作者:陳淑萍 / 臺灣大學計算機及資訊網路中心程式設計組幹事
「資安即國安」!這是當前國家施政戰略目標之一,蔡英文總統也在今(110)年出席「臺灣資安大會開幕典禮」時再次強烈表達這項意念,也在未來準備規劃新設數位發展部,並且成立專責的資通安全署,以建立「堅韌、安全、可信賴的智慧國家」為最終信念;而眾所矚目的「資通安全管理法」也已於前(108)年正式實施,政府的縱深防禦資通安全要求從過去的行政命令,進而提升到法令位階的範疇,不只提供更完整的資通安全架構,更明確對公務機關與非特定公務機關資訊安全管理系統(Information Security Management System,ISMS)驗證要求,所以組織導入並面對ISO/IEC 27001挑戰是當前勢在必行的漫長嚴苛之路!
臺灣是個資安攻防熱點
在文化方面,有所謂指定或登錄成有形及無形文化資產,泛指具有歷史、藝術、科學等文化價值的產物,回過頭來看我們資訊科技的面向,資訊或資料應該是現今組織最重要的無形資產,也就是因為它不一定具有形體,所以就更難去加以維運與保護,換句話說,資通訊的安全防護雖然是很抽象的概念,但卻是大家不得不面對的課題。
臺灣不只是國際上數一數二資訊安全攻防戰的熱點,也是第一線的技術交流練兵場,這些挑戰不全然是壞事,換個角度想,把這些挑戰轉化成機會,不外乎可以發展出屬於臺灣獨特的優勢。在全球資訊化時代拜科技所賜,人類、電腦與網路三者之間關係越來越緊密,加上近年來包括人工智慧、5G、區塊鏈或行動支付等熱門的議題不斷充斥著我們日常生活,因此,無論是政府機關或企業公司,紛紛投向資訊化作業懷抱,也日漸衍生出了更多的資通訊安全、駭客攻擊與網路犯罪問題,利用電腦、網路來從事非法行為,資通訊安全便成為組織中當前最重要的課題與趨勢之一。
資通安全管理法上路
「資通安全管理法」於前(108)年元旦正式實施,將政府的資安防護要求從過去的行政命令提升至法令位階,提供完整的資安架構指引,加速完善ISMS資訊安全管理系統,不只可保障國家安全與維護企業社會利益,更加強國內資訊通訊安全基礎建設。而在資通安全管理法納管對象中,要求各種對象都必須訂定資安維護計畫,區分為「公務機關」及「特定非公務機關」,這兩者有何差別呢?
前者機關所指的是依法行使公權力之中央、地方機關(構)或公法人(如:農田水利會),但不包含軍事及情報機關;後者所指為關鍵基礎設施提供者(如:台灣電力、台灣中油、台灣自來水)、公營事業(如:台灣糖業、臺灣菸酒)及政府捐助之財團法人(如:外貿協會、工業技術研究院),除此之外,更要求組織要訂定資安事件通報應變機制,以因應隨時可能發生的資安事件。
ISMS驗證
法令規範必須取得驗證,當然前題就必須要有一套國際通用的資訊安全管理工具和制度可遵循,ISO 27001簡單來說就是一套經過國際認證且通用的資訊安全管理系統標準,因為它是由國際標準組織(ISO)與國際電工委員會(IEC)聯合發布,因此有時也會寫做ISO/IEC 27001,其實指的都是同一套標準,最新的兩個版本為2005年與2013年所公布,當然,目前驗證是以2013版本為標準。
行政院國家資通安全會報訂定「各政府機關(構)資訊安全責任等級分級作業施行計畫」,在此計畫中資通安全等級分為ABCDE等五個級,被歸屬於A與 B級者,必須導入完整資訊安全管理系統,並取得第三方機構驗證通過,且持續維持其有效性。
在政府領頭羊大力推動下,許多電信商、網際網路服務供應商、金融與各式資訊服務提供業者,為能因應時代趨勢取得客戶對於自我資安等級要求的信任,紛紛推動ISMS的導入驗證,且基於政府規定與資安法要求之下,推行ISO 27001已成為獲得客戶高度期望與信任下,業者得以永續經營的重要工作之一。
資安事件的發生往往會帶來重大的影響,尤其是擁有個資、機敏或商業資料的組織更是不能容忍各類型的資安事件,但隨著人為的疏失、攻擊手段的不斷進步,因此,資安管理系統與驗證精隨,就是透過計畫(Plan)、執行(Do)、查核(Check)、行動(Act)的四階段循環,不斷的審視與改進資安系統,將風險降至可接受的範圍,保護資訊安全,建立完善的風險管理流程。
所以接下來我們就來談談,導入ISO 27001雖然是當前勢在必行的嚴苛之路,但是面對這些排山倒海的驗證規範與要求,有哪些建立ISMS之認證強化管理措施是我們可以先去探討的。
驗證準備要項
綜觀ISO/IEC 27001:2013稽核除本文章節、控制領域、目標與措施外,涵蓋之內容包括14個領域、35個控制目標、114個控制要點。但結合驗證、行政院、各部會稽核與資安法等概念,我們可以從公務機關資通安全實地稽核項目檢核表中約略區分為三個面向先去分析與自我評估,也許是個更貼近實務面的方式。
一、策略面
這個面向是從組織最高處下去觀察,有三個重點稽核檢測方向,包括:「核心業務及其重要性」、「資通安全政策及推動組織」、「專責人力及經費配置」等。組織應依據「資通安全責任等級分級辦法」附表九「資通系統防護需求分級原則」完成資通系統之盤點及分級,並定期檢視分級之妥適性,透過鑑別核心資訊系統,完成營運衝擊分析且納入資訊安全管理系統之適用範圍,視等級評估是否須通過第三方驗證;除此之外,訂定核心資通系統合理之系統復原時間目標(Recovery Time Objective,RTO)及資料復原時間點目標(Recovery Point Objective,RPO),訂定備份資料之回復程序與進行回復測試。另外,考核高階資訊主管對ISMS支持程度也是重點,其亦會直接反應在實質的經費、人力與教育訓練時數落實狀態上。
二、管理面
該面相有三個重點稽核檢測方向,包括:「資訊及資通系統盤點及風險評估」、「資通系統或服務委外辦理之管理措施」、「資通安全維護計畫與實施情形之持續精進及績效管理機制」等。組織應確實盤點資訊資產並建立清冊,另依機密性、完整性、可用性及法律遵循性鑑別風險,據以評估資通系統之防護需求等級,並訂定資訊資產、個資與風險管理程序。
如果有資訊服務委外專案,那組織就應該將系統建置環境與資通安全需求,納入徵求建議書文件列為廠商評選項目之一,並於驗收時確實查檢,未來委外人員於執行業務前,一定要先充分了解組織資訊安全相關規範及簽署保密協議。
另外,組織要訂定資通安全維護計畫並據以實施,當然,資安事件是大家不樂見的,但以現實面來說也無法避免,為確保發生相關緊急情勢時的SOP處理步驟,資通安全事件通報及應變程序也會是稽核重點之一。
三、「技術面」
這個面向是屬於最實務面的稽查,有三個重點稽核檢測方向,包括:「資通安全防護及控制措施」、「資通系統發展及維護安全」、「資通安全事件通報應變及情資評估因應」等。為求環境的安全性提升,定期主機與系統安全性檢測及健診是必要的,對結果確實執行修補作業並落實複測作業,以確認沒有組織不可接受的風險,在軟體部分,平時程式版本變更需求控管也是基礎要求條件。
另外,確保有相關監控通報規則、保護日誌完整性,包含個資執行紀錄、軌跡資訊及證據留存。而在實體與環境安全管理方面當然不用多加贅述,區域進出管制、門禁及監視器設置、機房環境安全管理等絕對是不可掉以輕心的日常管理作為。
結語
百密必有一疏,透過ISMS體系導入、驗證與落實,融入組織日常工作文化,確保資訊安全機密性、完整性、可用性的精神,促使資訊服務能不允許非授權的存取、不被竊改、破壞、持續運作不中斷就是最終目標;其實,組織如果能夠上下一心,加上高階主管支持,大家共同參與及維持資訊安全PDCA各階段的滾動檢討,輔以平時教育訓練與宣導來加深組織夥伴們的資訊安全認知。簡單來說,凝聚組織內部資安共識就是落實的關鍵重點,驗證之路當然就會順遂許多了!