 必要進行定期性的保全政
1226024 五、發明說明(55) 抑根據上述步驟5中作成的包括優先順位的保全對策表 2來貫際執行保全強化策。該執行係為依照上述表單及 保王政策者,可進行圓滑的作業。 ^所述,本實施形態1中係從保全政策的構建開始至 為止分6個步驟來執行者。因此,可分級式地來執行 =^政策,從而可實現符合團體側要求的作業進行方向。 __(產業猶類的考慮) 述實施形態丨中,說明了根據團體會員的職務内容 ^更詢問的例子,但{,並未特別考慮到該團體的產業 應Ξ:同!“D在金融業與製造業中,#構建之保全政策也 辈it f本實施形態2中,提出有構建考慮了團體之產 :=的保全政策的方#。以下’說明構建考慮了團體之 產業種類的保全政策(之草案)用的種種的精心思案。 :上二圖4之保全政策草案構建裝置 L員卜之=容來變更詢問的内容。本實施形態 子。再加上說明藉由該團體之產業種類來變更詢問的例 之保全政策草案構 保全政策草案構建裝置120與圖4所示 建裝置20幾乎相同。 其不同點之,y口入 L Μ β > 保王政朿卓案構建裝置1 2 0具備詢問生
1226024
五、發明說明(56) 成機構122,該詢問生成機構丨22係根據接受訪問之合。 屬之團體的產業種類來生成詢問者。該詢問生成機^ 斤 不僅根據會員之職務内容,而且還根據團體之產 生成詢問。 一禋頰來 此外’記憶機構1 2 4預先收容根據產業種類而不同的 問。詢問生成機構1 22係根據輸入之產業種類而從她 構1 2 4中讀出對應於該產業種類的詢問群。 思 回答保管機構126與圖4所示之回答保管機構26幾 — 元全相同的動作。 行 <1 藉由上述構成,生成對應於各產業種類的詢問, 建更為精緻周到的保全政策。 例如,對於金融業的團體,應該生成,,如 2的管理"等的詢問,但是,對於製造業的團體丁:巧 則應峰成” ^ 義。相反地,對於製造業的團體 〜 0何進仃每一批量之進度資料的管理"等的詢 :意義?,對於金融業的團體而言生成此種詢問並無任何 問因Ϊ針ϊΐί!施形態2,藉由團之產業種類來變更詢 :資;1:if平細之内容進行詢問,可更好地知道團體 之貝Λ糸統的細部(也包括運用及管理)。 又’在此所言及之詢問的變更盥上述鹋孜免—4 η 立 味著詢問的課目遭到變更。3?:^:務内谷相同,意 言,係為適用於包括、商入么也對金融業的團體而 團體而士,将立^ 融業的詢問群,而對製造業的 口係為適用於包括適合製造業的詢問群。於各課
C:\2D-CODE\90-08\901130l5.ptd 第59頁 1226024 —--- 五、發明說明(57) 目中根據對其中含右+ ^ ^ _ 有之询問的回答的内容,而^ 5旬問之事項與實施形態〗相同。 而變更為下— 安m圖8之草案構建機構128係基本上與圊4 構28相同。但是,由於係根、圖4所示 =28之詢問生成機構122生成之更料細構建 ::的回答來構建保全政策的草案,正如所:内容的詢問 構建更為精密的保全政策的草案。 之說明,可 本實施形態2之保全政策的草案的構建動 所示之流程幾乎相同。 ’輿上迷圖5 。不同點係為於步驟S5 — 〗中,該團體的產業 員的職務内容相同的質問生成機構丨2 2所供給類係由與會 是質問生成機構1 2 2可根據會員之職務内容^ 。該結果曰 種類生成合適的詢問。 /、圏體之產業 類來變更 如此,於本實施形態2中,由於生成考慮了 種類的詢問,藉由訪問可更為詳細地知道〜團J11體之產業 系統。該結果是可進行更為精密的保全政策訊保全 又,在上述說明中,顯示有根據團體之產 得矍。 此外,在上述說明中,作為詢問之變ρ /订 又尺之例+ 35 ~ 問課目的變更,但是,可採用其他種種的變更 頌示有詢 如,預定基本之詢問文的框架,並最好是^人方式。例 變更該文中的用語。具體而言,可考庹左姐〇產業種類來 問的文中使用「總經理」的用於語,而Λ你〃又止業之詢 v牧m行的,卜主、 該「總經理」的用語變換為「總裁」的用語的類h况則將 '、似方式。 詢問的例子,但是最好是根據團體之規模來/、種類來 此外,在上沭說明中,作為詢閜夕結纟& . ϋ ¥更
1226024 丨一---- 五、發明說明(58) ^ ~~規勸與規定的者虔) 實施形態1中所述之例 策(步驟S5-4)。該全球構建保全政 .徊;§ρ Μ A盔-r w 多係因某一特定目的而作成 者’但部構成為可利用於一般 對於該具通用性之全球其乘 八A女# — 種種的規勸與規定。此等;;鱼:=特疋之產業種類的 於此等規勘與規定也;:=類的規勸與規定者。由 L具從S扣入^百很夕疋言及資訊保全的情況,因 二用。U 基準相同,於保全政策之構建之際加以 例如’ 本金融資訊系統中心⑺sc :The c forFinanciallnduc;十 r'rT< . 行保全對策用的安全對策Systems)中,進 及。然後,該曰本金融疋’以及保全政策的普 腦系統的安全對策基準」等的刊物/Η丁^㈣專電 本實施形態3中,接屮古少冲上 況,不僅根據全球基準 對金融「業構建保全政策的情 的安全對策基準」金融機構等電腦系統 特定之產業種類中,由於係y:;的方案。該結果是於 如該圖所示,;構建裝置的結構。 示之保全政策草案構建f m建裝置220的結構與圖8所 苒连4置120幾乎相同。其不同點是有 1 第61頁 C:\2D-C0DE\90-08\90113015.ptd 1226024 五、發明說明(59) 關團體之產業種類的資訊不是由詢問生成機構M2而日 建機構228所提供之點。然後’草案構建機構二 係根據團體之產業種類,將應該用於保全政 建的特定規勸與規定出示給利用者,而利用者可擇兮 定規勸與規定。又,選擇之特定規勸與規、擇厂寺 也可有為2個以上的情況。當然,利用者也可盔視;於個 之特定規勸與規定,而選擇一般之全球基準。…、視所顯不 此外,以下諸點為本實施形態3中之特^ 第1、草案構建機構22係根據團體之產# ^ 利用之適合特定產業種類的規勸與 業種類,來選擇 ,中係為新穎的事項。藉由此 之事項,於本實施 中楚可構建利用適合金融業的規勸的保乍全例於金融業 第2、記憶機構224内與適合於特定士朿(之草案)。 有關的資訊,可與全球基準相關之業務的規勸與規定 5容之該資訊,詢問生成機構222可生°成1同地收容。根據 二團體之產業種類的規勸與規定的詢付合制訂成適合 容之資訊’草案構建機構m可構建°。此外,根據該收 訂成之適合於該團體之產業種類的規勸愈收容之該資訊制 全政策。 樘類’規鉍與規定的詢問的保 此外’本實施形態3之保八 圖乎相同。其不i點則為G動作,基本上與 ΐ機構222 ’且顯示用於該團:d:種類輸入詢問生 疋。只要選擇利用者所顯示的規勸;規種,的規勸與規
C:\2D-CODE\90-08\90113015.ptd 第62頁 一見弋,生成依照該規 1226024 五、發明說明(60) 勸與規定的詢問的點為第〗差異點。若於該 ::在的情況,與實施形態!〜實施形態、:規定 球基準來生成詢問。 係根據全 第2、於步驟S5-4中,將該團體之產業種 建機構228,該草案構建機構228係依照適二卓案構 業種類的規勸與規定來構建保全政策 =图體的產 也為利用者選擇該規勸與規定的情況的動作。0 j二該動作 勸與規定不存在的情況,與實施形態丨〜實右^種規 係根據全球基準來構建保全政策的草案。、/ ^相同, 例如,根據全球基準,生成"有建立了 述「金融機構等電腦系統的安全對策美 /係根據上 建立了 ATM(Automatic Teller Machine :」動成”有 責任者嗎?丨丨的詢問。 動k #人機)之 此種詢問只要以上述實施形態2中記述之” 來變更詢問”的手法來生成即可。例如,\據產業種類 業的情況,生成依照上述「金融機構等業類為金融 策基準」的㈣,並用於訪問。生成該種;安全對 了精由利用包括有關上㉛「金融機構等專〕糸統 策基準」的資訊的知識庫來構成。 ’、、、、的女全對 藉由利用該種手法來構建保全政策, 緻的保全政策。 稱逐更為精密細 項目之重满 不存在於全球基準’而僅存在於上述特定之產業種類的 第63頁 C:\2D-C0DE\90-08\90113015.ptd 1226024 五、發明說明(61) 規勸與規定的項目,當然是根據上述特 勸與規定來構建保全政策。 的產業種類的規 相反地,僅存在於上述全球基準,而不 係根據上王球基準來構建保全政策。 又,既存在於全球基準,且也存在於上 類的規勸與規定的項目,最妊θ妒旁 寺疋產業種 的規勸與規定來二:全根據上述特定的產業種類 勸與規定來構建保全政策。 、、產業種颂的規 、兄但::&可考慮希望構建根據某一特定之全球基準的情 準有將特定夕i J (美國)中,作為全球基 的情、兄(有關r t玉土準(例如C〇bit)作為事實標準而利用 :::建全最好是根據該‘二 用之保全ί ϊ ί I 44中’提出將構建保全政策之際而利 案。Μ 4 4 ’可由利用者來明示指《地予以構成的方 構Τ ί : 2 :態4之保全政策草案構建裝置320的結 資訊,係由二用者所指示之保全政策的 詢問生:;二成ΛΤ;:严,㈣ /、只轭形4 1相同,係根據會員之職務 C:\2D-CODE\90-08\90113015.
Ptd 第64頁 1226024 五、發明說明(62) 問。又’利用去丁口 不之全球基進AA从 琰其! 可指示】個全球基準而·Λ 的詢 球基準。 而可指示多個全 俘::ί冓建機構3 2 8係根據利用者指示之八计Α 保全政策的草案。 全球基準來構建 ::施形態4之保全政策之草案構 點1卜與上述圖5所示之動作幾乎相同。力作’除以下諸 罘1差異點、係於步驟S5 — 〗中 基準來進行詢問的生成之點。 ’,、、利用者指示之全球 第2差異點、係於步驟S5_4 基準來進行保全政策之草g的構建之;;]。用者指示之全球 利’/選擇構建保全政策之際戶斤 」用(王球基準4'㈣,依照利用者選擇二 成詢問,並根據該回答來構建保全政策的草案。其二:, 可構建依照利用者所希望之全球基準的保全政策/、σ疋 BS71=田^利用者選擇後述之bs77"的情況,可構建適合 BS7799用(或用於)的保全政策。 全球基準 以下顯示作為全球基準而已廣為人知的例子。 (1) BS7799 BS779 9 係於 1 9 9 5 年由 BSI( British Standards I n s t i t u t i ο η :英國標準協會)所制定。該b s 7 7 9 9規定了隽 中資訊保全中之最實用化(最適慣行)的基本的管理項目$ C:\2D-CODE\90-08\90113015.ptcl 第65頁 ---- 1226024 五、發明說明(63) (控制)。 該BS779 9的規格之目的在於,產業界原本於行政、或 NG0(N〇n Governmental Organization :非政府機構:)、 NP0(Non Profit Organization ··非營利之民間機構)中, 此外,於無關該機構之規模而有必要保護資訊財產的情 況’作為一種明確資訊保全的範圍之際的規範·基準來使 用者。 因此,該BS77 9 9與後述之iSO/IEC1 3 335「IT(資訊)保全 官理基準(GMITS)」及ISO/IEC15408「IT保全評價標準」 等具有相同目的規格。該BS77 9 9具有如下2點與此等其他 之保全基準不同的特徵點。 f 1,仲河於丹他現格係以IT作為對象來規定保全技别 的詳細部分,而BS779 9則顯示對管理系統而言為普遍性 的、包容性的基準、基準。第2、係不限定電子媒體而并 紙媒體等各式各樣的資訊財產作為保全對象者。 近年來,該BS77 9 9非常受到國際間的注目。其 =全的詳細的個別控制固然重要,但是,可以說 越廣泛地認t线到對由ISO90 0 0等系統規格的要求 :之(根據表單分析)管理計劃進行立案,監視必要之資 二士,運用,客觀地進行修正的構造,係對資訊 也相當有效。 g 資Γ伴79=第:資訊保全管理實施基準以及第2邹 用:、:p、:規格的2部分所組成。該第1部中顯示了最 ,亦卩顯示了提供建議給管理部的基準。此外,該
1226024 五、發明說明(64) 2部中顯示了開發管理的框架組織以及"系統監查"的基
準。該第1部(BS779 9- 1 )係作為IS0 1 7799而被ISO化。 (2)GASSP GASSPCGeneral ly Accepted System Security Principles :通用認定之系統保全準則)係以G〇〇d Pr act ice(最佳實用性)的促進、風險的減輕、以及風險影 響的減輕為其目的者。GASSP使用OECD (Organization for Economic Cooperation and Development ··經濟協力開發
機構)的資訊保全方針,且進行階段模式化,而詳細地展 開方針。 最上位之基本方針稱作為pervasive principies (準則 綱要),其揭示有保全之目標概念。 次階段之方針稱作為Broad Function Principles(廣域 功能之準則),係針對p e r v a s i v e ρ Γ丨n c丨p丨e s (準則綱要) 的具體之執行所作之概述。 再下一階段之方針稱作為Detailed Principles(準則細 目),其記述了依照環境的詳細的保全基準。
此等方針不僅記述了與管理及製品相關的基準,也同時 記述了個人及組織的隱私的管理。
(3)GMITS
GMITSCThe^Guidelines for the management of IT
Security ·貢訊保全的基準化管理)係藉由〗s〇 (International Organization for Standardization : 國際標準化機構)所作成。該GMITS之目的在於設定一種標
1226024
:對:該標準係以資訊技術保全之關連的運用㈣、計劃 GM ITS分為以下5個部分。 部分1 .Concepts and models for IT Security(資訊 保全之概念化與模式化) 該部分1記述了資訊保全之概要。 部分2 ·· Managing and Pianning IT SeCurity(資訊保 全之管理與計劃) 该部分2中記述了與保全周期中相同的作業。 ^ ^ 4 - Selection of Safeguardes(保全的選擇) 該部分4中記述了如何根據保全要件來選擇對應之對 策。 - Management Guidance on Network Security (網路保全上的管理準則) 該部分5記述了現在之草案版本。 針對有關網路保全上的管理的作業作一記述。 (4) ISO/IEC15408 I S 0 / I E C 1 5 4 0 8係為一總結歸納後之「要件集」,其包括 有關應具備使用資訊技術的製品與系統的保全功能的要件 (功能要件)’以及取得對確實實現從設計到製品化的過程 中的保全功能的事項的確認的要件(保證要件)。 (5 ) Cobit
Cobit(Control Objectives for information and related Technology :資訊與關連技術的控制目標化)
1226024 五、發明說明(66) 顯示適合遍及多領域之製程要點的保全的規範(g〇〇d P:一 :最佳實用性提示了可管理性的邏輯上的構 造。 該good practice係經由許多的專家並經得同意的基礎 土所作成者。於是’該Cobit係為用於業務上之風險及控 制的必要性與技術問題間的對立的解消而設計的全球基 準。 (6)EU指令 在此所稱之EU指令係指正式之「關於與個人資訊處理有 關之個人保護及該資料的自由移動的歐洲會議及理事會的 指令」者。該EU指令規定了有關個人資料的處理的合法性 的般規則,規定有關貢料品質的原則、有關資料處理的 適法性根據的原則、供給資料對象之資訊以及對資料對象 之資訊的存取權等。 iA形態_5 (強唐之指定) 在到此為止的實施形態中,保全政策的強度調整皆係由 圖1之步驟S1-4中的人為動作予以執行者。 而且,於預先判明所要求之保全政策的強度的情況,最 好疋從步驟S1-2中之草案構建階段來反映所需的強度。 此:卜’圖i之步驟S卜4中,係人為性地對各規則的強度 m然而,只要定義一強度指胃,利用者使用該指標 ii曰=全政策的強度’並根據指定之強度可自動地進行 的調整λ話,則具相當的便利性。 也/心之特敛點為,於圖1之步驟si_2與31_4中,
1226024 五、發明說明(67) 利用者可客觀地指定來構成保全政策的強度。 為了實現如此之特徵,本實施形態5中定義有如下5種顯 示保全政策的強度的指標。以下係按照強度的強弱順序來 進行排列。也就是說,強度最強者為「最高級」,強度最 弱者為「教育機構級」。 (1 )最高級:顯示政府與軍事組織所必須考慮之保全強 度。 (2)金融級:顯示金融機構所必須考慮之保全強度。 (3 )國際級:顯示國際性企業所必須考慮之保全強度。 (2) —般級:顯示國内企業所必須考慮之保全強度。 (2 )教育機構級:顯示教育機構所必須考慮之保全強 度。 在此顯示有上述5階段的例子,但是也可使用強、中、 弱的3階段。 5 — A才旨t f t 4呆t立支Μ白勺才舊1 € 針對步驟S 1 - 2 (圖1 )中之保全政策的強度指標的利用進 行說明。利用者於構建步驟Sl-2(圖1 )中之保全政策的草 案之際,從上述5種指標中選擇所需強度並指示給草案構 建裝置20。 根據該指標,藉由從全球基準中取出利用者所需的強度 的規定,可構建利用者所需的強度的保全政策的草案。由 於全球基準中包括顯示全政策強度的指標者也很多,因此 上述構建方法有其可能之依據。 該取出動作係預先將有關各全球基準的強度組入知識庫
C:\2D.CODE\90-08\90113015.ptd 第70頁 1226024 發明說明(68) 中’且利用該知識庫根據利用者指 取出合適的規定來執行者。各有關=從全球基準中 例如,與上述5種強度指標、以及對應 度的知識係指 相關的知識者。通過利用該種知識可〜彳〃〜八強度指標的規定 應於所給予之強度指標的規定。 久王玉、基準中選出對 圖1 2為顯示本實施形態5之保全政笛 結構方塊圖。如該圖所示,保全王政政/草4安^建裝置似的 係將利用者指示之強度指標供給草置-中 建保全政策的草案。該構建動:如者上=之強^ 強度指標預先將與指示之強度指標—^係根據札不之 組入知識庫中,且根據該知識庫:全美:有關的知識 干攸王咏暴準中取出应該強 度指標一致的方針來執行者。 τ取an…β 5$ 該動作係為預先取得針對主要之強度指 種方針之預設規則(知識庫中)者。 β ^ & 此外,本實施形態5中之保全政策的構建動作, 下 諸點外,其餘皆與圖5中之流程幾乎相同。 ” 差異點 '係^ 中詢問生成機構似得根據利 用者指示之強度來生成詢問之點。「強度」係指與其他之 麥數(產業種類等)相比較對詢問的影響較少者,但是一般 只要增強強度的話’可生成有關更為詳細事項的詢問。此 外’-般只要減弱強度的話,可重新生成有關詳細事項的 詢問。 例如,在作了-次構建保全政策之後,可考慮重新設定
i
C:\2D-CODE\90-08\90113015.ptcl 第71頁 1226024 、發明說明(69) 保全^強度為更強者。由於該情況時較利用 強之札標係供給詢問生成機構422、該詢者所指示要 生成有關更為詳細事項的詢 苴纟士 成機構422可 次地對團體之會員(被詢問 7 ; 有部分產生要再 另一方面,於重新設定保全政策強度為更^的情況。 般並無生成新的詢問的可能性。因此,兮^弱的情況,一 再次地實施詢可立即構建新的保全^况時不需進行 其次’第2差異點、係於步驟S5_4中將。 度指標供給草案構建機構4 2 8,兮想 者指不之強 該強度指標來構建保全政策的草案之^纟構建機構4 28係根據 該2點以外之點的動作與圖5 ^指定強度一^^AA^^ ^王成乎相同。 本實形態5中,步驟S1—4(圖^ 自動地執行。圖12為顯示執行上 二朿的調整也係 政策強度調整裝置50〇的結構方’、王^朿之調整的保全 政策強度調整裝置5。。具備強度檢:機二圖所示,保全 構5 04、記憶機構506以及合成機構構502、強度調整機 將至步驟Sl-3(圖〇為止的動: 案輸入強度檢查機構5 〇 2。該強庚 的保全政策的草 者指示之強度指標來檢查保全2機構502係、根據利用 與利用者指示之強度一致。若檢杳妹f,内的各規則是否 指示之強度一致則將該規則原樣輪^疋=規則與利用者 -致的情況則將各規則輸入強度;:1 -方® ’若為不 整機構504係根據利用者指示之正故構5 0 4。該強度調 自度私標來改寫輸入之規
1226024 五、發明說明(70) 則後予以輸出。合成機構5 0 8係將強度指標一致之規則與 改寫成與強度指標一致的規則做一合成並輸出至外部。記 憶機構5 0 6係記憶全球基準以及全球基準中之各規則與強 度指標相對應之相關資訊。 圖1 3為顯示保全政策強度調整裝置5 0 0的動作的流程 圖。 首先,於步驟S1 3-1中,將保全政策的草案輸入強度檢 查機構5 0 2。 於步驟S13-2中,強度檢查機構502檢查輸入之保全政策 的草案内的各規則是否與利用者指示之強度指標一致。然 後,於一致的情況移至後述之步驟S 1 3 - 3。另一方面,若 為不一致的情況則移至步驟S1 3-4。 步驟S1 3-4中係將規則變更為與利用者指示之強度指標 一致。該變更係利用記憶機構5 0 6内部的全球基準中的各 規則與強度指標相對應的相關資訊,由強度調整機構5 04 來執行者。由於該資訊係為全球基準中的各規則與強度指 標相對應的相關資訊,只要利用該資訊的話利用者即可知 道與利用者指示之強度指標一致的規則。於是如此地將知 道之規則同樣地從記憶機構5 0 6内部的全球基準中取出, 並將與強度指標不一致的規則更換為與該取出者一致的規 _ 則。 步驟S 1 3 - 3中係將與強度指標一致之規則以及變更之規 則作一合成後予以輸出。該合成輸出動作係藉由合成機構 5 0 8來執行者。
C:\2D-CODE\90-08\90113015.ptcl 第73頁 1226024 五、發明說明(71) 藉此,可將保全政策之草案内的各規則與利用者指示之 強度指標一致。 又,本實施形態5中之強度檢查機構5 〇 2、強度調整機構 504以及合成機構508最好是由電腦上動作之軟體來構成 者。此外’記憶機構5〇6最好是由硬碟、CD-ROM、DVD等的 種種的記憶媒體來構成。 規_則與強度指標的關係 針對 所顯示 當為 規則與 例如 融級的 例如, 更為嚴 然後 定該規 例如 的情況 如,密 之情況 效期間 施形 到此 步驟S1 3-2中之規則的強度與利用指示之強度指標 之強度不一致的情況作一詳細說明。
強度私私所示之強度要弱的規則的情況,則判定驾 強度指標不一致,而更換為更強之強度的規則。 ,規則係為教育機構級,而利用者指示之強度為名 情況,將該規則更換為金融機構級的規則。此外, 將密碼的有效期間從12〇日縮短為3〇日,而置換為 格(強)級的規則。 ,於比強度指梅卢片一 β ^ > 則與強度指標不一&J =規則的情況’ ^ ,規則係為最高級,而矛=為更弱的規則。 ,則要將該規則置換為:f扣不之強度為-般紹
碼保存期間在最高二一::严則。此外,例 ,利用者可指定一妒二土°但疋此期間係為嚴格 延長為1 0 0曰,而置施达 於疋,例如將密碼的有 態6 (構建笳.較緩(弱的)級的規則。 為止所記述之例子中, 呆全政策係針對該團體全體
1226024
五、發明說明(72) =成者。然而,也可認為有想要只針對顺 構建保全政策的要求。 κ團肢之部分來 在此,利用者指定構建保全政策的範圍,d 圍採用構建保全政策之裝置與方法,利用者^要根據該範 針慮構建保全政策之部分來構建保全容易地只 圖4為顯不本實施形態6之此種保全政策。 520的結構方塊圖。如該圖所示,保全政策草:構建裝置 5 2 0的結構與圖! 〇及圖i i說日月之保全 ^,建裝置 及4 20相同。 旱*構建裝置320 <» 其差異點為如下2點。 機者指示之保全政策的構建範圍供給草案構建 機者指示之保全政策的構建範圍供給詢問生成 ,由上述結構’由於草案構建機構5 之範圍的此,利用者可有效獲得必要 之範圍卜的:成機構522也係生成有關利用者指示 效的詢二。:是1不不!生成無意義的詢問而可進行有 問生成機丄這,因?刪用者指…圍供給詢 全政策的構建的;^因。Λ:旬問的大部分皆不會影響到保 =情況進行訪問時,謝也可跳過該項詢= 利用者指示之範圍供給詢問生成機構522並非為必
1226024 --- II _ 五、發明說明(73) 備條件。 此外,利用者可以種種手法爽扣一 圍。 予法末心不保全政策的構建範 (1) 首先,利用者可以產品(製品) 構建範圍。介“口,利用者於只想構末「=保:政策的 全政策的情況,藉由指示該「VpN可、 」有關的保 的保全政策。此外,藉由指示WEBJ、E°H與「VPN」有關 具體的硬體與軟體或功能,利用 防火牆等的 相關的保全政策的構建。 曰不與該硬體、軟體 (2) 利用者可根據使用目的來指 圍。例如,利用者於只想構建與「外仵= 政策的情況,藉由指示該「外 σ委4」有關的保全 部委託有關之部分的保全政策。此建與執行該外 (E-C〇mmerce)、資料中心等的且曰由指不電子商務 用者可指示與該使用目的或用;5目的或用途,利 建。 ’途相關乾圍的保全政策的構 ⑺又,利用者可從團體 策的構建範圍。例如,利用古^嬈2出赉來指示保全政 關的保全政策的情況,藉由指示:f 2建與「本公司」有 公司有關之部分的保全政策 2 公司」可構建與本 建支店的保全政策。X 用卜由^由指示支店’可構 可分別構建與網路相關:J由)示網路與主機等, 全政策。 保王政朿,以及與主機相關的保 本實施形態6之保全跄繁 文朿構建的動作與上述圖5所示之動 C:\2D-C0DE\90-08\90113015.ptd 第76頁 1226024 -----. 五、發明說明(74) 作成乎完全相同。其差異點如下。 ^點、係於圖5之步驟S5_4中根據利 來進仃保全政策的草案的構建之點。 扣不之靶圍, ^點、係於圖5之步驟中生成與 相關的詢問之點。 、用者扎示之範圍 該2點之差異處在於,並不一定 不會對保全政策的構建構成直接影響:::”',其也 也可考慮適宜跳過該項詢問,因 ,於珣問者 等相同亦可。 °旬問本身與實施形1 該保全政策的草案的構建由圖u 執行。為了執行上述之塞: 卓案構建機構528來 進由沾事項,於記憶庫524中針對全球美 0各規則具有何種範圍的知識庫進 / 土 也就”,各規則有「本公司」之範圍者建或者是「支 ΐ」。ί 2 f者等,可將此等之知識庫收容於記憶機構524 ::由參照該知識庫,草案構建機構528僅使用包括利 用者拍不之範圍的規則來構建保全政策(之草案)。 藉此,根據本實施形態6,根據利用者指示;構建範 圍,可進行該範圍的保全政策(之草案)的構建。 又,本貫施形態6中,顯示了與實施形態丨相同地,詢問 生成機構522係依照會員(被詢問者)的職務内容來生成詢 問的例子(圖1 4 ),詢問生成機構即使為對會員進行與職務 内容無關的一般詢問的構成亦可。 實多形態了_CJ呈式及記 C:\2D-C0DE\90-08\90113015.ptd 第77頁 1226024 五、發明說明(75) 到此為止所記述之各實施 是由程式及執行該程式的處理二之各機構,實際上最好 •圖1 5顯示本實施形態7腦:構成。 式的硬碟裝置6〇〇的電腦6〇^。細及具備内部收容有各種程 該硬碟裝置6 〇 〇中收容 明之詢問生成機構〗2、回欠订^1述各實施形態1〜7中說 構18等的各機構 ::s ;構16、以及草案構建機 行此等的程式,該電LH。電腦6 02的處理器藉由執 答保管機構16、以及草安二執行與詢問生成機構12、回 此外,硬碟二?也?=^ 32、矛盾輸出機構4〇、*合機構41、假機構 ^機構38、以及實際系統輸入機構3;'等的動=4程差 式二電腦6 0 2的處理器藉由執行此等的程式,肖 執行矛盾檢查機構3 2等的動作。 :夕卜,i述實施形態中說明之記憶機構14最好也設於硬 碟裝置6 0 0内。 如此之電腦6 0 2之操作者,可啟動上述各種程式,生成 詢問,通過鍵盤6 〇 4執行輸入團體會員的回答地L作等。 當然,回答的輸入也可使用滑鼠等的輸入裝置來予以+執 行。 又,圖1 5中顯示利用所謂獨立存在方式使程式於電腦上 動作之例子,也可採用藉網路來提供程式的形綠。' 例如,伺服器内收容有上述各種程式,每當^必要執行 程式時,最好是用戶端電腦執行伺服器内的程式,採用下 wm
mi C:\2D-C0DE\90-()8\90113015.ptcl
1226024
五、發明說明(76) 載後予以使用之形態 透L關保全政篥之|j 在到此為止之實施形態}〜7中,主 草案的構建作了陳述,去 要疋針對保全政策之 策的構建是不言而喻的事實。=方曰、▲早案也可用於保全政 建裝置也可為保全政策構建裳就全政策草案構 法也可為保全政策構建之 μ王政朿草案構建之方 為保全政策之構建機構。/ 。11外,草案構建機構也玎 【發明之效果】 ^如亡述之說明’根據本發明,藉由對时 員進行 询問’並根據所作之回又來盖 豆 a ^ 地構建保全政策。4構建保全政策。因此,<容易 又’根據本發明’由於分級式地進行 建, 因而可執行依照團體之需要(預曾耸、 勺七氺。 ,丨而文、頂^寺)的柔軟的構建方法 外,根據本發明,由於診斷團體之資訊保全的狀況, 因而團體可知道資訊保全的重要性。 « ^此外,根據本發明,由於可同時知道優先度與保食對 策’因而可容易地建立將來之資訊保全對策的計劃。又, 根據該計劃使得進行圑體之預算的檢討成為可能二 此外,根據本發明,利用者可於構建保全政^之際來指 示使用之全球基準。 此外,根據本發明,由於使用適用於全球基準以外之特 定產業種類的規定及規勸來構建保全政策,因而$構建與 各產業種類更具一致性之細緻的保全政策。
C:\2D-C0DE\90-08\90113015.ptd 第79頁 1226024 五、發明說明(77) 此外,根據本發明,使用強度指標,利用者可指示保全 政策的強度。此外,根據本發明,使用強度指標可調整保 全政策的強度。 此外,根據本發明,利用者可明確地指示保全政策的構 建範圍。其結果可執行團體中之部分保全政策的構建。 【元件編號之說明】 10 評價裝置 12 詢問輸出機構 14 記憶機構 16 回答保管機構 18 保全完成度作成機構 2 0 保全政策草案構建裝置 22 詢問生成機構 24 記憶機構 26 回答保管機構 28 草案構建機構 30 分析裝置 32 矛盾檢查機構 34 假想構建機構 36 實際系統輸入機構 38 差異輸出機構 40 矛盾輸出機構 41 整合機構 120 保全政策草案構建裝置
C:\2D-CODE\90-08\90113015.ptcl 第80頁 1226024 五、發明說明(78) 12 2 詢問生成機構 124 記憶機構 126 回答保管機構 2 2 0 保全政策草案構建裝置 2 2 2 詢問生成機構 224 記憶機構 22 6 回答保管機構 2 2 8 草案構建機構 3 2 0 保全政策草案構建裝置 3 2 2 詢問生成機構 3 24 記憶機構 32 6 回答保管機構 3 2 8 草案構建機構 42 0 保全政策草案構建裝置 42 2 詢問生成機構 4 24 記憶機構 4 2 6 回答保管機構 428 草案構建機構 5 0 0 保全政策強度調整裝置 5 0 2 強度檢查機構 5 04 強度調整機構 5 0 6 記憶機構 5 0 8 合成機構 5 2 0 保全政策草案構建裝置
C:\2D-CODE\90-08\90113015.ptd 第81頁 1226024 五、發明說明(79) 5 2 2 詢問生成機構 5 24 記憶機構 5 2 6 回答保管機構 5 28 草案構建機構 6 0 0 硬碟 6 0 2 電腦 6 0 4 鍵盤
C:\2D-CODE\90-08\90113015.ptd 第82頁 1226024 圖式簡單說明 圖1為顯示本發明之較佳實施形態1之商用示範版本的原 理的流程圖。 圖2為本發明之評價裝置的結構方塊圖。 圖3為顯示本發明之評價書之作成作業的動作的流程 圖。 圖4為本發明之實施形態1之保全政策草案構建裝置的結 構方塊圖。 圖5為顯示使用本發明之保全政策草案構建裝置構建保 全政策之草案的動作的流程圖。 圖6為顯示列出之職務内容的類型的一覽表的圖。 圖7為本發明之分析裝置的結構方塊圖。 圖8為本發明之實施形態2之保全政策草案構建裝置的結 構方塊圖。 圖9為本發明之實施形態3之保全政策草案構建裝置的結 構方塊圖。 圖1 0為本發明之實施形態4之保全政策草案構建裝置的 結構方塊圖。 圖1 1為本發明之實施形態5之保全政策草案構建裝置的 結構方塊圖。 圖1 2為實施形態5之保全政策強度調整裝置的結構方塊 圖。 圖1 3為實施形態5之保全政策強度調整裝置的動作的流 程圖。 圖1 4為本發明之實施形態6之保全政策草案構建裝置的
C:\2D-CODE\90-08\90113015.pld 第83頁 1226024
C:\2D-CODE\90-08\9Q113015.ptcl 第84頁
Claims (1)
1226024 六、申請專利範圍 收容步驟,於上述取得之回答群中含有矛盾之回答的情 況’執行再詢問以便於解決矛肩’且將上述回答群收容於 上述記憶機構中;以及 顯示步驟,於上述取得之回答群中含有矛盾之回答的情 況’藉由按照被詢問者的職務内容赋予上述回答加權,進 而推定回答且顯示推定之回答。 5 ·如申請專利範圍第2項之保全政策構建方法,其中上 述分析步驟係包含有下述步驟中之至少一項步驟: 矛盾檢查步騍,檢查是否於上述取得之回答群中含有矛 盾之回答; 第1差異檢測步驟,比較藉由上述回答群 的資訊系統與上述保全政策且檢查其差異;以^ Mu “第2差異檢測步驟,利用實際之資訊系統的調杳 藉由上述回答群假想性地假設的資訊系統,且一又 的資訊系統與上述保全政策的草案且檢 t匕較該校正 6.如申請專利範圍第5項之保全政策構—建方異。 含有對策步驟,用以同時建立上述調查 思,其更包 對策的優先度。 —& -的封策與該 7·如申請專利範圍第丨項之保全政策 含有診斷步驟,用以診斷上述團體的保全/ ·’其更包 此外,藉由將上述診斷步驟的診斷莊 /一, 體,可使上述團體認識保全政策的必'^性杈不於上述團 8·如申請專利範圍第6項之保全政策建 含有優先度計劃步驟,用以配合該 春’其更包 朿的優先度計劃與上
C:\2D-CODE\90-08\90113015.ptd
第86頁 1226024 六、申請專利範圍 問。 保管::步驟係包含有下述步驟中之至少-項牛、:. 相同合上述取得之回答群中之被 於上述記憶機構中Γ回答作為單一被詢問者的回答而保管 =步驟,於上述取得之回答 况,執行再詢問以便於紐冰不法f τ 3有矛盾之回答的情 上述記憶機構中;以2彳、 ,且將上述回答群收容於 顯=驟’於上述取得之回答群中 定回職務内容賦予上述回答=的: 方::r策,=有ϊ上^ 方法及方針; ®瓶之貝矾保全的思考 團體級政策,用、、 系統的具體基$;以=述實現上述執行級政策之資訊保全 產品級政策,記述根 行々述執行級政策之方針的機:體級政策的基準’用以執 上述團體級:專策,广記圍述第」4項之保全政策構建方法,其中 準’且記述構成上述圓體^體全體之資訊保全系統的基 基準。 图體之資訊保全系統的各單元的每一 第88頁 C: \2D-CODE\90-08\90]13015.ptd 1226024 六、申請專利範圍 1 6 ·如申請專利範圍第1 4項之保全政策構建方法,其中 上述產品級政策係包含有下述2種類的產品級政策: 第1級,以自然語言記述構成資訊保全系統的各構成裝 置的設定;以及 第2級,以特定商品之特定語言記述構成資訊保全系統 的各構成裝置的設定。 1 7.如申請專利範圍第1 1項之保全政策構建方法,其中 包括分析步驟,用以調查與團體實際形態的差異, 上述分析步驟更包含有下述步驟中之至少一項步驟: 矛盾檢查步驟,用以檢查是否於上述取得之回答群中含 有矛盾之回答; 第1差異檢測步驟,比較藉由上述回答群假想性地假設 的資訊系統與上述保全政策且檢查其差異;以及 第2差異檢測步驟,利用實際之資訊系統的調查來校正 ’ 藉由上述回答群假想性地假設的資訊系統,且比較該校正 · 的資訊系統與上述保全政策的草案且檢查其差異。 1 8.如申請專利範圍第1 7項之保全政策構建方法,其中 包括對策步驟,用以同時建立上述調查之差異的對策與該 對策的優先度。 1 9. 一種保全政策構建裝置,其係用以構建上述保全政 策者,其特徵為: 包括詢問生成機構,用以生成專對團體所屬之會員的詢 問; 記憶機構,用以保管對上述生成之詢問而作的回答;
C:\2D-CODE\90-08\90113015.ptd 第 89 頁 1226024 申請專利範圍 回答保管機構, ^ 合,且將該回答保=取付對上述生成之詢問而作的回 構建機構,根攄/上述記憶機構中;以及 保全政策。 官於上述記憶機構之上述回答來構建 上::門申範圍第19項之保全政策構建裝置立 於上、十、、“成機構係根據被詢問者之職務内:央士、、中 万、上述被詢問者之詢問。 π才力内合來生成專用 上2十1 ·如/請專利範圍第1 9項之保全政策構建 上述回答保管機構, 朿構建1置,其中 者之相同的回夂,並將兮=从I之回答群中統合被詢問 保管於上述記;機;Γ 作為單一被詢問者的回答』 或,於上述取得之回答群中含 行再詢問以便於解決矛盾點,且 二答況,執 記憶機構中; I 口合群收容於上述 或,於上述取得之回答群中含有矛盾之回欠6 按照被詢問者的職務内容賦予上述回欠二、月况,藉 回答且顯示推定之回答。 η加核,進而推定 2 2 ·如申請專利範圍第】9項之 上述構建機構係用以構建下述3級之保全政裝置,其中 方以策,用以記述有關上述團體之資訊保全的思考 團體級政策,用以記述實現上述執〃次 系統的具體基準;以及 朿之貢01保全· 產品級政策’記述根據上述圓體級政策的基準,用以執 C:\2D-CODE\90-08\90JJ30J5.ptd 第90頁 1226024 六、申請專利範圍 者之回答的情況,用以統合上述以前之回答與上述取得之 回答,並將該統合後之回答作為單一被詢問者的回答而保 管於記憶機構中。 2 8.如申請專利範圍第2 5項之評價方法,其中上述保全 狀況的評價係包含有以下作業: 上述團體之保全的評價; 上述團體之產業領域所包括之其他團體之保全的評價的 平均值;以及 屬於上述團體之產業領域所包括之團體之可判斷允許達 成之保全的評價的最高值。 2 9.如申請專利範圍第2 5項之評價方法,其中上述保全 狀況的評價係包含有關以下之各項目: 對保全的理解與態度; 上述團體的保全體制; 意外事態之對應; 有關保全之預算化;以及 保全改善措施。 3 0. —種評價裝置,其係用以評價團體之保全狀況者, 其特徵為包含有: 輸出機構,用以輸出專對團體所屬之會員的詢問; 記憶機構,用以保管對上述輸出之詢問而作的回答; 回答保管機構,用以取得對上述輸出之詢問而作的回 答,且保管於上述記憶機構中;以及 保全完成度作成機構: ,根據上述保管之回答,作成顯示 IH III 1^· C:\2D-CODE\90-08\90113015.ptd 第 92 頁 1226024 六、申請專利範圍 圑體之保全完成度的保全完成度報告書。 3 1.如申請專利範圍第3 0項之評價裝置,其中上述回答 保管機構係於上述取得之回答為以前有獲得回答之被詢問 者之回答的情況,用以·統合上述以前之回答與上述取得之 回答,並將該統合後之回答作為單一被詢問者的回答而保 管於上述記憶機構中。 3 2.如申請專利範圍第3 0項之評價裝置,其中上述保全 完成度報告書係包含有: 上述團體之保全的完成度; 屬於上述團體之產業領域所包括之其他團體之保全的完 成度的平均值;以及 屬於上述圑體之產業領域所包括之團體之可判斷允許達 成之保全的完成度的最高值。 3 3.如申請專利範圍第3 0項之評價裝置,其中上述保全 完成度報告書係包含有關以下之各項目: 對保全的理解與態度; 團體的保全體制; 意外事態之對應; 有關保全之預算化 保全改善措施。 3 4 . —種分析裝置, # 以及 其係用以分析保全政策與團體資訊 系統的差異者,其特徵為包含有: 矛盾檢查機構,用以檢查藉對團體之會員所作詢問而獲 得之回答群中含有之每一回答間是否有矛盾存在;以及
C:\2D-CODE\90-08\90113015.ptcl 第93頁 1226024 六、申請專利範圍 矛盾輸出機構,用以輸出上述檢查之與矛盾有關的資 訊。 3 5.如申請專利範圍第34項之分析裝置,其更包含有: 指摘機構,用以指摘上述回答群中之矛盾點; 構建機構,根據對指摘機構所指摘之矛盾點已作解決的 回答群,假想地來構建團體資訊系統的結構;以及 差異輸出機構,用以比較上述假想地構建而成的資訊系 統的結構與保全政策,且將兩者之差異輸出。 3 6.如申請專利範圍第3 5項之分析裝置,其更包含有·· 實際系統輸入機構,用以調查上述團體之資訊系統,且輸 入上述貢訊糸統的結構中,以及 差異輸出機構,用以校正上述假想構成之資訊系統,並 比較校正後之上述假想構建而成的資訊系統的結構與保全 政策,且將兩者之差異輸出。 3 7.如申請專利範圍第2項之保全政策構建方法,其中上 述生成步驟係根據上述團體的產業種類來生成上述詢問。 3 8.如申請專利範圍第1 1項之保全政策構建方法,其中 上述詢問生成步驟係根據上述團體的產業種類來生成用於 被詢問者的詢問。 3 9.如申請專利範圍第1 9項之保全政策構建裝置,其中 上述詢問生成步驟係根據上述團體的產業種類來生成用於 被詢問者的詢問。 4 0.如申請專利範圍第2項之保全政策構建方法,其中上 述構建步驟係根據專用於特定產業種類的勸告或規定項目 η C:\2D-CODE\90-08\90113015.ptcl 第94頁 1226024 t、申請專利範圍 來構建保全政策。 4 1 .如申請專利範圍第1 1項之保全政策構建方法,其中 上述構建步驟係根據專用於特定產業種類的勸告或規定項 目來構建保全政策。 4 2.如申請專利範圍第1 9項之保全政策構建裝置,其中 上述構建機構係根據專用於特定產業種類的勸告或規定項 目來構建保全政策。 4 3.如申請專利範圍第2項之保全政策構建方法,其中上 述構建步驟係根據利用者指示之1種類或多種類的全球基 準的項目,來構建保全政策。 4 4.如申請專利範圍第4 3項之保全政策構建方法,其中 上述生成步驟係根據利用者指示之1種類或多種類的全球 基準的項目,來生成上述詢問。 4 5.如申請專利範圍第1 1項之保全政策構建方法,其中 上述構建步驟係根據利用者指示之1種類或多種類的全球 基準的項目,來構建保全政策。 4 6 .如申請專利範圍第4 5項之保全政策構建方法,其中 上述生成步驟係根據利用者指示之1種類或多種類的全球 基準的項目,來生成上述詢問。 4 7.如申請專利範圍第1 9項之保全政策構建裝置,其中 上述構建機構係根據利用者指示之1種類或多種類的全球 基準的項目,來構建保全政策。 4 8.如申請專利範圍第4 7項之保全政策構建裝置,其中 上述詢問生成機構係根據利用者指示之1種類或多種類的 iiiii mm C:\2D-CODE\90-08\90113015.ptcl 第95頁 1226024 ' 六、申請專利範圍 保全政策者,复 生成機構,用,為包含有: 詢問係有關為=成專對團體所屬之會員的,句門 項;"了構建上述團體之保全政而句問’而該 束而有必要的事 記憶機構,田、, 答回J保管機構,問而作的回答; 、建“回ί =:上述記憶機構中作的回 保::策, “於上述記憶機構之上述回答來構建 的保全政i迷構建機構係用來構建利用者指示之構建範圍 6 0 ·如申含杳奎 的s旬問。 關利用者指示之構建範圍 6 1 · —種電腦綠 腦執行下述操作;;取的之程^ 問成專對團體所屬之會員㈣ 的事項’ 趙之保全政策而所必要 回m;作步驟’用以取得對上述生成… 構建ϊ回答收容於記憶機構中;以&而作的 呆乍V驟,根據保管 來構建保全政策。 攻5己憶機構中之上述回答 62.如申請專利範圍第“項之電腦 __ 取之圮錄媒體, 第98頁 1226024 六、申請專利範圍 其中上述詢問生成操作步驟係根據被詢問者之職務内容來 生成專用於上述被詢問者之詢問。 6 3.如申請專利範圍第6 1項之電腦可讀取之記錄媒體, 其中上述回答保管操作步驟,係於上述輸入之回答群中統 合被詢問者之相同的回答,並將該回答作為單一被詢問者 的回答而保管於上述記憶機構中; 或,於上述輸入之回答群中含有矛盾之回答的情況,藉 由按照被詢問者的職務内容賦予上述回答加權,進而推定 最終之回答且顯示該推定之回答。 6 4.如申請專利範圍第6 1項之電腦可讀取之記錄媒體, 其中上述詢問生成操作步驟係根據上述團體之產業種類來 生成專用於上述被詢問者之詢問。 6 5.如申請專利範圍第6 1項之電腦可讀取之記錄媒體, 其中上述構建操作步驟係根據利用者指示之1種類或多種 類的全球基準的項目,來構建保全政策。 6 6.如申請專利範圍第6 1項之電腦可讀取之記錄媒體, 其中上述詢問生成操作步驟係根據利用者指示之保全政策 之強度指標,來生成上述詢問。 6 7.如申請專利範圍第6 1項之電腦可讀取之記錄媒體, 其中上述構建操作步驟係構建利用者指示之構建範圍内之 保全政策。 6 8. —種電腦可讀取之記錄媒體,其係記錄有用以使電 腦執行下述操作步驟的程式: 詢問輸出操作步驟,用以輸出專對團體所屬之會員的詢
C:\2D-CODE\90-08\90113015.ptd 第99頁 1226024 六、申請專利範圍 問,而該詢問係有關為了評價上述團體保全之完成度而有 必要的事項; 回答保管操作步驟,用以取得對上述輸出之詢問而作的 回答,且保管於記憶機構中;以及 保全完成度作成操作步驟,係根據上述保管於上述記憶 機構中之上述回答,作成顯示上述團體之保全完成度的保 全完成度報告書。 6 9.如申請專利範圍第6 8項之電腦可讀取之記錄媒體, 其中上述詢問生成操作步驟係根據被詢問者之職務内容, 來生成用於上述被詢問者的詢問。 7 0. —種電腦可讀取之記錄媒體,其係記錄有用以使電 腦執行下述操作步驟的程式: 矛盾檢查操作步驟,用以檢查藉對團體之會員所作詢問 而獲得之回答群中含有之每一回答間是否有矛盾的存在, 該詢問係有關為了知道與上述團體之資訊系統的差異而所 必要的事項;以及 矛盾輸出操作步驟,用以輸出上述檢查之關於矛盾的資 訊。 7 1.如申請專利範圍第7 0項之電腦可讀取之記錄媒體, 其中該記錄媒體係記錄有用以使電腦執行下述操作步驟的 程式: 矛盾點指摘操作步驟,根據上述矛盾之相關資訊,指摘 上述回答群中的矛盾點; 構建操作步驟,根據解決上述指摘之矛盾點的回答群,
C:\2D-⑴DE\90-08\90】]3015·pld 第100頁
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000164819 | 2000-06-01 | ||
| JP2001132177A JP2002056176A (ja) | 2000-06-01 | 2001-04-27 | セキュリティポリシー構築方法及び装置並びにセキュリティポリシー構築を支援する方法及び装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| TWI226024B true TWI226024B (en) | 2005-01-01 |
Family
ID=26593172
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW090113015A TWI226024B (en) | 2000-06-01 | 2001-05-30 | Method of establishing a security policy, and apparatus for supporting establishment of security policy |
Country Status (5)
| Country | Link |
|---|---|
| US (2) | US7260830B2 (zh) |
| EP (1) | EP1160645A3 (zh) |
| JP (1) | JP2002056176A (zh) |
| SG (1) | SG103291A1 (zh) |
| TW (1) | TWI226024B (zh) |
Families Citing this family (300)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040073617A1 (en) | 2000-06-19 | 2004-04-15 | Milliken Walter Clark | Hash-based systems and methods for detecting and preventing transmission of unwanted e-mail |
| US7350204B2 (en) * | 2000-07-24 | 2008-03-25 | Microsoft Corporation | Policies for secure software execution |
| WO2002029527A2 (en) * | 2000-09-21 | 2002-04-11 | Veriscan Security Ab | Security rating method |
| AU2002244083A1 (en) * | 2001-01-31 | 2002-08-12 | Timothy David Dodd | Method and system for calculating risk in association with a security audit of a computer network |
| US7882555B2 (en) | 2001-03-16 | 2011-02-01 | Kavado, Inc. | Application layer security method and system |
| US7958027B2 (en) | 2001-03-20 | 2011-06-07 | Goldman, Sachs & Co. | Systems and methods for managing risk associated with a geo-political area |
| US8121937B2 (en) | 2001-03-20 | 2012-02-21 | Goldman Sachs & Co. | Gaming industry risk management clearinghouse |
| US7287280B2 (en) * | 2002-02-12 | 2007-10-23 | Goldman Sachs & Co. | Automated security management |
| US8069105B2 (en) | 2001-03-20 | 2011-11-29 | Goldman Sachs & Co. | Hedge fund risk management |
| US7899722B1 (en) | 2001-03-20 | 2011-03-01 | Goldman Sachs & Co. | Correspondent bank registry |
| US8140415B2 (en) * | 2001-03-20 | 2012-03-20 | Goldman Sachs & Co. | Automated global risk management |
| US8209246B2 (en) | 2001-03-20 | 2012-06-26 | Goldman, Sachs & Co. | Proprietary risk management clearinghouse |
| US20030065942A1 (en) * | 2001-09-28 | 2003-04-03 | Lineman David J. | Method and apparatus for actively managing security policies for users and computers in a network |
| JP2003150748A (ja) * | 2001-11-09 | 2003-05-23 | Asgent Inc | リスク評価方法 |
| US20050166259A1 (en) * | 2002-01-10 | 2005-07-28 | Neupart Aps | Information security awareness system |
| US7543056B2 (en) | 2002-01-15 | 2009-06-02 | Mcafee, Inc. | System and method for network vulnerability detection and reporting |
| US7257630B2 (en) | 2002-01-15 | 2007-08-14 | Mcafee, Inc. | System and method for network vulnerability detection and reporting |
| US7870203B2 (en) * | 2002-03-08 | 2011-01-11 | Mcafee, Inc. | Methods and systems for exposing messaging reputation to an end user |
| US7693947B2 (en) | 2002-03-08 | 2010-04-06 | Mcafee, Inc. | Systems and methods for graphically displaying messaging traffic |
| US8578480B2 (en) | 2002-03-08 | 2013-11-05 | Mcafee, Inc. | Systems and methods for identifying potentially malicious messages |
| US7694128B2 (en) | 2002-03-08 | 2010-04-06 | Mcafee, Inc. | Systems and methods for secure communication delivery |
| US8561167B2 (en) | 2002-03-08 | 2013-10-15 | Mcafee, Inc. | Web reputation scoring |
| US20060015942A1 (en) | 2002-03-08 | 2006-01-19 | Ciphertrust, Inc. | Systems and methods for classification of messaging entities |
| US7903549B2 (en) | 2002-03-08 | 2011-03-08 | Secure Computing Corporation | Content-based policy compliance systems and methods |
| US8132250B2 (en) | 2002-03-08 | 2012-03-06 | Mcafee, Inc. | Message profiling systems and methods |
| US7124438B2 (en) | 2002-03-08 | 2006-10-17 | Ciphertrust, Inc. | Systems and methods for anomaly detection in patterns of monitored communications |
| US7096498B2 (en) | 2002-03-08 | 2006-08-22 | Cipher Trust, Inc. | Systems and methods for message threat management |
| IL149583A0 (en) * | 2002-05-09 | 2003-07-06 | Kavado Israel Ltd | Method for automatic setting and updating of a security policy |
| US7930753B2 (en) * | 2002-07-01 | 2011-04-19 | First Data Corporation | Methods and systems for performing security risk assessments of internet merchant entities |
| US7207067B2 (en) | 2002-11-12 | 2007-04-17 | Aol Llc | Enforcing data protection legislation in Web data services |
| US7624422B2 (en) | 2003-02-14 | 2009-11-24 | Preventsys, Inc. | System and method for security information normalization |
| US7627891B2 (en) * | 2003-02-14 | 2009-12-01 | Preventsys, Inc. | Network audit and policy assurance system |
| US8201256B2 (en) * | 2003-03-28 | 2012-06-12 | Trustwave Holdings, Inc. | Methods and systems for assessing and advising on electronic compliance |
| US7966663B2 (en) * | 2003-05-20 | 2011-06-21 | United States Postal Service | Methods and systems for determining privacy requirements for an information resource |
| US8046819B2 (en) * | 2003-05-20 | 2011-10-25 | United States Postal Service | Methods and systems for determining security requirements for an information resource |
| US8015604B1 (en) * | 2003-10-10 | 2011-09-06 | Arcsight Inc | Hierarchical architecture in a network security system |
| US9027120B1 (en) | 2003-10-10 | 2015-05-05 | Hewlett-Packard Development Company, L.P. | Hierarchical architecture in a network security system |
| JP4504706B2 (ja) * | 2004-03-09 | 2010-07-14 | 株式会社日立製作所 | 統合システムセキュリティ設計方法及びそのプログラム |
| US8201257B1 (en) | 2004-03-31 | 2012-06-12 | Mcafee, Inc. | System and method of managing network security risks |
| US20050268326A1 (en) * | 2004-05-04 | 2005-12-01 | Microsoft Corporation | Checking the security of web services configurations |
| US7827294B2 (en) | 2004-05-06 | 2010-11-02 | American Express Travel Related Services Company, Inc. | System and method for dynamic security provisioning of computing resources |
| US8266670B1 (en) * | 2004-05-06 | 2012-09-11 | American Express Travel Related Services Company, Inc. | System and method for dynamic security provisioning of data resources |
| US7484237B2 (en) * | 2004-05-13 | 2009-01-27 | Hewlett-Packard Development Company, L.P. | Method and apparatus for role-based security policy management |
| US7908339B2 (en) | 2004-06-03 | 2011-03-15 | Maxsp Corporation | Transaction based virtual file system optimized for high-latency network connections |
| US8812613B2 (en) | 2004-06-03 | 2014-08-19 | Maxsp Corporation | Virtual application manager |
| US9357031B2 (en) | 2004-06-03 | 2016-05-31 | Microsoft Technology Licensing, Llc | Applications as a service |
| US8442953B2 (en) | 2004-07-02 | 2013-05-14 | Goldman, Sachs & Co. | Method, system, apparatus, program code and means for determining a redundancy of information |
| US8996481B2 (en) | 2004-07-02 | 2015-03-31 | Goldman, Sach & Co. | Method, system, apparatus, program code and means for identifying and extracting information |
| US8762191B2 (en) | 2004-07-02 | 2014-06-24 | Goldman, Sachs & Co. | Systems, methods, apparatus, and schema for storing, managing and retrieving information |
| US8510300B2 (en) | 2004-07-02 | 2013-08-13 | Goldman, Sachs & Co. | Systems and methods for managing information associated with legal, compliance and regulatory risk |
| US7664834B2 (en) * | 2004-07-09 | 2010-02-16 | Maxsp Corporation | Distributed operating system management |
| US7703123B2 (en) * | 2004-08-09 | 2010-04-20 | Hewlett-Packard Development Company, L.P. | Method and system for security control in an organization |
| US8234686B2 (en) * | 2004-08-25 | 2012-07-31 | Harris Corporation | System and method for creating a security application for programmable cryptography module |
| US8635690B2 (en) | 2004-11-05 | 2014-01-21 | Mcafee, Inc. | Reputation based message processing |
| US8589323B2 (en) | 2005-03-04 | 2013-11-19 | Maxsp Corporation | Computer hardware and software diagnostic and report system incorporating an expert system and agents |
| US8234238B2 (en) * | 2005-03-04 | 2012-07-31 | Maxsp Corporation | Computer hardware and software diagnostic and report system |
| US7512584B2 (en) | 2005-03-04 | 2009-03-31 | Maxsp Corporation | Computer hardware and software diagnostic and report system |
| US7624086B2 (en) | 2005-03-04 | 2009-11-24 | Maxsp Corporation | Pre-install compliance system |
| US7937480B2 (en) | 2005-06-02 | 2011-05-03 | Mcafee, Inc. | Aggregation of reputation data |
| US7752205B2 (en) * | 2005-09-26 | 2010-07-06 | Bea Systems, Inc. | Method and system for interacting with a virtual content repository |
| US7953734B2 (en) * | 2005-09-26 | 2011-05-31 | Oracle International Corporation | System and method for providing SPI extensions for content management system |
| US8499330B1 (en) * | 2005-11-15 | 2013-07-30 | At&T Intellectual Property Ii, L.P. | Enterprise desktop security management and compliance verification system and method |
| US7725325B2 (en) * | 2006-01-18 | 2010-05-25 | International Business Machines Corporation | System, computer program product and method of correlating safety solutions with business climate |
| US20070180522A1 (en) * | 2006-01-30 | 2007-08-02 | Bagnall Robert J | Security system and method including individual applications |
| US7930727B1 (en) * | 2006-03-30 | 2011-04-19 | Emc Corporation | System and method for measuring and enforcing security policy compliance for software during the development process of the software |
| US8811396B2 (en) * | 2006-05-24 | 2014-08-19 | Maxsp Corporation | System for and method of securing a network utilizing credentials |
| US8898319B2 (en) | 2006-05-24 | 2014-11-25 | Maxsp Corporation | Applications and services as a bundle |
| JP4938367B2 (ja) * | 2006-06-30 | 2012-05-23 | 株式会社内田洋行 | セキュリティ診断システム |
| US20080034402A1 (en) * | 2006-08-07 | 2008-02-07 | International Business Machines Corporation | Methods, systems, and computer program products for implementing policy-based security control functions |
| US20080071716A1 (en) * | 2006-08-31 | 2008-03-20 | Kay Schwendimann Anderson | Apparatus and method of planning through generation of multiple efficient plans |
| US9317506B2 (en) * | 2006-09-22 | 2016-04-19 | Microsoft Technology Licensing, Llc | Accelerated data transfer using common prior data segments |
| US20080077622A1 (en) * | 2006-09-22 | 2008-03-27 | Keith Robert O | Method of and apparatus for managing data utilizing configurable policies and schedules |
| US7840514B2 (en) * | 2006-09-22 | 2010-11-23 | Maxsp Corporation | Secure virtual private network utilizing a diagnostics policy and diagnostics engine to establish a secure network connection |
| JP5015538B2 (ja) * | 2006-09-27 | 2012-08-29 | 株式会社 ドキュメントハウス | 企業リスク評価システム及び企業リスク感度評価システム |
| US8423821B1 (en) | 2006-12-21 | 2013-04-16 | Maxsp Corporation | Virtual recovery server |
| US7844686B1 (en) | 2006-12-21 | 2010-11-30 | Maxsp Corporation | Warm standby appliance |
| US8179798B2 (en) | 2007-01-24 | 2012-05-15 | Mcafee, Inc. | Reputation based connection throttling |
| US8214497B2 (en) | 2007-01-24 | 2012-07-03 | Mcafee, Inc. | Multi-dimensional reputation scoring |
| US7949716B2 (en) | 2007-01-24 | 2011-05-24 | Mcafee, Inc. | Correlation and analysis of entity attributes |
| US8763114B2 (en) | 2007-01-24 | 2014-06-24 | Mcafee, Inc. | Detecting image spam |
| US7779156B2 (en) | 2007-01-24 | 2010-08-17 | Mcafee, Inc. | Reputation based load balancing |
| US8732800B1 (en) * | 2007-03-26 | 2014-05-20 | Jerry Askew | Systems and methods for centralized management of policies and access controls |
| US7945941B2 (en) * | 2007-06-01 | 2011-05-17 | Cisco Technology, Inc. | Flexible access control policy enforcement |
| US8474022B2 (en) * | 2007-06-15 | 2013-06-25 | Microsoft Corporation | Self-service credential management |
| US20090076969A1 (en) * | 2007-09-19 | 2009-03-19 | Collier Sparks | System and method for deployment and financing of a security system |
| US20090076879A1 (en) * | 2007-09-19 | 2009-03-19 | Collier Sparks | System and method for deployment and financing of a security system |
| US8175418B1 (en) | 2007-10-26 | 2012-05-08 | Maxsp Corporation | Method of and system for enhanced data storage |
| US8645515B2 (en) | 2007-10-26 | 2014-02-04 | Maxsp Corporation | Environment manager |
| US8307239B1 (en) | 2007-10-26 | 2012-11-06 | Maxsp Corporation | Disaster recovery appliance |
| US8185930B2 (en) | 2007-11-06 | 2012-05-22 | Mcafee, Inc. | Adjusting filter or classification control settings |
| US8045458B2 (en) | 2007-11-08 | 2011-10-25 | Mcafee, Inc. | Prioritizing network traffic |
| US8296820B2 (en) * | 2008-01-18 | 2012-10-23 | International Business Machines Corporation | Applying security policies to multiple systems and controlling policy propagation |
| US8160975B2 (en) | 2008-01-25 | 2012-04-17 | Mcafee, Inc. | Granular support vector machine with random granularity |
| US20090222292A1 (en) * | 2008-02-28 | 2009-09-03 | Maor Goldberg | Method and system for multiple sub-systems meta security policy |
| US8839345B2 (en) * | 2008-03-17 | 2014-09-16 | International Business Machines Corporation | Method for discovering a security policy |
| US8589503B2 (en) | 2008-04-04 | 2013-11-19 | Mcafee, Inc. | Prioritizing network traffic |
| JP4384252B1 (ja) * | 2009-03-12 | 2009-12-16 | 三菱電機インフォメーションシステムズ株式会社 | セキュリティ評価装置及びセキュリティ評価方法及びセキュリティ評価プログラム |
| JP5405885B2 (ja) * | 2009-04-24 | 2014-02-05 | 株式会社野村総合研究所 | 業務改革支援方法および業務改革支援システム |
| US8489685B2 (en) | 2009-07-17 | 2013-07-16 | Aryaka Networks, Inc. | Application acceleration as a service system and method |
| US8868728B2 (en) * | 2010-03-11 | 2014-10-21 | Accenture Global Services Limited | Systems and methods for detecting and investigating insider fraud |
| US8621638B2 (en) | 2010-05-14 | 2013-12-31 | Mcafee, Inc. | Systems and methods for classification of messaging entities |
| US20120060163A1 (en) * | 2010-09-07 | 2012-03-08 | Nadeem Khan | Methods and apparatus associated with dynamic access control based on a task/trouble ticket |
| US9122877B2 (en) | 2011-03-21 | 2015-09-01 | Mcafee, Inc. | System and method for malware and network reputation correlation |
| US9426169B2 (en) | 2012-02-29 | 2016-08-23 | Cytegic Ltd. | System and method for cyber attacks analysis and decision support |
| US8931043B2 (en) | 2012-04-10 | 2015-01-06 | Mcafee Inc. | System and method for determining and using local reputations of users and hosts to protect information in a network environment |
| JP5138826B2 (ja) * | 2012-05-10 | 2013-02-06 | 株式会社 ドキュメントハウス | 企業リスク感度評価システム |
| US9038130B2 (en) | 2013-05-14 | 2015-05-19 | Dell Products, L.P. | Sensor aware security policies with embedded controller hardened enforcement |
| US9697467B2 (en) | 2014-05-21 | 2017-07-04 | International Business Machines Corporation | Goal-driven composition with preferences method and system |
| US9785755B2 (en) | 2014-05-21 | 2017-10-10 | International Business Machines Corporation | Predictive hypothesis exploration using planning |
| US9729583B1 (en) | 2016-06-10 | 2017-08-08 | OneTrust, LLC | Data processing systems and methods for performing privacy assessments and monitoring of new versions of computer code for privacy compliance |
| US9851966B1 (en) | 2016-06-10 | 2017-12-26 | OneTrust, LLC | Data processing systems and communications systems and methods for integrating privacy compliance systems with software development and agile tools for privacy design |
| US10181051B2 (en) | 2016-06-10 | 2019-01-15 | OneTrust, LLC | Data processing systems for generating and populating a data inventory for processing data access requests |
| US10289867B2 (en) | 2014-07-27 | 2019-05-14 | OneTrust, LLC | Data processing systems for webform crawling to map processing activities and related methods |
| US10019597B2 (en) | 2016-06-10 | 2018-07-10 | OneTrust, LLC | Data processing systems and communications systems and methods for integrating privacy compliance systems with software development and agile tools for privacy design |
| US9386033B1 (en) | 2014-09-10 | 2016-07-05 | Amazon Technologies, Inc. | Security recommendation engine |
| US10296750B1 (en) | 2014-09-10 | 2019-05-21 | Amazon Technologies, Inc. | Robust data tagging |
| US9740978B2 (en) | 2014-10-28 | 2017-08-22 | International Business Machines Corporation | Producing clustered top-k plans |
| US10044758B2 (en) | 2015-10-15 | 2018-08-07 | International Business Machines Corporation | Secure policy audit in shared enforcement environment |
| US10474665B2 (en) * | 2016-02-10 | 2019-11-12 | Tata Consultancy Services Limited | Systems and methods for generating blueprints for enterprises |
| US10176503B2 (en) | 2016-04-01 | 2019-01-08 | OneTrust, LLC | Data processing systems and methods for efficiently assessing the risk of privacy campaigns |
| US10706447B2 (en) | 2016-04-01 | 2020-07-07 | OneTrust, LLC | Data processing systems and communication systems and methods for the efficient generation of privacy risk assessments |
| US9892444B2 (en) | 2016-04-01 | 2018-02-13 | OneTrust, LLC | Data processing systems and communication systems and methods for the efficient generation of privacy risk assessments |
| US9898769B2 (en) | 2016-04-01 | 2018-02-20 | OneTrust, LLC | Data processing systems and methods for operationalizing privacy compliance via integrated mobile applications |
| US20220164840A1 (en) | 2016-04-01 | 2022-05-26 | OneTrust, LLC | Data processing systems and methods for integrating privacy information management systems with data loss prevention tools or other tools for privacy design |
| US9892443B2 (en) | 2016-04-01 | 2018-02-13 | OneTrust, LLC | Data processing systems for modifying privacy campaign data via electronic messaging systems |
| US11004125B2 (en) * | 2016-04-01 | 2021-05-11 | OneTrust, LLC | Data processing systems and methods for integrating privacy information management systems with data loss prevention tools or other tools for privacy design |
| US9892442B2 (en) | 2016-04-01 | 2018-02-13 | OneTrust, LLC | Data processing systems and methods for efficiently assessing the risk of privacy campaigns |
| US9892441B2 (en) | 2016-04-01 | 2018-02-13 | OneTrust, LLC | Data processing systems and methods for operationalizing privacy compliance and assessing the risk of various respective privacy campaigns |
| US10026110B2 (en) | 2016-04-01 | 2018-07-17 | OneTrust, LLC | Data processing systems and methods for generating personal data inventories for organizations and other entities |
| US11244367B2 (en) * | 2016-04-01 | 2022-02-08 | OneTrust, LLC | Data processing systems and methods for integrating privacy information management systems with data loss prevention tools or other tools for privacy design |
| US10423996B2 (en) | 2016-04-01 | 2019-09-24 | OneTrust, LLC | Data processing systems and communication systems and methods for the efficient generation of privacy risk assessments |
| US10176502B2 (en) | 2016-04-01 | 2019-01-08 | OneTrust, LLC | Data processing systems and methods for integrating privacy information management systems with data loss prevention tools or other tools for privacy design |
| US10708305B2 (en) | 2016-06-10 | 2020-07-07 | OneTrust, LLC | Automated data processing systems and methods for automatically processing requests for privacy-related information |
| US10873606B2 (en) | 2016-06-10 | 2020-12-22 | OneTrust, LLC | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods |
| US11366909B2 (en) | 2016-06-10 | 2022-06-21 | OneTrust, LLC | Data processing and scanning systems for assessing vendor risk |
| US10289870B2 (en) | 2016-06-10 | 2019-05-14 | OneTrust, LLC | Data processing systems for fulfilling data subject access requests and related methods |
| US11625502B2 (en) | 2016-06-10 | 2023-04-11 | OneTrust, LLC | Data processing systems for identifying and modifying processes that are subject to data subject access requests |
| US10467432B2 (en) | 2016-06-10 | 2019-11-05 | OneTrust, LLC | Data processing systems for use in automatically generating, populating, and submitting data subject access requests |
| US11341447B2 (en) | 2016-06-10 | 2022-05-24 | OneTrust, LLC | Privacy management systems and methods |
| US11200341B2 (en) | 2016-06-10 | 2021-12-14 | OneTrust, LLC | Consent receipt management systems and related methods |
| US10565397B1 (en) | 2016-06-10 | 2020-02-18 | OneTrust, LLC | Data processing systems for fulfilling data subject access requests and related methods |
| US10032172B2 (en) | 2016-06-10 | 2018-07-24 | OneTrust, LLC | Data processing systems for measuring privacy maturity within an organization |
| US10102533B2 (en) | 2016-06-10 | 2018-10-16 | OneTrust, LLC | Data processing and communications systems and methods for the efficient implementation of privacy by design |
| US10706379B2 (en) | 2016-06-10 | 2020-07-07 | OneTrust, LLC | Data processing systems for automatic preparation for remediation and related methods |
| US11295316B2 (en) | 2016-06-10 | 2022-04-05 | OneTrust, LLC | Data processing systems for identity validation for consumer rights requests and related methods |
| US10592692B2 (en) | 2016-06-10 | 2020-03-17 | OneTrust, LLC | Data processing systems for central consent repository and related methods |
| US10706176B2 (en) | 2016-06-10 | 2020-07-07 | OneTrust, LLC | Data-processing consent refresh, re-prompt, and recapture systems and related methods |
| US11675929B2 (en) | 2016-06-10 | 2023-06-13 | OneTrust, LLC | Data processing consent sharing systems and related methods |
| US10776517B2 (en) | 2016-06-10 | 2020-09-15 | OneTrust, LLC | Data processing systems for calculating and communicating cost of fulfilling data subject access requests and related methods |
| US10896394B2 (en) | 2016-06-10 | 2021-01-19 | OneTrust, LLC | Privacy management systems and methods |
| US10503926B2 (en) | 2016-06-10 | 2019-12-10 | OneTrust, LLC | Consent receipt management systems and related methods |
| US10909488B2 (en) | 2016-06-10 | 2021-02-02 | OneTrust, LLC | Data processing systems for assessing readiness for responding to privacy-related incidents |
| US10740487B2 (en) | 2016-06-10 | 2020-08-11 | OneTrust, LLC | Data processing systems and methods for populating and maintaining a centralized database of personal data |
| US11343284B2 (en) | 2016-06-10 | 2022-05-24 | OneTrust, LLC | Data processing systems and methods for performing privacy assessments and monitoring of new versions of computer code for privacy compliance |
| US10346638B2 (en) | 2016-06-10 | 2019-07-09 | OneTrust, LLC | Data processing systems for identifying and modifying processes that are subject to data subject access requests |
| US11151233B2 (en) | 2016-06-10 | 2021-10-19 | OneTrust, LLC | Data processing and scanning systems for assessing vendor risk |
| US10685140B2 (en) | 2016-06-10 | 2020-06-16 | OneTrust, LLC | Consent receipt management systems and related methods |
| US11416590B2 (en) | 2016-06-10 | 2022-08-16 | OneTrust, LLC | Data processing and scanning systems for assessing vendor risk |
| US11481710B2 (en) | 2016-06-10 | 2022-10-25 | OneTrust, LLC | Privacy management systems and methods |
| US10416966B2 (en) | 2016-06-10 | 2019-09-17 | OneTrust, LLC | Data processing systems for identity validation of data subject access requests and related methods |
| US10592648B2 (en) | 2016-06-10 | 2020-03-17 | OneTrust, LLC | Consent receipt management systems and related methods |
| US11025675B2 (en) | 2016-06-10 | 2021-06-01 | OneTrust, LLC | Data processing systems and methods for performing privacy assessments and monitoring of new versions of computer code for privacy compliance |
| US10776518B2 (en) | 2016-06-10 | 2020-09-15 | OneTrust, LLC | Consent receipt management systems and related methods |
| US10181019B2 (en) | 2016-06-10 | 2019-01-15 | OneTrust, LLC | Data processing systems and communications systems and methods for integrating privacy compliance systems with software development and agile tools for privacy design |
| US10949170B2 (en) | 2016-06-10 | 2021-03-16 | OneTrust, LLC | Data processing systems for integration of consumer feedback with data subject access requests and related methods |
| US11354435B2 (en) | 2016-06-10 | 2022-06-07 | OneTrust, LLC | Data processing systems for data testing to confirm data deletion and related methods |
| US11438386B2 (en) | 2016-06-10 | 2022-09-06 | OneTrust, LLC | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods |
| US10318761B2 (en) | 2016-06-10 | 2019-06-11 | OneTrust, LLC | Data processing systems and methods for auditing data request compliance |
| US11544667B2 (en) | 2016-06-10 | 2023-01-03 | OneTrust, LLC | Data processing systems for generating and populating a data inventory |
| US11366786B2 (en) | 2016-06-10 | 2022-06-21 | OneTrust, LLC | Data processing systems for processing data subject access requests |
| US11336697B2 (en) | 2016-06-10 | 2022-05-17 | OneTrust, LLC | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods |
| US10204154B2 (en) | 2016-06-10 | 2019-02-12 | OneTrust, LLC | Data processing systems for generating and populating a data inventory |
| US10706131B2 (en) | 2016-06-10 | 2020-07-07 | OneTrust, LLC | Data processing systems and methods for efficiently assessing the risk of privacy campaigns |
| US11475136B2 (en) | 2016-06-10 | 2022-10-18 | OneTrust, LLC | Data processing systems for data transfer risk identification and related methods |
| US11416109B2 (en) | 2016-06-10 | 2022-08-16 | OneTrust, LLC | Automated data processing systems and methods for automatically processing data subject access requests using a chatbot |
| US10510031B2 (en) | 2016-06-10 | 2019-12-17 | OneTrust, LLC | Data processing systems for identifying, assessing, and remediating data processing risks using data modeling techniques |
| US10346637B2 (en) | 2016-06-10 | 2019-07-09 | OneTrust, LLC | Data processing systems for the identification and deletion of personal data in computer systems |
| US10565161B2 (en) | 2016-06-10 | 2020-02-18 | OneTrust, LLC | Data processing systems for processing data subject access requests |
| US11392720B2 (en) | 2016-06-10 | 2022-07-19 | OneTrust, LLC | Data processing systems for verification of consent and notice processing and related methods |
| US10846433B2 (en) | 2016-06-10 | 2020-11-24 | OneTrust, LLC | Data processing consent management systems and related methods |
| US11651104B2 (en) | 2016-06-10 | 2023-05-16 | OneTrust, LLC | Consent receipt management systems and related methods |
| US11328092B2 (en) | 2016-06-10 | 2022-05-10 | OneTrust, LLC | Data processing systems for processing and managing data subject access in a distributed environment |
| US10706174B2 (en) | 2016-06-10 | 2020-07-07 | OneTrust, LLC | Data processing systems for prioritizing data subject access requests for fulfillment and related methods |
| US10440062B2 (en) | 2016-06-10 | 2019-10-08 | OneTrust, LLC | Consent receipt management systems and related methods |
| US10282559B2 (en) | 2016-06-10 | 2019-05-07 | OneTrust, LLC | Data processing systems for identifying, assessing, and remediating data processing risks using data modeling techniques |
| US10997318B2 (en) | 2016-06-10 | 2021-05-04 | OneTrust, LLC | Data processing systems for generating and populating a data inventory for processing data access requests |
| US10242228B2 (en) | 2016-06-10 | 2019-03-26 | OneTrust, LLC | Data processing systems for measuring privacy maturity within an organization |
| US11651106B2 (en) | 2016-06-10 | 2023-05-16 | OneTrust, LLC | Data processing systems for fulfilling data subject access requests and related methods |
| US10726158B2 (en) | 2016-06-10 | 2020-07-28 | OneTrust, LLC | Consent receipt management and automated process blocking systems and related methods |
| US10607028B2 (en) | 2016-06-10 | 2020-03-31 | OneTrust, LLC | Data processing systems for data testing to confirm data deletion and related methods |
| US11138242B2 (en) | 2016-06-10 | 2021-10-05 | OneTrust, LLC | Data processing systems and methods for automatically detecting and documenting privacy-related aspects of computer software |
| US10496803B2 (en) | 2016-06-10 | 2019-12-03 | OneTrust, LLC | Data processing systems and methods for efficiently assessing the risk of privacy campaigns |
| US11227247B2 (en) | 2016-06-10 | 2022-01-18 | OneTrust, LLC | Data processing systems and methods for bundled privacy policies |
| US11277448B2 (en) | 2016-06-10 | 2022-03-15 | OneTrust, LLC | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods |
| US10878127B2 (en) | 2016-06-10 | 2020-12-29 | OneTrust, LLC | Data subject access request processing systems and related methods |
| US10796260B2 (en) | 2016-06-10 | 2020-10-06 | OneTrust, LLC | Privacy management systems and methods |
| US10769301B2 (en) | 2016-06-10 | 2020-09-08 | OneTrust, LLC | Data processing systems for webform crawling to map processing activities and related methods |
| US10803200B2 (en) | 2016-06-10 | 2020-10-13 | OneTrust, LLC | Data processing systems for processing and managing data subject access in a distributed environment |
| US11636171B2 (en) | 2016-06-10 | 2023-04-25 | OneTrust, LLC | Data processing user interface monitoring systems and related methods |
| US10713387B2 (en) | 2016-06-10 | 2020-07-14 | OneTrust, LLC | Consent conversion optimization systems and related methods |
| US10235534B2 (en) | 2016-06-10 | 2019-03-19 | OneTrust, LLC | Data processing systems for prioritizing data subject access requests for fulfillment and related methods |
| US11188615B2 (en) | 2016-06-10 | 2021-11-30 | OneTrust, LLC | Data processing consent capture systems and related methods |
| US10169609B1 (en) | 2016-06-10 | 2019-01-01 | OneTrust, LLC | Data processing systems for fulfilling data subject access requests and related methods |
| US10452866B2 (en) | 2016-06-10 | 2019-10-22 | OneTrust, LLC | Data processing systems for fulfilling data subject access requests and related methods |
| US10776514B2 (en) | 2016-06-10 | 2020-09-15 | OneTrust, LLC | Data processing systems for the identification and deletion of personal data in computer systems |
| US11238390B2 (en) | 2016-06-10 | 2022-02-01 | OneTrust, LLC | Privacy management systems and methods |
| US10614247B2 (en) | 2016-06-10 | 2020-04-07 | OneTrust, LLC | Data processing systems for automated classification of personal information from documents and related methods |
| US10944725B2 (en) | 2016-06-10 | 2021-03-09 | OneTrust, LLC | Data processing systems and methods for using a data model to select a target data asset in a data migration |
| US10565236B1 (en) | 2016-06-10 | 2020-02-18 | OneTrust, LLC | Data processing systems for generating and populating a data inventory |
| US10282700B2 (en) | 2016-06-10 | 2019-05-07 | OneTrust, LLC | Data processing systems for generating and populating a data inventory |
| US11586700B2 (en) | 2016-06-10 | 2023-02-21 | OneTrust, LLC | Data processing systems and methods for automatically blocking the use of tracking tools |
| US11727141B2 (en) | 2016-06-10 | 2023-08-15 | OneTrust, LLC | Data processing systems and methods for synching privacy-related user consent across multiple computing devices |
| US10585968B2 (en) | 2016-06-10 | 2020-03-10 | OneTrust, LLC | Data processing systems for fulfilling data subject access requests and related methods |
| US10848523B2 (en) | 2016-06-10 | 2020-11-24 | OneTrust, LLC | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods |
| US11562097B2 (en) | 2016-06-10 | 2023-01-24 | OneTrust, LLC | Data processing systems for central consent repository and related methods |
| US11222309B2 (en) | 2016-06-10 | 2022-01-11 | OneTrust, LLC | Data processing systems for generating and populating a data inventory |
| US11134086B2 (en) | 2016-06-10 | 2021-09-28 | OneTrust, LLC | Consent conversion optimization systems and related methods |
| US10452864B2 (en) | 2016-06-10 | 2019-10-22 | OneTrust, LLC | Data processing systems for webform crawling to map processing activities and related methods |
| US11418492B2 (en) | 2016-06-10 | 2022-08-16 | OneTrust, LLC | Data processing systems and methods for using a data model to select a target data asset in a data migration |
| US11222142B2 (en) | 2016-06-10 | 2022-01-11 | OneTrust, LLC | Data processing systems for validating authorization for personal data collection, storage, and processing |
| US10997315B2 (en) | 2016-06-10 | 2021-05-04 | OneTrust, LLC | Data processing systems for fulfilling data subject access requests and related methods |
| US11087260B2 (en) | 2016-06-10 | 2021-08-10 | OneTrust, LLC | Data processing systems and methods for customizing privacy training |
| US10437412B2 (en) | 2016-06-10 | 2019-10-08 | OneTrust, LLC | Consent receipt management systems and related methods |
| US11100444B2 (en) | 2016-06-10 | 2021-08-24 | OneTrust, LLC | Data processing systems and methods for providing training in a vendor procurement process |
| US11023842B2 (en) | 2016-06-10 | 2021-06-01 | OneTrust, LLC | Data processing systems and methods for bundled privacy policies |
| US10572686B2 (en) | 2016-06-10 | 2020-02-25 | OneTrust, LLC | Consent receipt management systems and related methods |
| US11138299B2 (en) | 2016-06-10 | 2021-10-05 | OneTrust, LLC | Data processing and scanning systems for assessing vendor risk |
| US10275614B2 (en) | 2016-06-10 | 2019-04-30 | OneTrust, LLC | Data processing systems for generating and populating a data inventory |
| US11294939B2 (en) | 2016-06-10 | 2022-04-05 | OneTrust, LLC | Data processing systems and methods for automatically detecting and documenting privacy-related aspects of computer software |
| US11057356B2 (en) | 2016-06-10 | 2021-07-06 | OneTrust, LLC | Automated data processing systems and methods for automatically processing data subject access requests using a chatbot |
| US11301796B2 (en) | 2016-06-10 | 2022-04-12 | OneTrust, LLC | Data processing systems and methods for customizing privacy training |
| US11210420B2 (en) | 2016-06-10 | 2021-12-28 | OneTrust, LLC | Data subject access request processing systems and related methods |
| US10798133B2 (en) | 2016-06-10 | 2020-10-06 | OneTrust, LLC | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods |
| US10885485B2 (en) | 2016-06-10 | 2021-01-05 | OneTrust, LLC | Privacy management systems and methods |
| US10783256B2 (en) | 2016-06-10 | 2020-09-22 | OneTrust, LLC | Data processing systems for data transfer risk identification and related methods |
| US11461500B2 (en) | 2016-06-10 | 2022-10-04 | OneTrust, LLC | Data processing systems for cookie compliance testing with website scanning and related methods |
| US10430740B2 (en) | 2016-06-10 | 2019-10-01 | One Trust, LLC | Data processing systems for calculating and communicating cost of fulfilling data subject access requests and related methods |
| US10282692B2 (en) | 2016-06-10 | 2019-05-07 | OneTrust, LLC | Data processing systems for identifying, assessing, and remediating data processing risks using data modeling techniques |
| US10642870B2 (en) | 2016-06-10 | 2020-05-05 | OneTrust, LLC | Data processing systems and methods for automatically detecting and documenting privacy-related aspects of computer software |
| US10839102B2 (en) | 2016-06-10 | 2020-11-17 | OneTrust, LLC | Data processing systems for identifying and modifying processes that are subject to data subject access requests |
| US10586075B2 (en) | 2016-06-10 | 2020-03-10 | OneTrust, LLC | Data processing systems for orphaned data identification and deletion and related methods |
| US11228620B2 (en) | 2016-06-10 | 2022-01-18 | OneTrust, LLC | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods |
| US11038925B2 (en) | 2016-06-10 | 2021-06-15 | OneTrust, LLC | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods |
| US10353674B2 (en) | 2016-06-10 | 2019-07-16 | OneTrust, LLC | Data processing and communications systems and methods for the efficient implementation of privacy by design |
| US10909265B2 (en) | 2016-06-10 | 2021-02-02 | OneTrust, LLC | Application privacy scanning systems and related methods |
| US11416589B2 (en) | 2016-06-10 | 2022-08-16 | OneTrust, LLC | Data processing and scanning systems for assessing vendor risk |
| US10289866B2 (en) | 2016-06-10 | 2019-05-14 | OneTrust, LLC | Data processing systems for fulfilling data subject access requests and related methods |
| US10509920B2 (en) | 2016-06-10 | 2019-12-17 | OneTrust, LLC | Data processing systems for processing data subject access requests |
| US10438017B2 (en) | 2016-06-10 | 2019-10-08 | OneTrust, LLC | Data processing systems for processing data subject access requests |
| US10353673B2 (en) | 2016-06-10 | 2019-07-16 | OneTrust, LLC | Data processing systems for integration of consumer feedback with data subject access requests and related methods |
| US11354434B2 (en) | 2016-06-10 | 2022-06-07 | OneTrust, LLC | Data processing systems for verification of consent and notice processing and related methods |
| US11222139B2 (en) | 2016-06-10 | 2022-01-11 | OneTrust, LLC | Data processing systems and methods for automatic discovery and assessment of mobile software development kits |
| US10509894B2 (en) | 2016-06-10 | 2019-12-17 | OneTrust, LLC | Data processing and scanning systems for assessing vendor risk |
| US11520928B2 (en) | 2016-06-10 | 2022-12-06 | OneTrust, LLC | Data processing systems for generating personal data receipts and related methods |
| US11416798B2 (en) | 2016-06-10 | 2022-08-16 | OneTrust, LLC | Data processing systems and methods for providing training in a vendor procurement process |
| US11144622B2 (en) | 2016-06-10 | 2021-10-12 | OneTrust, LLC | Privacy management systems and methods |
| US10454973B2 (en) | 2016-06-10 | 2019-10-22 | OneTrust, LLC | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods |
| US10853501B2 (en) | 2016-06-10 | 2020-12-01 | OneTrust, LLC | Data processing and scanning systems for assessing vendor risk |
| US11157600B2 (en) | 2016-06-10 | 2021-10-26 | OneTrust, LLC | Data processing and scanning systems for assessing vendor risk |
| US10762236B2 (en) | 2016-06-10 | 2020-09-01 | OneTrust, LLC | Data processing user interface monitoring systems and related methods |
| US10284604B2 (en) | 2016-06-10 | 2019-05-07 | OneTrust, LLC | Data processing and scanning systems for generating and populating a data inventory |
| US10606916B2 (en) | 2016-06-10 | 2020-03-31 | OneTrust, LLC | Data processing user interface monitoring systems and related methods |
| US10949565B2 (en) | 2016-06-10 | 2021-03-16 | OneTrust, LLC | Data processing systems for generating and populating a data inventory |
| US11188862B2 (en) | 2016-06-10 | 2021-11-30 | OneTrust, LLC | Privacy management systems and methods |
| US10496846B1 (en) | 2016-06-10 | 2019-12-03 | OneTrust, LLC | Data processing and communications systems and methods for the efficient implementation of privacy by design |
| US11074367B2 (en) | 2016-06-10 | 2021-07-27 | OneTrust, LLC | Data processing systems for identity validation for consumer rights requests and related methods |
| US11403377B2 (en) | 2016-06-10 | 2022-08-02 | OneTrust, LLC | Privacy management systems and methods |
| US10678945B2 (en) | 2016-06-10 | 2020-06-09 | OneTrust, LLC | Consent receipt management systems and related methods |
| US11146566B2 (en) | 2016-06-10 | 2021-10-12 | OneTrust, LLC | Data processing systems for fulfilling data subject access requests and related methods |
| US10810106B1 (en) * | 2017-03-28 | 2020-10-20 | Amazon Technologies, Inc. | Automated application security maturity modeling |
| US9858439B1 (en) | 2017-06-16 | 2018-01-02 | OneTrust, LLC | Data processing systems for identifying whether cookies contain personally identifying information |
| US10013577B1 (en) | 2017-06-16 | 2018-07-03 | OneTrust, LLC | Data processing systems for identifying whether cookies contain personally identifying information |
| US11431740B2 (en) * | 2018-01-02 | 2022-08-30 | Criterion Systems, Inc. | Methods and systems for providing an integrated assessment of risk management and maturity for an organizational cybersecurity/privacy program |
| US10104103B1 (en) | 2018-01-19 | 2018-10-16 | OneTrust, LLC | Data processing systems for tracking reputational risk via scanning and registry lookup |
| US10944794B2 (en) * | 2018-04-25 | 2021-03-09 | Dell Products L.P. | Real-time policy selection and deployment based on changes in context |
| US11425160B2 (en) * | 2018-06-20 | 2022-08-23 | OneTrust, LLC | Automated risk assessment module with real-time compliance monitoring |
| US10803202B2 (en) | 2018-09-07 | 2020-10-13 | OneTrust, LLC | Data processing systems for orphaned data identification and deletion and related methods |
| US11144675B2 (en) | 2018-09-07 | 2021-10-12 | OneTrust, LLC | Data processing systems and methods for automatically protecting sensitive data within privacy management systems |
| US11544409B2 (en) | 2018-09-07 | 2023-01-03 | OneTrust, LLC | Data processing systems and methods for automatically protecting sensitive data within privacy management systems |
| CN109447455A (zh) * | 2018-10-24 | 2019-03-08 | 海南新软软件有限公司 | 一种企业内部风控引擎搭建方法及装置 |
| JP7410687B2 (ja) * | 2019-10-25 | 2024-01-10 | 株式会社Jtbコミュニケーションデザイン | 組織変革支援システム、組織変革支援方法、及び組織変革支援プログラム |
| US11405426B2 (en) | 2019-11-04 | 2022-08-02 | Salesforce.Com, Inc. | Comparing network security specifications for a network to implement a network security policy for the network |
| US11797528B2 (en) | 2020-07-08 | 2023-10-24 | OneTrust, LLC | Systems and methods for targeted data discovery |
| US11444976B2 (en) | 2020-07-28 | 2022-09-13 | OneTrust, LLC | Systems and methods for automatically blocking the use of tracking tools |
| WO2022032072A1 (en) | 2020-08-06 | 2022-02-10 | OneTrust, LLC | Data processing systems and methods for automatically redacting unstructured data from a data subject access request |
| WO2022060860A1 (en) | 2020-09-15 | 2022-03-24 | OneTrust, LLC | Data processing systems and methods for detecting tools for the automatic blocking of consent requests |
| US11170334B1 (en) * | 2020-09-18 | 2021-11-09 | deepwatch, Inc. | Systems and methods for security operations maturity assessment |
| US11526624B2 (en) | 2020-09-21 | 2022-12-13 | OneTrust, LLC | Data processing systems and methods for automatically detecting target data transfers and target data processing |
| US11397819B2 (en) | 2020-11-06 | 2022-07-26 | OneTrust, LLC | Systems and methods for identifying data processing activities based on data discovery results |
| WO2022159901A1 (en) | 2021-01-25 | 2022-07-28 | OneTrust, LLC | Systems and methods for discovery, classification, and indexing of data in a native computing system |
| US11442906B2 (en) | 2021-02-04 | 2022-09-13 | OneTrust, LLC | Managing custom attributes for domain objects defined within microservices |
| EP4288889A1 (en) | 2021-02-08 | 2023-12-13 | OneTrust, LLC | Data processing systems and methods for anonymizing data samples in classification analysis |
| WO2022173912A1 (en) | 2021-02-10 | 2022-08-18 | OneTrust, LLC | Systems and methods for mitigating risks of third-party computing system functionality integration into a first-party computing system |
| US11775348B2 (en) | 2021-02-17 | 2023-10-03 | OneTrust, LLC | Managing custom workflows for domain objects defined within microservices |
| WO2022178219A1 (en) | 2021-02-18 | 2022-08-25 | OneTrust, LLC | Selective redaction of media content |
| US11533315B2 (en) | 2021-03-08 | 2022-12-20 | OneTrust, LLC | Data transfer discovery and analysis systems and related methods |
| US11562078B2 (en) | 2021-04-16 | 2023-01-24 | OneTrust, LLC | Assessing and managing computational risk involved with integrating third party computing functionality within a computing system |
| WO2023188092A1 (ja) * | 2022-03-30 | 2023-10-05 | 日本電気株式会社 | 情報処理装置、情報処理方法、及びコンピュータ読み取り可能な記録媒体 |
| CN114866285B (zh) * | 2022-04-07 | 2023-10-27 | 水利部信息中心 | 一种统一指挥的漏洞全生命周期自动化智能系统 |
| US11620142B1 (en) | 2022-06-03 | 2023-04-04 | OneTrust, LLC | Generating and customizing user interfaces for demonstrating functions of interactive user environments |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5164988A (en) * | 1991-10-31 | 1992-11-17 | International Business Machines Corporation | Method to establish and enforce a network cryptographic security policy in a public key cryptosystem |
| JPH07141296A (ja) | 1993-11-15 | 1995-06-02 | Hitachi Ltd | オープンな分散環境におけるセキュリティ管理装置 |
| JPH07262135A (ja) | 1994-03-17 | 1995-10-13 | Hitachi Ltd | セキュリティ管理装置 |
| US6161101A (en) | 1994-12-08 | 2000-12-12 | Tech-Metrics International, Inc. | Computer-aided methods and apparatus for assessing an organization process or system |
| WO1998011477A2 (en) | 1996-08-29 | 1998-03-19 | Denis Fetherston | An automated maintenance system |
| US7143438B1 (en) | 1997-09-12 | 2006-11-28 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with multiple domain support |
| US6374358B1 (en) | 1998-08-05 | 2002-04-16 | Sun Microsystems, Inc. | Adaptive countermeasure selection method and apparatus |
| CA2296989C (en) | 1999-01-29 | 2005-10-25 | Lucent Technologies Inc. | A method and apparatus for managing a firewall |
| US6324647B1 (en) * | 1999-08-31 | 2001-11-27 | Michel K. Bowman-Amuah | System, method and article of manufacture for security management in a development architecture framework |
| JP3621324B2 (ja) | 2000-03-02 | 2005-02-16 | 日本電信電話株式会社 | 仮想プライベートネットワーク利用規定管理方法及びその装置 |
| JP2001273377A (ja) | 2000-03-24 | 2001-10-05 | Power Cross:Kk | クイズ賞金精算システム及びクイズ賞金精算方法 |
-
2001
- 2001-04-27 JP JP2001132177A patent/JP2002056176A/ja active Pending
- 2001-05-14 US US09/853,708 patent/US7260830B2/en not_active Expired - Lifetime
- 2001-05-29 EP EP01113102A patent/EP1160645A3/en not_active Withdrawn
- 2001-05-29 SG SG200103215A patent/SG103291A1/en unknown
- 2001-05-30 TW TW090113015A patent/TWI226024B/zh not_active IP Right Cessation
-
2007
- 2007-07-27 US US11/878,729 patent/US7823206B2/en not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| EP1160645A2 (en) | 2001-12-05 |
| US20010049793A1 (en) | 2001-12-06 |
| SG103291A1 (en) | 2004-04-29 |
| EP1160645A3 (en) | 2002-08-07 |
| US7823206B2 (en) | 2010-10-26 |
| US20070271593A1 (en) | 2007-11-22 |
| US7260830B2 (en) | 2007-08-21 |
| JP2002056176A (ja) | 2002-02-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI226024B (en) | Method of establishing a security policy, and apparatus for supporting establishment of security policy | |
| Greenwood et al. | Ethics and HRM: The contribution of stakeholder theory | |
| Vicente et al. | A conceptual model for integrated governance, risk and compliance | |
| Al Hogail | Cultivating and assessing an organizational information security culture; an empirical study | |
| Wu et al. | The effect of competencies, team problem-solving ability, and computer audit activity on internal audit performance | |
| Kamaruddin et al. | A case study of internal control practices in Islamic non-profit organizations in Malaysia | |
| Zadjuli et al. | Implementing good corporate governance in zakat institution | |
| Tate et al. | Ethical issues around crowdwork: How can blockchain technology help? | |
| Schweitzer | Computers, business, and security: the new role for security | |
| Azmi et al. | E-procurement fraud in government sector: In the perspective of fraud diamond theory | |
| Spears et al. | Is security requirements identification from conceptual models in systems analysis and design: The Fun & Fitness, Inc. case | |
| Ciclosi et al. | The data protection officer: a ubiquitous role that no one really knows | |
| Luesebrink | Institutionalization of Information Security Governance Structures in Academic Institutions: A Case Study | |
| Machek et al. | Identifying family businesses: the surname matching approach | |
| TW494292B (en) | Method of establishing a security policy, and apparatus for supporting establishment of security policy | |
| Uhumuavbi | An adaptive approach to reconceptualizing corporate social responsibility and corruption in Nigeria’s oil-rich Niger Delta | |
| Kirungu | Contribution of Parliamentary watchdog committees in promoting national security: A case of Kenya's National Assembly departmental committee on administration and security | |
| Ebekozien et al. | Smart contract applications in the built environment: How prepared are Nigerian construction stakeholders? | |
| Asfaw | Cyber Security Auditing Framework (CSAF) For Banking Sector in Ethiopia | |
| Magomelo et al. | The status of information security governance within state universities in Zimbabwe | |
| McGimsey et al. | SAA, SHA, SOPA, AIA Discuss Register of Professional Archaeologists | |
| YANZ et al. | Bringing codes down to earth | |
| Tejay | Shaping strategic information systems security initiatives in organizations | |
| Vermeij | Creating an IT risk maturity model for distributed ledger applications | |
| Paganetti | Building a Compliance Model: A Delphi Study of Managed Security Service Providers Governing Regulatory Compliance Successfully |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MK4A | Expiration of patent term of an invention patent |