作者:吳恭漢 / 臺灣大學計算機及資訊網路中心程式設計組行政專員
在上篇我們針對B級公務機關的分級應辦事項來探討,下篇我們從導入ISMS的執行策略來進行說明。從資通安全法的要求下,單位核心資通系統需導入CNS27001或ISO27001等資訊安全管理系統標準並通過第三方公正驗證,對於單位來說導入資訊管理系統是個陌生開始,如何進行導入??應辦事項是哪些??這些就由本文來細細講解。
前言.
在資通安全法中的第10條開宗明義的定義出來,公務機關應該符合資通安全等級的要求,訂定、修正、實施資通安全維護計畫。而在資通安全管理法施行細則中的第6條,其中一點是我們本篇文章提出來導入執行策略的最高原則,第六點資通系統及資訊之盤點,並標示核心資通系統及相關資產。ISO27001資訊管理系統的導入重點就是盤點單位內相關資通系統,分級(高、中、普三級)並就系統之等級採取相應之防護基準措施,落實管控、持續改善。
壹.ISMS建置流程圖
圖1.ISMS建置流程圖
我們從流程圖得知定義ISMS範圍之後,盤點資訊資產為建置中第一步且必經的流程。
貳.名詞定義
對於盤點,我們先要瞭解兩個專用名詞,何謂資通系統?在資安法有明確的定義如下:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。第二個專有名詞為資產,定義如下:對組織有價值的任何事物。
參.資產類別
再來我們要從資產的類別來說明:(中心範例)
1.人員:包含全體同仁,以及委外廠商。
2.文件:以紙本形式存在之文書資料、報表等相關資訊,包含公文、列印之報表、表單、計畫等紙本文件。
3.資料:儲存於硬碟、磁帶、光碟等儲存媒介之數位資訊。
4.軟體:作業系統、應用系統程式、套裝軟體等,包含應用程式碼、軟體授權合約等。
5.硬體:個人電腦、可攜式設備、伺服器、儲存系統、通訊設備、環境相關基礎設施。
6.虛擬主機(VM):位於Hypervisor之上,由Hypervisor管控的作業系統。非獨佔或不具專屬硬體資源的作業系統。
7.業務:單一業務涵蓋多項資訊資產時,為求清單簡潔及方便維護,可以業務方式彙整呈現。例如:校務系統、電子郵件等。
肆.盤點表格
重頭戲開始實際演練:(中心範例資訊資產清單)
表1.資訊資產清單
|
資訊資產清單
|
|
文件編號:
|
|
機密等級︰□一般 □限閱 □機密
|
|
紀錄編號:
|
|
版 本:1.0
|
|
資產編號
|
資產
類別
|
子類別
|
資產名稱
|
資產說明
|
權責
單位
|
資通系統防護需求構面
|
資產價值
|
是否含資通系統
|
權責單位(負責人)
|
保管單位(擁有者)
|
使用單位(使用者)
|
備註
|
|
機密性
|
完整性
|
可用性
|
法律遵循性
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
各單位依照清單格式填入相關資產資訊
伍.介紹資通系統防護需求構面(火山圖)
圖2.火山圖
我們從下面表格探討分別為機密性、完整性、可用性、法遵性(中心範例),透過下列評估項目,當系統價值為〔高〕我們就定義成核心系統。
表2.資通系統防護基準
陸.重點簡述
透過前面幾個介紹流程,我們可以得知資訊資產的定義與紀錄是非常重要的,透過資訊資產清單,盤點流程,詳細呈現,而最主要的目的是保護資訊資產,進而達成資訊安全之要求。
結語
依資安法要求臺灣大學以全機關導入ISMS執行策略(上)(下)兩篇文章,我們可以從法規面、執行面瞭解到組織應辦事項與執行面向,但紙上談兵比不上實戰操演,而ISMS的核心精神就是Plan-Do-Check-Act (簡稱PDCA),透過不斷的品質循環,進而達到資訊安全的要求。2022年原宇宙的開始,一起把資安重要性納入你我生活當中,實踐並持續改善。
參考文獻
全國法規資料庫-資通安全管理法施行細則
https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030303