編輯室臺大首頁計中首頁
第0007期 • 2008.12.20發行
歷史回顧 訂閱/取消 校務服務 專題報導 技術論壇 推薦刊物

首頁 > 專題報導

專題報導

ISMS-part2-你的單位ISMS了沒

作者:李美雯 / 臺灣大學計算機及資訊網路中心資訊網路組程式設計師

計中今年導入教育版ISMS,透過ISMSPDCAPlan-Do-Check-Act)循環,先從風險評鑑確認的關鍵性資產開始管理,透過不斷的計畫、執行、檢查、改善才能達到組織的資訊安全管理目標。

前言
曾幾何時全國各大專院校吹起導入資訊安全管理制度(ISMS)的風潮,學校討論這個議題可能已有2~3年,不過最熱絡的應該算是今年了,因為行政院國家資通安全會報要求B級單位97年需通過資訊安全管理制度(ISMS- Information Security Management System)第三方認證,最近基於種種原因而延期到98年了。由於本校兼具B級單位與TANET區網中心兩種身分,所以必需通過B級單位與區網中心兩種認證。

計中導入教育體系ISMS
計中為台北區網中心,今年接受教育部輔導導入「教育體系資訊安全管理規範」,教育部委託顧問公司進行北、中、南三區輔導。北區共有五個TANET區網中心(臺灣大學、政治大學、中央大學、交通大學以及清華大學)聯合輔導,顧問公司每個月安排一次月例會與教育訓練,邀請五所大學的專案負責人與業務負責人共同參與。除此之外,每個月輔導顧問安排時間至各區網中心個別輔導。
計中規劃建立台大與區網中心之教育體系ISMS,希望明年年初通過教育體系資訊安全管理規範第三方驗證,並落實整體資訊環境安全。

計中推動教育體系ISMS分四階段進行
第一階段:規劃資訊安全政策
執行作業:組織業務分析,成立資訊安全組織,建立資訊安全政策,建立文件管理機制。
產出文件:資訊安全政策,文件管理程序書,業務風險分析報告,資訊安全組織程序書。

第二階段:執行風險管理與評鑑
執行作業:資產分類及管理,風險評鑑,風險管理與產出適用性聲明。
產出文件:資訊資產管理程序書,風險改善計畫,風險評鑑與管理程序書,適用性聲明,風險評鑑報告,教育訓練教材,資訊資產清單。

第三階段:規劃資訊安全管理系統實施
執行作業:建立資安文件體系與整合文件管理架構,建立ISMS四階文件,建立安全事件管理程序及業務永續運作計畫,業務永續運作計畫演練。
產出文件:資訊安全管理ISMS四階文件,資訊安全事件應變處理程序,業務永續運作計畫,業務永續運作計畫演練報告。

第四階段:制度落實與實施稽核作業
執行作業:資安內部稽核計畫,資訊安全稽核教育訓練活動,執行資安內部稽核。
產出文件:稽核計畫,稽核報告,管理審查會議紀錄。

計中教育體系ISMS運用PDCA循環模式
計畫(Plan) — 建立ISMS
1.組織業務分析
本中心於ISMS管理面之領域,包括:管理階層責任、ISMS之改進、資訊安全組織、資訊資產分類與管制、人員安全管理與教育訓練、資訊安全事件之反應及處理等部分尚屬嚴謹。建置ISMS時,可參考現行制度、作法,予以小部分調整,以降低相關業務負責人執行之負擔。管理面之其他領域,如:資訊安全管理系統、管理階層審查、資訊安全政策訂定與評估、業務永續運作管理、相關法規與施行單位政策之符合性等部分則尚有改善空間,本中心可配合此次ISMS之建置,建立完整之資訊安全管理系統。

ISMS技術面之領域,包括:實體環境安全、通訊與作業安全管理、存取控制安全、系統開發與維護之安全等部分皆尚屬嚴謹,本中心已建置多項控制措施。普遍而言,控制措施文件化仍尚有改善空間,本中心可配合此次ISMS之建置,將相關控制措施予以文件化,並落實產生紀錄。

2.建立資訊安全政策
資訊安全政策參考資安相關法令及施行單位業務上的需求,並經由管理階層核准。資安政策主要精神是維護本中心資訊資產之機密性、完整性與可用性,以達成以下目標:
(1)保護本中心TANET業務活動與本校入口網站資訊,避免未經授權的存取。
(2)保護本中心TANET業務活動與本校入口網站資訊,避免未經授權的修改,確保其正確完整。
(3)建立資訊業務永續運作計畫,確保本中心業務活動之持續運作。
(4)本中心之業務活動執行須符合相關法令或法規之要求。

除了制定政策並執行之外,還需要配合不斷的評估、檢視已制定資安政策的合適性與否。

3.成立資訊安全組織
計中資訊安全組織架構圖如下:




資訊安全委員會由計中主管組成。資訊安全官、資訊安全小組成員、資訊安全稽核小組成員由資訊安全委員會指派。緊急處理組為任務編組。
由資訊安全委員會定期召開管理審查會議,以審查ISMS相關事宜,確保資安相關計畫的進行,並展現管理階層的支持。

執行(Do) — 實施與操作ISMS
4.資訊資產分類與管制
對於中心資訊資產,業務負責人執行以下工作:
(1) 鑑別所管轄之資訊資產,並建立「資訊資產清單」。
(2) 依照資訊資產性質之不同作分類。
(3) 鑑別管轄內所有資訊資產之價值。資訊資產價值依據資產之機密性(C)、完整性(I)與可用性(A)等特性取最大值,區分為4 級(1~4級),評估該資產之價值。

5.風險評鑑
中心資訊資產分類後,使用本中心資產風險評鑑的標準,計算出所有資訊資產的風險值。
• 風險值的計算
– 評估事件發生機率及影響程度,計算出風險值。
– 風險值=(資訊資產價值 × 威脅等級 × 弱點等級)

• 事件發生可能性/威脅等級對應表

評估標準

等級

評估值

每季發生一次之可能性

1

每月發生一次之可能性

2

每週發生一次之可能性

3


• 弱點的等級對應表

評估標準

等級

評估值

該弱點不容易被威脅利用

1

該弱點容易被威脅利用

2

該弱點非常容易被威脅利用

3



6.風險管理與產出適用性聲明
中心資訊資產完成鑑別資產及其相關風險後,必須有效執行風險控管,預防資訊安全事件之威脅。
本中心資訊資產可接受風險值之判斷,考量到各資訊資產價值、威脅利用與弱點,將造成資訊資產損害及營運中斷之可能性對應所產出之風險分布來判斷。由資訊安全小組開會決議,再請資訊安全委員會確認。基於80 20法則,本次風險評鑑之可接受風險值,建議值為16。資訊資產最終風險值高於16(含)以上者,提出「風險改善計畫表」與「適用性聲明書」,說明風險控管措施之執行辦法。
「風險改善計畫表」提報資訊安全委員會開會審核,並列入追蹤管理程序。各風險改善措施完成後,進行風險再評估,以確保相關改善措施的有效性。

7.建立資安文件體系
建立ISMS文件管理規範,期使ISMS文件能獲得適切控管,以確保文件之機密性、完整性及可用性。ISMS文件採階層化,一階文件為政策、二階文件為程序書、三階文件為作業說明書、四階文件為表單或紀錄。計中ISMS相關規範文件,一階文件一份,二階文件共十四份,四階文件共三十九份。相關人員經由帳號密碼認證,可於計中網站存取所有ISMS文件。

檢查(Check) — 監控與審查ISMS
8. 建立業務永續運作計畫與演練
計中實施業務永續運作管理作業,結合預防和復原控制措施,將業務災害或故障降低到可接受的範圍。

資訊安全委員會針對本中心所提供之服務,就其業務流程之重要性,依衝擊程度、相關資訊資產之風險、復原時間目標(Recovery Time Objective, RTO)與資料復原時間目標(Recovery Point Objective, RPO)進行綜合分析,並由資訊安全小組填寫於「業務流程衝擊分析表」。重要分級為「高」之業務流程,即為本中心之關鍵業務流程,為關鍵業務流程擬定「業務永續運作計畫」,確保能在所需時間內恢復業務運作。
業務永續運作程序須每年測試演練,以確保計畫之有效性。關鍵業務流程負責人需填寫「演練規劃表」,安排規劃與執行事宜。計中於97年9月10日舉行關鍵業務測試演練,以模擬環境並依照「演練規劃表」進行業務永續運作程序測試,程序測試結果紀錄於「演練暨處理執行表」。各項演練程序皆順利完成,符合所有檢查程序。

9.資訊安全內部稽核作業
計中稽核小組針對組織之資訊安全控制、風險評鑑與業務持續計畫等作業進行查核。稽核小組事先規劃並編製「資訊安全管理制度內部稽核計畫」,以作為執行稽核指導綱要,並經資訊安全委員會核准後執行。稽核小組研擬規劃「資訊安全管理制度內部稽核表」,並依照稽核表執行稽核,逐項填寫稽核結果。

計中於97年10月6日舉辦內稽活動,參與人員包含計中主管、受稽單位業務負責人以及稽核小組。稽核小組組員於內部會議討論與彙整稽核發現,並由稽核小組組長提出稽核報告。
受稽單位於接獲稽核報告後,於十個工作天內將該缺失分析原因及擬採行之矯正與預防措施填列於「矯正與預防處理單」內,並經計中主管核定後回覆稽核小組。

改善(Act) — 維護與改善
10.管理審查委員會
管理審查委員會為資訊安全管理制度重要之活動,本中心於97年11月13日召開管理審查委員會,以審查資訊安全管理制度相關事宜。本次會議討論的主要事項為:
(1) 資訊安全稽核結果及建議改善事項
(2) 矯正及預防措施檢討
(3) 資訊安全目標執行狀況報告
(4) 資訊安全制度執行之各項改進措施
(5) 風險再評鑑與風險處理計畫執行結果

感謝資訊安全委員會委員於會中給予資訊安全小組充分的支持,並提供許多寶貴的建議,讓資訊安全小組於外稽之前有機會持續改善,以確保中心之ISMS的適用性、適切性及有效性。


結語
中心導入教育版ISMS歷經了8個月之久,最初考慮到業務負責人與資安負責人平日的工作量,因此推動時程不能規劃得太緊湊,這一點可以提供其他單位參考。建置ISMS過程中,各部門確實發現許多改善空間,對於中心的資訊安全控管上有非常大的幫助。目前ISMS制度已經建立完成了,接下來更重要的工作是確保每項控制措施能真正落實,未來經過不斷的計畫、執行、檢查與改善,才能強化本中心的安全管理成效,以保護組織內的重要資產與資訊。
期許計中在ISMS路程踏出的第一步能夠走得穩健與持久,也期待本校其他單位能盡快導入ISMS,及早控制單位的集體風險,強化組織安全,提供全校師生經過認證標章的安全服務。

版權所有 © 國立台灣大學計算機及資訊網路中心 All Rights Reserved.
電話:02-33665022 或 3366-5023 傳真: 02-23637204
讀者意見信箱:ntuccepaper@ntu.edu.tw
地址:10617 臺北市羅斯福路四段一號
建議最佳螢幕解析度 1024*768