跳到主要內容區塊

計資中心電子報C&INC E-paper

專題報導

ISMS-part1-淺談教育體系資訊安全管理制度
  • 卷期:v0007
  • 出版日期:2008-12-20

作者:李美雯 / 臺灣大學計算機及資訊網路中心資訊網路組程式設計師


為校園資訊網路量身訂做的「ISMS資訊安全管理系統」,鑑於校園網路安全問題層出不窮,教育部電算中心針對「學術網路系統」以及「行政資訊系統」兩大業務範疇,訂定教育體系所屬機關、學校資訊安全管理規範,以提升資訊安全管理能力。

 

前言

教育部鑑於資訊安全之重要,委託專家學者參考ISO/IEC 27001:2005(E) ISMS規範內的條款,為各級學校單位量身訂做適合教育體系的規範,如此才能根據各單位資安管理上的需求、目標、結果,並考量加入特有之作業程序、規模、架構等因素。為了讓施行資安管理的學校能以花費最低成本、人力等資源,採漸進的方式逐步達成可行之規章條款,教育體系規範強調實行度與執行效率,期望能將此資安規範及相關之實施經驗推行到學校各單位。

教育體系資安管理制度適用於教育部電算中心、部屬館所、縣市網中心、大專院校以及高中職資訊管理單位等資訊業務相關單位,針對「學術網路系統」以及「行政資訊系統」兩大業務範疇,訂定教育體系所屬機關、學校資訊安全管理規範,以提升資訊安全管理能力。

教育體系資訊安全管理制度(以下簡稱ISMS)的建置步驟,套用了PDCA(Plan-Do-Check-Act)循環模式,簡介如下:

  1. ISMS之建立:依據學校各單位之規模、資源、業務性質等特性,定義ISMS之範圍;考慮相關法律、法規以及合約之要求,於適度評估風險及應對措施後,訂出經由管理階層核准之ISMS政策,並擬定一份適用性聲明書文件。

  2. ISMS之實施與操作:業務負責人確實實施控制措施,以符合控管的目標,並執行訓練與認知計畫,確保偵測安全事件的能力,以及迅速回應和應對處理的時效。

  3. ISMS之監控及審查:業務負責人針對ISMS進行監控程序與其他控制措施,即時鑑別資安事件的發生、處理順序與解決方法;定期審查ISMS之有效性,並將相關有顯著影響之活動與事件記錄下來。

  4. ISMS之維持及改進:業務負責人定期實行改進活動,採取適當的矯正與預防措施,得到管理階層之同意,並確保各項措施達到預期目標。


教育體系ISMS建置需求分述於下:

  1. 文件要求:關於ISMS文件化,必須包含政策、目標、ISMS範圍、適用性聲明以及其他有助於提升ISMS成效之文件。

  2. 管理階層責任:管理階層需要給予承諾及實際的支持,並適度的提供資源以助ISMS程序的進行。

  3. 管理階層審查:管理階層應在規劃期間內,審查該單位的ISMS與適用範圍,確保其持續的適用性、適切性及有效性。

  4. ISMS之改進:ISMS的改進是持續的,必須藉由各資安事件與審查結果,做出適度的反應與改進,持續系統之有效性;另外,對應的矯正措施以及防範未然的預防措施,亦須予以制定並文件化。
     

參考資料

教育體系資通安全管理規範
http://cissnet.edu.tw/rule_edu.aspx