淺談資訊安全管理系統(ISMS)資訊組

去資料是由人工產生的,現今因科技的演進使得資料大部分是由電腦科技的設備製造與產出,並且以有形或無形的各種形式存在著,而管理資料的對象,主要還是個人、某單位或組織。資料的保護由民國84年8月11日頒布的《電腦處理個人資料保護法》(http://law.moj.gov.tw/LawClass/LawOldVer_Vaild.aspx?PCODE=I0050021),改為民國99年5月26日頒布的《個人資料保護法》,光從法令字義的解釋,就能夠明白不再是把資料的來源限定在電腦上,所有不限形式的個人資料都必須受到保護,因此僅將資訊安全的責任認定在資訊人員身上,這是不正確的,因為資料應該由每個人妥善管理與使用。

既然資料是由人所管理,政府在推行資訊安全管理系統(Information Security Management System, ISMS)方面,依據ISO/IEC 27001的組織驗證規格與參考其規範內的條款,再透過了解教育體系與相關單位的特性及需求,設計出一套有系統分析與管理資訊安全風險的〈教育體系資通安全管理規範〉(96年5月30日版,網址:https://cissnet.edu.tw/uploads/others/教育體系資通安全管理規範.pdf),而臺師大心測中心(行政院資安推動B級單位),也在教育部與輔導單位的協助下,順利通過於「試務系統之報名作業及成績複查作業之系統維護與機房維運作業」的教育體系資通安全管理規範認證,以強化並提升試務重要工作的整體安全防護能量,並降低資訊安全風險。

資訊安全管理系統無論如何制定,資料的管理都會有其程度差異上的威脅和弱點,因此引用美國學者愛德華茲‧戴明提出的Plan-Do-Check-Action(PDCA)循環,由此程序中訂定出相關規範與規則,確保資料合乎機密性(Confidentiality)、完整性(Integrity)、可用性(Availability)。

Plan-Do-Check-Action循環:

1.規劃(Plan):產品可靠度目標預測與訂定、可靠度計畫研擬與確定、可靠度組織與分工。

2.執行(Do):可靠度作業激勵、命令與實施。

3.查核(Check):產品可靠度評定與評估、可靠度作業管制與稽核。

4.行動(Action):各種可靠度工作之作業單位間協調、可靠度改善對策訂定、改善行動執行與跟催。

http://www.runpc.com.tw/cont_img/106693_1.jpg

CIA:

1.機密性(Confidentiality):確保只有經授權的人,才可以存取資訊。

2.完整性(Integrity):確保資訊與處理方法的正確性與完整性。

3.可用性(Availability):確保經授權的使用者在需要時可以取得資訊及相關資產。

對於資訊安全的落實,雖然政府訂定了相關法令,引進與建置了相關規準,然而實際的實作與執行狀況卻很多,例如:最近有一篇中央社倫敦2013年11月29日的報導〈美冷戰核彈發射碼:00000000〉(http://www.cna.com.tw/news/aOPL/201311300250-1.aspx),裡面有一句話:「軍方擔心指揮中心或通信線路在核戰引爆後遭摧毀,讓士兵無法在必要時獲得密碼或獲得授權發射飛彈。」表示軍方認定該地區管制已達自我認可的地步,發射密碼只是個確認步驟,如果依照資訊安全管理程序的處理方式,發射碼不管如何,沒做到密碼複雜性便存在著高風險,報導中軍方的解釋看似合理,但是在導入資訊安全管理系統的程序當中,這是違反控制項目執行的做法。而對於事件的處理並不是解釋得過去就好,資訊安全管理是要防患未然,預先做好所有威脅與弱點的風險管理,降低事件至可接受程度,並施行適當方法以控制其在可忍受範圍內,所以並不是在發生事件後才進行補救,必須把補救的成本提前用於防範。因此為了避免不符合資訊安全管理制度實施、操作及使用之事項重複發生,除了要擬訂發生事件時所採取適當的矯正措施外,更要規劃其相關預防措施。

風險經由資訊安全管理系統有效的控制之後,雖然事件沒有發生就無法立竿見影,甚至可能會被誤以為造成資源的浪費,資訊安全推動時期的教育訓練與觀念的推廣,將是相當重要的工作之一。各行各業都必須建立「資訊安全,人人有責」的觀念,資料從以前的紙本演變成現今的數位化資料,其所擁有的製作快速、傳送容易等特性,雖然帶來極大的便利,但也易成為非法濫用的工具,因此對於資訊安全管理的落實,一定要每年持續地規劃、執行、檢視與處理。