ntuccepaper2019

作者：江通儒 / 臺灣大學計算機及資訊網路中心程式設計組

---

「ISMS」資訊科技的「ISO」，本文介紹如何導入資訊安全管理系統(Information Security Management System)，啟動校園風險管理機制，提升校園資訊安全。

 

前言

政府對於資訊安全的投入不遺餘力，國家資通安全會報要求A、B級單位於97年底前，編列預算，爭取通過資訊安全管理之認證，大學建立「資訊安全管理系統(Information Security Management System，簡稱ISMS)」並通過認證，已迫在眉睫；本文依序說明政府政策要求、安全組織及管理權責、ISMS推動作業流程、ISMS資通安全系統導入範圍、風險評估、文件體系，供校園建置ISMS參考。

 

一、政府政策要求/strong>

ISMS推動作業是依據行政院於94年7月21日核定「政府機關（構）資訊安全責任等級分級作業施行計畫」，該計畫將政府機關分為四個等級，關於教育體系分類如下：A 級：教育部，B 級：大學、區域網路中心，C 級：學院、專科學校；B 級(核心)單位，應執行之工作重點為:

1. 等級3之防禦機制強度
2. 防護縱深
3. 97年前通過ISO27001第三者執行之認證，98年起納入學校評鑑項目
4. 每年至少一次內稽
5. 資安教育訓練＜主官、主管、技術、一般＞：每年至少(4、6、16、4小時)
6. 96年前資安專業鑑定一張

 

 

二、安全組織及管理權責

推動ISMS首先要成立資訊安全組織，明訂其管理權責，以靜宜大學之實作情形說明如下：

• 資訊安全推動委員會：

       建立資訊安全管理制度並推動資訊安全相關事宜。

• 召集人(由中心主任擔任)：

       召集資訊安全管理審查會議，並追蹤其決議事項。

       督導本中心風險評鑑作業。

       督導本中心持續營運計畫之修訂與演練。

• 資訊安全稽核小組(5人)：

       執行資訊安全管理之內部稽核作業。

• 資訊安全工作小組(10人)：

       評估人員進用之安全性。

       辦理資訊安全教育訓練。

       資訊資產之安全需求研議、使用管理及保護等事項。

       程序及規範書草擬。

 

三、ISMS推動作業流程

以義守大學電算中心為例，ISMS推動作業流程，由專職ISMS顧問服務協助導入，並按時程與階段實施，導入服務共分五個階段:

第一階段：ISMS導入教育訓練
第二階段：資安政策建立、資訊安全組織建立
第三階段：資產風險評鑑、風險管控、持續改善管理
第四階段：應變計畫及災後復原計畫建立及演練
第五階段：資訊安全內稽制度建立及後續維護機制

 

四、ISMS資通安全系統導入範圍

資訊安全範圍涵蓋甚廣，三個主要要素是人(People)、流程(Process)與科技(Technology)，舉凡資料檔案、應用程式、系統軟體、合約、指南、電腦、儲存媒體、人員、通訊技術、管線、環境、空間等等，均為資訊資產管理範疇。依據人力、經費、時程決定ISMS導入範圍，以大學而言，導入範圍可能有四種：

1.全校
2.計算機中心與一重要業務一級單位
3.計算機中心
4.計算機中心之某特定組室或部分重要核心系統先行試辦

 

方案1及2，由於工程過於耗大，比較少見，學校大多選擇方案3，而規模較大之學校，礙於時程壓力，可能選擇方案4；有關重要核心業務例如－計算機及通訊中心所提供的網路骨幹管理、伺服器主機管理、校務系統資料庫管理、電子郵件服務管理及全球資訊網服務管理之資訊安全管理系統。場地為計中1F及各學院校園骨幹設備機房、異地備份場所；義守大學ISMS資通安全系統導入範圍：(一)、網路作業組 (二)、系統發展組(三)、綜合業務組。

五、風險評估

風險評估首先進行資訊資產鑑別，可採分類如下：文件類、軟體類、人員類、實體類、服務類；鑑別完資訊資產，接著評估資產價值(或重要性)，考量該資產之弱點與可能發生之威脅及其機率，藉以分析風險等級，進而採取接受、避免、降低、移轉等風險處理措施，決定採用哪些適當的風險管理方式，進行風險改善計畫後，計算殘餘風險，將結果呈報資安管理委員會審查後，由主管核定。

 

六、文件體系

ISMS文件採用階層化，雖未規定第二、三階文件的名稱，但一般為了配合ISO9000，會將第二階文件名稱定為程序書，文件體系的四階文件分別為：第一階為資安政策、第二階為程序書、第三階為辦法、規定、第四階為紀錄；以靜宜大學為例，資訊安全管理手冊，一階文件1份，二階文件16份，三階文件12份；以教育體系資訊安全管理制度導入試作點文件－成功大學為例資料如下：

 

• 主機伺服器管理有例行檢查項目(UNIX WINDOWS)及其記錄表、管理程序、檢測項目表
• 例行作業：機房值班檢查程序、檢查表；資安指南(個人、承辦人)
• 備份作業：程序、記錄、異動表
• 帳號密碼管理：程序、申請表
• 弱點掃瞄：程序、時程表、登記表
• 政策：資安管理、適用性聲明
• 文件管制：一覽表、程序、變更申請表
• 機房門禁管制：程序、機房管理辦法、門禁管理辦法、進出登記簿
• 病毒防範：程序、事件記錄表、資安負責人及IP表
• 緊急應變處理：程序(機房火警、網路運作)、記錄表
• 計網中心門禁管制：程序、感知器位置圖、保全系統記錄簿、門禁卡使用須知
• 資安事件處理：程序、記錄表
• 資安事件通報：程序、記錄表
• 資安檢視：表、項目、程序
• 資訊安全組織：人員負責系統登錄表、資訊安全職責表、資訊安全委員會名單及組織規程、其他連絡表
• 風險管理：資產價值表、風險管理表、風險評估表、風險評估及管理程序

 

七、結論

教育部TANet連線學校資通安全管理規範計畫，參考資訊安全管理相關國際規範以及我國政府規範等法令標準，訂定出適用於TANet連線學校之管理規範，並以成大計中心建立試作點，檢測規範之適用性，各學校以此計畫成果為建置ISMS之起步，修訂為單位適用之ISMS，可大量節省人力、物力，並縮短通過ISO/IEC 27001:2005認證之時程。

 

參考資料

[1]教育體系資訊安全管理制度導入試作點-國立成功大學http://www.edu.tw/EDU_WEB/EDU_MGT/MOECC/EDU0688001/tanet/fix.htm

[2]國內教育環境的資安挑戰與對策
http://www.cc.ncnu.edu.tw/icsst/laws/edu-env-IS-policy-educc.pdf
（包含政策、 適用性聲明書、程序、表單、手冊、適用性聲明書參考範本行政院於94年7月21日「政府機關（構）資訊安全責任等級分級作業施行計畫」）

[3]義守大學電算中心簡報http://www.isu.edu.tw/upload/21/7/files/dept_7_lv_2_2091.pdf

[4]經濟部標準檢驗局，http://www.bsmi.gov.tw/