跳到主要內容區塊

ACW

特定非公務機關資通安全維護計畫實施情形稽核辦法


本專欄共分成三部分,第一篇介紹在資通安全管理法當中,什麼是「特定非公務機關」。第二篇介紹特定非公務機關要如何準備資通安全維護計畫。本篇為第三篇,介紹維護計畫的實施稽核方針,歡迎多加參考。

作者:高雄大同醫院 / 蔡仲城資訊室主任
本計畫整理, edited by Su Yu Tsai

======

大部分組織執行ISMS資訊安全管理系統皆遵循PDCA循環(如下圖),以確保組織能持續精進改善資訊安全,其中重要的一環就是要「定期稽核」,而稽核應有的內涵應包括系統化的過程、符合管理階層之經營策略、查核證據、客觀性、與公認標準相符合與傳達查核結果。



依據『資通安全管理法』第七條規定,主管機關得稽核特定非公務機關之資通安全維護計畫實施情形;其稽核之頻率、內容與方法及其他相關事項之辦法,由主管機關定之。依上述特訂定『特定非公務機關資通安全維護計畫實施情形稽核辦法』,讓特定非公務機關有法規辦法可依循,另外針對各部會所管之特定非公務機關也訂有資通安全管理辦法,如衛生福利部、教育部、經濟部、科技部與交通部所管特定非公務機關資通安全管理作業辦法等,組織可依循本身的主管機關來參閱相關作業辦法因應之,且由於目前尚未開始特定非公務機關實體稽核,因此本節內容將依據辦法文字以易懂方式進行說明。

一、稽核時間及計畫內容
主管機關將依據前述之法規,每年擇定當年度各季受稽核之特定非公務機關,並以現場實地稽核之方式,稽核其資通安全維護計畫實施情形。而在擬定稽核計畫前將會綜合考量該特定非公務機關其業務之重要性與機敏性、資通系統之規模與性質、資通安全事件發生之頻率與程度、資通安全演練之成果、歷年受主管機關或中央目的事業主管機關稽核之頻率與結果或其他與資通安全相關之因素製作稽核計畫,因此並非所有稽核計畫皆為同樣之內容,但目的皆會相同的,不外乎以下三點原則:
  1. 審查該組織係透過資訊安全管理系統之協助,以落實組織之計劃,並設計適當之制度有效執行之。
  2. 審查該組織資訊安全管理系統衡量、處理及保存之資訊,係為完整且正確之資訊;提供該等資訊給適當人員使用係依據適當設計之制度執行。
  3. 審查該組織設立維持資訊安全管理系統保持運作之辦法,係適當設計之制度有效執行之。
稽核計畫內容將包括該次稽核之依據與目的,如依據『資通安全管理法』規定辦理等、稽核的起迄期間、稽核重點領域、稽核小組組成方式及成員、保密義務、稽核方式、基準與項目及中央目的事業主管機關等協助事項。另外,主管機關決定前項稽核之重點領域與基準及項目時,會綜合考量我國資通安全政策、國內外資通安全趨勢、過往稽核計畫之內容與稽核結果,及其他與稽核資源之適當分配或稽核成效相關之因素來決定稽核內容,例如最近國內外發生何種資安事件(勒索軟體、ATM盜領事件等等),配合時事內容做為稽核目的及範圍參考。

二、稽核計畫通知
依據辦法,主管機關之稽核計畫需於一個月前以書面通知受稽核機關。受稽核機關如因業務因素或有其他正當理由,得於收受前項通知後五日內,以書面敘明理由向主管機關申請調整稽核日期。前項申請,除有不可抗力之事由外,以一次為限。

三、稽核方式
辦法指出,主管機關得以要求受稽核機關為資通安全維護計畫實施情形之說明、協力或提出相關之文件、證明資料,如資安管理系統相關程序書、說明書及表單紀錄等紙本或電子文件供現場查閱,並執行下列事項,受稽核機關及其所屬人員應予配合:
  1. 稽核前訪談:通常為該受稽核機關負責資訊安全之主管,透過訪談方式了解其對組織資訊安全政策制訂的方向以及投入資源的程度。
  2. 現場實地稽核:由主管機關稽核員於受稽核機關現場確認稽核計畫所需之文件。
若受稽核機關依法律有正當理由,未能於表定稽核時間為前項說明、協力或提出資料供現場查閱者,可以書面敘明理由,向主管機關提出變更。當主管機關收受前項書面後,將進行變更內容審核,並依下列辦法規定辦理,是可以得以停止稽核作業之全部或一部分:
  1. 書面之資料認有理由者,可以得以停止稽核作業,並將審核之依據及相關資訊記載於稽核結果報告。
  2. 書面之資料認無理由者,受稽核機關就必須依辦法接受現場稽核規定辦理;而已停止稽核作業者,可以擇期續行辦理,並於十日前以書面通知受稽核機關。
四、稽核人員組成
當主管機關辦理到稽核機關現場稽核時,會考量受稽核機關其業務之重要性與機敏性、資通系統之規模與性質等或其他與資通安全相關之因素,就各受稽核機關分別組成三人至七人之稽核小組。而主管機關組成該稽核小組時,會考量稽核之需求,邀請具備資通安全政策或該次稽核所需之技術、管理、法律或實務專業知識之公務機關代表或專家學者擔任小組成員,其中公務機關代表不得少於全體成員人數之三分之一。

且由於過去資訊安全管理法尚未實施前,稽核人員通常皆為組織內部由主辦稽核單位指派適當人員擔任,若沒有適合之人員,也有可將稽核事務委交外部顧問公司輔導稽核,或由公正之稽核公司進行稽核,讓內部人員從中學習稽核方式,提昇稽核品質。而本次辦法明文規定公務機關代表人數要求,對特定非公務機關著實為一種挑戰。

除了專家學者的稽核品質要求外,對稽核之公正性也有辦法規定,因此主管機關會以書面方式與稽核小組成員約定利益衝突之迴避及保密義務。依據辦法有下列情形之一者,應將主動迴避擔任該次稽核之稽核小組成員,以確保稽核之公正性:
  1. 本人、其配偶、三親等內親屬、家屬或上開人員財產信託之受託人,與受稽核機關或其負責人間有財產上或非財產上之利害關係。
  2. 本人、其配偶、三親等內親屬或家屬,與受稽核機關或其負責人間,目前或過去二年內有僱傭、承攬、委任、代理或其他類似之關係。
  3. 本人目前或過去二年內任職之機關(構)或單位,曾為受稽核機關之顧問,其輔導項目與受稽核項目相關。
  4. 其他情形足認擔任稽核小組成員,將對稽核結果之公正性造成影響。

五、稽核結果告知
主管機關稽核員將透過文件檢視、訪談、抽樣、觀察、使用電腦輔助查核及選擇和測試控制點來進行稽核作業,以公正性、獨立性、客觀性、一致性完成稽核報告。並依照辦法主管機關應於每季所定受稽核機關之稽核作業完成後一個月內,將稽核結果報告交付該季受稽核機關。稽核結果報告之內容,應包括稽核之範圍、缺失或待改善事項、受稽核機關未能為說明、協力或提出資料供現場查閱之情形、理由與主管機關審核結果,及其他與稽核相關之必要內容。

六、其他說明
當主管機關辦理受稽核機關現場稽核時,可以要求受稽核機關之中央目的事業主管機關派員為必要協助,以順利完成各項稽核活動。

總結
以上僅簡述特定非公務機關維護計畫的撰寫要領以及稽核相關規定,但還有許多議題如資通安全事件通報應變、情資分享等,而關於資通安全管理法實施現況,行政資安處副處長徐嘉臨在2月14日揭露相關進度,其中關鍵設施提供者的納管,則是要在今年7月1日才開始執行。因此過去感覺上偏重在公務機關的資通安全實施要求,目前也因應時代趨勢,將納管範圍擴大至特定非公務機關,並也因應不同型態之組織機構設有各式辦法,突顯出資通安全管理必須面面俱到,因此在管理面、技術面與政策及整合面的改變,是每個特定非公務機關需重視考量的。