歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
20個A+導入ISMS 強化應變力
2003 / 10 / 02
文/謝誼萱 邱詩琁
資訊安全管理系統(Information Security Management Systems簡稱ISMS),由英國工業貿易部倡導,正在全球普遍推行當中。BS?7799-2資訊安全管理系統規範,可以作為整個組織或部份單位其資訊安全管理系統評估的基準,也就是它可以做為一個正式驗證的標準,其中包含36項目標訂定與127項控制方式。
取得安控優勢
行政院國家資通安全會報推動的「建立我國通資訊基礎建設安全機制計畫」中,規定電子報稅、跨行網路、入出境管理、健保IC卡金鑰管理等20個重要作業系統,必須在93年6月通過CNS17800/BS7799-2驗證。換言之,明年底至少國內要增20張CNS17800或BS7799-2驗證,民間企業也隨之掀起導入ISMS系統風潮,四大顧問公司及資安廠商也紛紛投入ISMS顧問市場,競爭日趨白熱化,本期我們就政府在導入ISMS系統所遇到問題,由專業顧問提供解決之道。
組織會改變、制度會修正、網路架構與資訊化的規劃也會隨著時間與營運而有持續的變化,因此政府機關資訊系統或者管理制度原來先天的弱點、潛在的威脅、發生的機率、損失的比例、風險的衝擊、與接受的程度與標尺都會隨之而改變,所以主事者必須有正確的觀念,即對欲維持資訊安全的等級在可以接受的範圍內,政府機關必須不斷的配合需要調整其 ISMS系統。
每一項改善措施導入順暢後,政府機關如何確保其成效如同預期呢?通常需請資安顧問或者稽核單位進行相對的稽核與驗證,裨助於了解所投入的資源、人力與成本是否創造出企業所能接受的資安風險等級。此時可以請資安顧問協助進行「內部稽核與審查」,如有必要也可以請資安顧問聘任「外部稽核與審查單位」來進行所謂的『外審』。無論內審或者外審的結果,可能會有部分瑕疵,針對審查結果再進行必要的修正,而這整個運作過程便是所謂資訊安全管理系統。導入ISMS系統認證能為政府機關帶來許多重要的策略與運作優勢,包括:提高安全規劃效率、提高安全管理成效、提高稽核投資報酬率(ROI) 、降低法律風險、改善部門合作關係、提高民眾信賴度等。
重過程非結果
勤業眾信會計師事務所協理萬幼筠表示,建立一套真正有效的系統,對企業內部之安全管理才是重點所在。而導入BS7799的目的不在拿證書,是參考已有的國際標準,並因應實際需求及作業環境逐步建立,適合企業真正需求,再透過不斷的訓練與推動,讓安全的觀念融入日常作業中。萬幼筠表示,至於企業最後是否要通過認證已不重要,其間過程讓企業真正去落實資訊安全,才是最大的收穫。致遠會計師事務所徐敏玲協理也認為,資訊安全重視『方法』,而對的方法必須依各單位實際問題尋找解決方式,政府機關礙於體制與積習,在應變能力上是需再努力。
單位主管的態度攸關導入ISMS系統成敗,由於需要花費不少人力與時間,加上政府機關僵化體制,要說受員工接受額外增加的工作量,實在不是件簡單的事。宏瞻資訊顧問服務部協理張美月指出,所有文件規範在執行時, 一定會碰到 原本單位內的人事規章、工作流程與管理,如何呼應或調整以融入原運作系統是政府機關導入ISMS系統亟待加強的。寬華網路科技公司周頌釣協理表示,ISMS 是一套不限於IT技術的管理系統,它就像是ISO9001一樣需要全公司員工身體力行方能奏效。在實施的過程中,需要管理階層的認知與全力支援,以及全體員工的共識和配合,教育訓練和不斷的實施活動是必要的,尤其需要定期稽核和檢查,以確保系統可以持續不斷的執行。
從小規模做起
要在一個龐大的組織建立ISMS系統,而且要做全步驟,不管是時間、人力和資源上都需要很大的投入。所以,會選擇從小規模的部門或系統開始著手,再一步步擴及整個組織。因為ISMS對政府機關來說還是一個新的管理技術,就算熟讀了 BS7799 標準對ISMS的解說和條文,也不見得有能力獨立完成整個建制過程。多走冤枉路事小,系統成敗事大,尋求專業顧問服務的協助是比較實際的做法。
致遠企業風險管理部經理莊強閔對如何落實人員管理,達到保護有價值的資訊,防止機密的資訊外洩?歸納出以下三點控管事項: 一、員工對資訊安全的權利與義務。二、對人員提供資訊安全的教育訓練。三、對安全事故的立即處理,以及賞罰分明。宏瞻張美月也指出,政府人事精簡後,有些單找不到相對應的人,訊息傳遞及溝通協調不佳,常會有訊息混亂的現象(例如驗收是業務單位,收文是IT單位) 再加上所有訊息分別透過直屬主管機關傳達,營業與資訊單位之間,如果溝通協調不好,就會產生誤解。由於ISMS 有80多個條款是與IT技術相關,她建議由IT部門主導較好。
委外慎選顧問
當政府決定導入ISMS系統確實活絡了相關的顧問市場,但也因為市場競爭趨烈,幾家承攬ISMS業務的廠商及顧問,不但要比數量還得比較品質。人的問題是政府導入ISMS系統另一項重要課題。安侯建業會計事務所副總經理陳瑞祥表示,顧問人員的品質是最重要的關鍵,同時市場對專業人力需求量大,以目前國內各家顧問具有相關技術背景及經驗的人不多,加上管理系統導入的時間要花半年以上的時間。
經由英國認證服務(United Kingdom Accreditation Services,簡稱UKAS)認證可發放BS7799證書的公司,目前僅有Bsi香港商英國標準協會在台設有分公司,有些學者憂心在BS7799有可能重蹈ISO9000覆轍,在市場炒作下,被不肖商人做爛,證照可以以低價輕易取得。近日市場傳聞,有外來廠商看上這塊市場,以低價為餌搶案子,學者的憂慮似乎已成真。不過,要通過驗證的使用單位也許應先思考究竟要的只是一張證書,還是實質的安全保障?讓劣幣逐良幣的情形不致於發生。
針對稽核發照水準不一的現象,寬華周頌鈞協理表示,選擇適當的ISMS顧問應該考慮:它是否擁有建置ISMS的實務經驗?是否有協助客戶通過BS7799認證的案例?顧問成員在ISMS 和 BS7799以及資訊安全等專業領域是否有專業證照?能不能提供完整的教育訓練?顧問成員對於IT技術和各種安全控制系統是否熟悉,並且可以建議最適當有效的解決方案?ISMS顧問成員更應該具有資安事故處理和緊急應變的實務經驗,才能確保系統在面對真實資安事件時的有效性。
IBM資訊服務部通資訊安全專業服務協理陳長榮表示, IBM在諮詢服務部份會比較傾向扮演較實務的執行者(Practicer)的角色,IBM對政府用戶所提供的顧問服務,不僅提供各項評估、稽核或訂定策略的諮詢服務而已,若拿醫生看病的例子來說,IBM不僅會告訴病人的病歷,也會開藥方給病人;所以IBM會特別注重Practice並提供完整的解決方案給用戶。
分段逐步實施
建置ISMS上有人力和資源的限制,與其草草了事導致系統失敗,不如有系統地分階段慢慢實施。國家資通安全會報要求20個重要作業系統先導入ISMS,主要目的也在期待政府機關能藉由導入過程,不斷的稽核、檢討、重新規劃、提升系統的安全等級,進而將資安觀念由相關人員帶到組織內,再帶動其他單位重視資安管理意涵。
最新活動
2025.06.25
資安人講堂:構築製造業資安核心 – 零信任架構的落地實戰
2025.06.24
漢昕科技X線上資安黑白講【檔案安全新防線,資料外洩零容忍——企業資安全面升級】2025/6/24全面開講!
2025.06.25
拆解 ISO 27001 報價公式:控好預算、加速資安合規
2025.06.27
以資安及風險角度重塑企業韌性
2025.06.27
以資安及風險角度重塑企業韌性
2025.07.09
AI應用下的資安風險
看更多活動
大家都在看
趨勢科技與Palo Alto Networks 發布多項重要安全更新
Microsoft 推出 2025年6月 Patch Tuesday 每月例行更新修補包
Mirai 殭屍網路鎖定 Wazuh 開源資安平台漏洞發動攻擊
大規模暴力破解攻擊鎖定 Apache Tomcat 管理介面
Qilin 勒索軟體集團利用 Fortinet 漏洞發動攻擊 已影響全球 310 家機構
資安人科技網
文章推薦
Jamf發表AI驅動的Apple裝置管理與強化資安功能
EchoLeak 揭示新型態的零點擊AI資安漏洞「LLM範疇突破」
光盾資訊促台日金融資安高層關鍵對話