跳到主要內容區塊

計資中心電子報C&INC E-paper

校務服務

依資安法要求臺灣大學以全機關導入ISMS執行策略(下)
  • 卷期:v0060
  • 出版日期:2022-03-20

作者:吳恭漢 / 臺灣大學計算機及資訊網路中心程式設計組行政專員


 

在上篇我們針對B級公務機關的分級應辦事項來探討,下篇我們從導入ISMS的執行策略來進行說明。從資通安全法的要求下,單位核心資通系統需導入CNS27001或ISO27001等資訊安全管理系統標準並通過第三方公正驗證,對於單位來說導入資訊管理系統是個陌生開始,如何進行導入??應辦事項是哪些??這些就由本文來細細講解。

 

前言.

    在資通安全法中的第10條開宗明義的定義出來,公務機關應該符合資通安全等級的要求,訂定、修正、實施資通安全維護計畫。而在資通安全管理法施行細則中的第6條,其中一點是我們本篇文章提出來導入執行策略的最高原則,第六點資通系統及資訊之盤點,並標示核心資通系統及相關資產。ISO27001資訊管理系統的導入重點就是盤點單位內相關資通系統,分級(高、中、普三級)並就系統之等級採取相應之防護基準措施,落實管控、持續改善。

 

壹.ISMS建置流程圖

圖1.ISMS建置流程圖

我們從流程圖得知定義ISMS範圍之後,盤點資訊資產為建置中第一步且必經的流程。

 

貳.名詞定義

對於盤點,我們先要瞭解兩個專用名詞,何謂資通系統?在資安法有明確的定義如下:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。第二個專有名詞為資產,定義如下:對組織有價值的任何事物。

 

參.資產類別

再來我們要從資產的類別來說明:(中心範例)

1.人員:包含全體同仁,以及委外廠商。
2.文件:以紙本形式存在之文書資料、報表等相關資訊,包含公文、列印之報表、表單、計畫等紙本文件。
3.資料:儲存於硬碟、磁帶、光碟等儲存媒介之數位資訊。
4.軟體:作業系統、應用系統程式、套裝軟體等,包含應用程式碼、軟體授權合約等。
5.硬體:個人電腦、可攜式設備、伺服器、儲存系統、通訊設備、環境相關基礎設施。
6.虛擬主機(VM):位於Hypervisor之上,由Hypervisor管控的作業系統。非獨佔或不具專屬硬體資源的作業系統。
7.業務:單一業務涵蓋多項資訊資產時,為求清單簡潔及方便維護,可以業務方式彙整呈現。例如:校務系統、電子郵件等。

 

肆.盤點表格

重頭戲開始實際演練:(中心範例資訊資產清單)

表1.資訊資產清單

資訊資產清單

文件編號:

 

機密等級︰□一般 □限閱 □機密

紀錄編號:

 

版  本:1.0

資產編號

資產
類別

子類別

資產名稱

資產說明

權責
單位

資通系統防護需求構面

資產價值

是否含資通系統

權責單位(負責人)

保管單位(擁有者)

使用單位(使用者)

備註

機密性

完整性

可用性

法律遵循性

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

各單位依照清單格式填入相關資產資訊

 

伍.介紹資通系統防護需求構面(火山圖)

圖2.火山圖

我們從下面表格探討分別為機密性、完整性、可用性、法遵性(中心範例),透過下列評估項目,當系統價值為〔高〕我們就定義成核心系統。

 

表2.資通系統防護基準

 

陸.重點簡述

透過前面幾個介紹流程,我們可以得知資訊資產的定義與紀錄是非常重要的,透過資訊資產清單,盤點流程,詳細呈現,而最主要的目的是保護資訊資產,進而達成資訊安全之要求。

 

結語

依資安法要求臺灣大學以全機關導入ISMS執行策略(上)(下)兩篇文章,我們可以從法規面、執行面瞭解到組織應辦事項與執行面向,但紙上談兵比不上實戰操演,而ISMS的核心精神就是Plan-Do-Check-Act (簡稱PDCA),透過不斷的品質循環,進而達到資訊安全的要求。2022年原宇宙的開始,一起把資安重要性納入你我生活當中,實踐並持續改善。

 

參考文獻

全國法規資料庫-資通安全管理法施行細則
https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030303