跳到主要內容區塊

ACW

資通安全維護計畫推動思維與實作方法(上)


我們從歷年來發生過的資通安全事故案例發現,資通安全事故的發生都可能會造成組織重大的衝擊,顯示出資通安全管理對組織而言已經不再是選擇性配備,而是必要的標準配備。資通安全事故所造成的影響也不僅限在組織受損的層級,更提昇至國家安全之等級,所以『資通安全管理法』於107年5月11日立法院三讀通過,108年正式施行。
資通安全管理法』立法主要目的『為積極推動國家資通安全政策,加速建構國家資通安全環境,以保障國家安全,維護社會公共利益,特制定本法。』明白的將資通安全提昇為國家安全相同等級。

接下來為您介紹資安維護計畫的重點。

作者:安碁資訊股份有限公司 / 楊家豪專案經理

======

壹、資通安全維護計畫實施目的
資通安全法第10條明定應符合組織所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
資通安全法施行細則第6條規範,資通安全維護計畫應包含下列13款內容:
(1) 核心業務及其重要性
(2) 資通安全政策及目標
(3) 資通安全推動組織
(4) 專責人力及經費之配置
(5) 資安長配置
(6) 資產盤點(識別核心資通系統)
(7) 風險評估
(8) 防護及控制措施
(9) 事件通報應變及演練機制
(10) 情資評估及因應機制
(11) 委外管理措施
(12) 人員考核
(13) 持續精進及績效管理機制

資通安全管理制度要導入組織中需透過循序漸近的方式逐步推廣深入強化,管理制度應採用戴明循環(Deming cycle) PDCA (Plan - Do- Check – Act),透過規劃、執行、查核與行動的方式改善與管理資通安全管理制度。如下圖1戴明循環(Deming Cycle)所示。
故資通安全維護計畫應依據組織現況每年定期更新,並依據實際需求調整資通安全維護計畫內容,擬定組織的資通安全維護計畫主要目的:
1. 評估組織資通安全管理現況:確認組織目前現況與『資通安全管理法』所要求的項目,識別組織具有多少未符合『資通安全管理法』的差異。
2. 規劃組織資通安全管理實作:針對未符合『資通安全管理法』的部份進行建置、規劃及執行;而已經具有實作的部份應持續執行,並檢討改善精進方向。


圖1- 戴明循環(Deming Cycle)

貳、資通安全維護計畫實施推動辦法
整合資通安全法施行細則第6條規範項目,分以下六項來說明實施推動資通安全維護計畫實施推動辦法:

一、資通安全推動組織
資通安全管理在組織中已經不再只是單一單位可以完成的任務與責任,而應依據組織各單位職掌進行分工分責,組織全員動起來達成資通安全管理目標。『資通安全管理法』規範應設置資通安全長,且應由機關首長指派副首長或適當人員兼任,負責推動及監督機關內資通安全相關事務。人事單位應將資通安全列入人員考核制度,將辦理資通安全管理制度有功人員進行獎勵,反之,違反人員進行懲處。組織各相關權責單位應針對特定非公務機關、委外供應廠商定期執行稽核及監督審查管理。各資通安全組織角色及權責範例如下表1資通安全組織角色及權責範例說明。

推動資通安全管理制度時,應定期舉行各項資通安全管理教育訓練認知課程,將課程區分成資通安全及資訊人員課程、一般使用者及主管課程,使其認知應負責之事項。

表1-資通安全組織角色及權責範例


二、核心業務分析
在『資通安全管理法』中核心業務分析方法採用「資通安全責任等級分級辦法」中「資通系統防護需求分級原則」,對資通系統的機密性完整性可用性適法性四個構面進行分析,其分析原則如下表2資通系統防護需求分級原則所示。

表2-資通系統防護需求分級原則


本實施推動說明中建議可再採用以下兩項分析構面,來加強判斷資通系統防護需求分級:
(一)營運衝擊分析(Business Impact Analysis)
針對各業務分析復原時間目標(Recover Time Objective, RTO)、復原時點目標(Recover Point Objective, RPO)、最大可容任中斷時間(Maximum Tolerable Period of Disruption, MTPD)等要素,可用於識別業務在可用性環節上的重要程度。識別各業務的最大可容忍中斷時間(MTPD)後,可以比較出各業務間可用性構面等級。
(二)個人資料分析(Personal data privacy analysis)
識別各業務流程中是否有個人資料,若業務流程中具有個人資料時,則其機密性與法律遵循性構面之等級就應相對較高。

三、建置資通安全管理制度文件
(一)政策與目標
組織在召開業務檢討會議時,通常高階主管緊盯的目標往往是與營業相關的目標,但若沒有完善資通安全管理各項資訊服務,讓資訊服務如期支援各項業務時,恐將造成無法完成營業目標的主因。所以組織在設定資通安全管理政策與目標時,除了將資訊安全的機密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、及適法性(Legitimacy)為主要目標以外,應設法與其業務目標進行結合,如此合併考量才能將資通安全的層次提昇成高階主管所重視的目標,資通安全目標如下表3資通安全目標範例所示。

表3-資通安全目標範例
Objective Information Security Management System Objective
Confidentiality 
 
Unauthorized use of information system accounts ≦ 3 accounts /Year
No Confidential information leakage
Integrity No Data fabrication
Announcement information content approved procedure
Announcement of wrong information content ≦ 1 time/Year
Availability
Information system availability ≧ 98%/Year
Information system interruption exceeds Recover Time Object (RTO) ≦ 2 time/Year
Legitimacy Use authorized software
No Violation of GDPR regulations

(二)資通安全管理文件
資通安全管理制度須實踐說-寫-做一致之精神,將『資通安全管理法』與組織管理程序整合成適合組織遵循的資通安全管理制度文件。資通安全管理制度文件架構可分成第一階:最高管理政策;第二階:管理程序;第三階:標準作業手冊及四階:表單。
規劃組織資通安全管理制度文件時,應考量組織內風險因子、現存管理制度、作業流程、外部風險因子、相關法令法規及適用的國際標準規範。如圖2管理制度文件架構圖所示。


圖2-管理制度文件架構圖

資通安全管理文件建議可分為各項領域規範:資通安全管理組織與權責管理、文件管理、人員安全管理、資通安全稽核管理、改善管理、資通安全事故管理、供應商關係管理、資通安全持續性管理、風險管理、實體環境安全管理、通訊與作業安全管理、存取控制管理、資訊系統開發與維護管理。如圖3資通安全管理制度文件領域所示。


圖3-資通安全管理制度文件領域

作者經歷簡述
曾經在安侯企業管理股份有限公司(KPMG)副理任職10年,現今任職於安碁資訊股份有限公司第5年,15年的資訊安全管理與技術面之實務經驗,累積超過50個公務機關與企業 ISMS/ PIMS/ITSM等專案建置輔導經驗、教育訓練授課時數超過200小時,且具有超過50個單位的資訊安全弱點掃瞄、滲透測試,以及資訊安全稽核審查實務經驗。