作者:江通儒 / 臺灣大學計算機及資訊網路中心程式設計組
「ISMS」資訊科技的「ISO」,本文介紹如何導入資訊安全管理系統(Information Security Management System),啟動校園風險管理機制,提升校園資訊安全。
前言
政府對於資訊安全的投入不遺餘力,國家資通安全會報要求A、B級單位於97年底前,編列預算,爭取通過資訊安全管理之認證,大學建立「資訊安全管理系統(Information Security Management System,簡稱ISMS)」並通過認證,已迫在眉睫;本文依序說明政府政策要求、安全組織及管理權責、ISMS推動作業流程、ISMS資通安全系統導入範圍、風險評估、文件體系,供校園建置ISMS參考。
一、政府政策要求/strong>
ISMS推動作業是依據行政院於94年7月21日核定「政府機關(構)資訊安全責任等級分級作業施行計畫」,該計畫將政府機關分為四個等級,關於教育體系分類如下:A 級:教育部,B 級:大學、區域網路中心,C 級:學院、專科學校;B 級(核心)單位,應執行之工作重點為:
- 等級3之防禦機制強度
- 防護縱深
- 97年前通過ISO27001第三者執行之認證,98年起納入學校評鑑項目
- 每年至少一次內稽
- 資安教育訓練<主官、主管、技術、一般>:每年至少(4、6、16、4小時)
- 96年前資安專業鑑定一張
二、安全組織及管理權責
推動ISMS首先要成立資訊安全組織,明訂其管理權責,以靜宜大學之實作情形說明如下:
建立資訊安全管理制度並推動資訊安全相關事宜。
召集資訊安全管理審查會議,並追蹤其決議事項。
督導本中心風險評鑑作業。
督導本中心持續營運計畫之修訂與演練。
執行資訊安全管理之內部稽核作業。
評估人員進用之安全性。
辦理資訊安全教育訓練。
資訊資產之安全需求研議、使用管理及保護等事項。
程序及規範書草擬。
三、ISMS推動作業流程
以義守大學電算中心為例,ISMS推動作業流程,由專職ISMS顧問服務協助導入,並按時程與階段實施,導入服務共分五個階段:
第一階段:ISMS導入教育訓練
第二階段:資安政策建立、資訊安全組織建立
第三階段:資產風險評鑑、風險管控、持續改善管理
第四階段:應變計畫及災後復原計畫建立及演練
第五階段:資訊安全內稽制度建立及後續維護機制
四、ISMS資通安全系統導入範圍
資訊安全範圍涵蓋甚廣,三個主要要素是人(People)、流程(Process)與科技(Technology),舉凡資料檔案、應用程式、系統軟體、合約、指南、電腦、儲存媒體、人員、通訊技術、管線、環境、空間等等,均為資訊資產管理範疇。依據人力、經費、時程決定ISMS導入範圍,以大學而言,導入範圍可能有四種:
1.全校
2.計算機中心與一重要業務一級單位
3.計算機中心
4.計算機中心之某特定組室或部分重要核心系統先行試辦
方案1及2,由於工程過於耗大,比較少見,學校大多選擇方案3,而規模較大之學校,礙於時程壓力,可能選擇方案4;有關重要核心業務例如-計算機及通訊中心所提供的網路骨幹管理、伺服器主機管理、校務系統資料庫管理、電子郵件服務管理及全球資訊網服務管理之資訊安全管理系統。場地為計中1F及各學院校園骨幹設備機房、異地備份場所;義守大學ISMS資通安全系統導入範圍:(一)、網路作業組 (二)、系統發展組(三)、綜合業務組。
五、風險評估
風險評估首先進行資訊資產鑑別,可採分類如下:文件類、軟體類、人員類、實體類、服務類;鑑別完資訊資產,接著評估資產價值(或重要性),考量該資產之弱點與可能發生之威脅及其機率,藉以分析風險等級,進而採取接受、避免、降低、移轉等風險處理措施,決定採用哪些適當的風險管理方式,進行風險改善計畫後,計算殘餘風險,將結果呈報資安管理委員會審查後,由主管核定。
六、文件體系
ISMS文件採用階層化,雖未規定第二、三階文件的名稱,但一般為了配合ISO9000,會將第二階文件名稱定為程序書,文件體系的四階文件分別為:第一階為資安政策、第二階為程序書、第三階為辦法、規定、第四階為紀錄;以靜宜大學為例,資訊安全管理手冊,一階文件1份,二階文件16份,三階文件12份;以教育體系資訊安全管理制度導入試作點文件-成功大學為例資料如下:
- 主機伺服器管理有例行檢查項目(UNIX WINDOWS)及其記錄表、管理程序、檢測項目表
- 例行作業:機房值班檢查程序、檢查表;資安指南(個人、承辦人)
- 備份作業:程序、記錄、異動表
- 帳號密碼管理:程序、申請表
- 弱點掃瞄:程序、時程表、登記表
- 政策:資安管理、適用性聲明
- 文件管制:一覽表、程序、變更申請表
- 機房門禁管制:程序、機房管理辦法、門禁管理辦法、進出登記簿
- 病毒防範:程序、事件記錄表、資安負責人及IP表
- 緊急應變處理:程序(機房火警、網路運作)、記錄表
- 計網中心門禁管制:程序、感知器位置圖、保全系統記錄簿、門禁卡使用須知
- 資安事件處理:程序、記錄表
- 資安事件通報:程序、記錄表
- 資安檢視:表、項目、程序
- 資訊安全組織:人員負責系統登錄表、資訊安全職責表、資訊安全委員會名單及組織規程、其他連絡表
- 風險管理:資產價值表、風險管理表、風險評估表、風險評估及管理程序
七、結論
教育部TANet連線學校資通安全管理規範計畫,參考資訊安全管理相關國際規範以及我國政府規範等法令標準,訂定出適用於TANet連線學校之管理規範,並以成大計中心建立試作點,檢測規範之適用性,各學校以此計畫成果為建置ISMS之起步,修訂為單位適用之ISMS,可大量節省人力、物力,並縮短通過ISO/IEC 27001:2005認證之時程。
參考資料
[1]教育體系資訊安全管理制度導入試作點-國立成功大學http://www.edu.tw/EDU_WEB/EDU_MGT/MOECC/EDU0688001/tanet/fix.htm
[2]國內教育環境的資安挑戰與對策
http://www.cc.ncnu.edu.tw/icsst/laws/edu-env-IS-policy-educc.pdf
(包含政策、 適用性聲明書、程序、表單、手冊、適用性聲明書參考範本行政院於94年7月21日「政府機關(構)資訊安全責任等級分級作業施行計畫」)
[3]義守大學電算中心簡報http://www.isu.edu.tw/upload/21/7/files/dept_7_lv_2_2091.pdf
[4]經濟部標準檢驗局,http://www.bsmi.gov.tw/