20個A+導入ISMS　強化應變力

文／謝誼萱　邱詩琁


資訊安全管理系統(Information Security Management Systems簡稱ISMS)，由英國工業貿易部倡導，正在全球普遍推行當中。BS?7799-2資訊安全管理系統規範，可以作為整個組織或部份單位其資訊安全管理系統評估的基準，也就是它可以做為一個正式驗證的標準，其中包含36項目標訂定與127項控制方式。
取得安控優勢
行政院國家資通安全會報推動的「建立我國通資訊基礎建設安全機制計畫」中，規定電子報稅、跨行網路、入出境管理、健保IC卡金鑰管理等20個重要作業系統，必須在93年6月通過CNS17800/BS7799-2驗證。換言之，明年底至少國內要增20張CNS17800或BS7799-2驗證，民間企業也隨之掀起導入ISMS系統風潮，四大顧問公司及資安廠商也紛紛投入ISMS顧問市場，競爭日趨白熱化，本期我們就政府在導入ISMS系統所遇到問題，由專業顧問提供解決之道。

　
組織會改變、制度會修正、網路架構與資訊化的規劃也會隨著時間與營運而有持續的變化，因此政府機關資訊系統或者管理制度原來先天的弱點、潛在的威脅、發生的機率、損失的比例、風險的衝擊、與接受的程度與標尺都會隨之而改變，所以主事者必須有正確的觀念，即對欲維持資訊安全的等級在可以接受的範圍內，政府機關必須不斷的配合需要調整其 ISMS系統。


每一項改善措施導入順暢後，政府機關如何確保其成效如同預期呢？通常需請資安顧問或者稽核單位進行相對的稽核與驗證，裨助於了解所投入的資源、人力與成本是否創造出企業所能接受的資安風險等級。此時可以請資安顧問協助進行「內部稽核與審查」，如有必要也可以請資安顧問聘任「外部稽核與審查單位」來進行所謂的『外審』。無論內審或者外審的結果，可能會有部分瑕疵，針對審查結果再進行必要的修正，而這整個運作過程便是所謂資訊安全管理系統。導入ISMS系統認證能為政府機關帶來許多重要的策略與運作優勢，包括：提高安全規劃效率、提高安全管理成效、提高稽核投資報酬率(ROI) 、降低法律風險、改善部門合作關係、提高民眾信賴度等。

重過程非結果
勤業眾信會計師事務所協理萬幼筠表示，建立一套真正有效的系統，對企業內部之安全管理才是重點所在。而導入BS7799的目的不在拿證書，是參考已有的國際標準，並因應實際需求及作業環境逐步建立，適合企業真正需求，再透過不斷的訓練與推動，讓安全的觀念融入日常作業中。萬幼筠表示，至於企業最後是否要通過認證已不重要，其間過程讓企業真正去落實資訊安全，才是最大的收穫。致遠會計師事務所徐敏玲協理也認為，資訊安全重視『方法』，而對的方法必須依各單位實際問題尋找解決方式，政府機關礙於體制與積習，在應變能力上是需再努力。

　
單位主管的態度攸關導入ISMS系統成敗，由於需要花費不少人力與時間，加上政府機關僵化體制，要說受員工接受額外增加的工作量，實在不是件簡單的事。宏瞻資訊顧問服務部協理張美月指出，所有文件規範在執行時, 一定會碰到 原本單位內的人事規章、工作流程與管理，如何呼應或調整以融入原運作系統是政府機關導入ISMS系統亟待加強的。寬華網路科技公司周頌釣協理表示，ISMS 是一套不限於IT技術的管理系統，它就像是ISO9001一樣需要全公司員工身體力行方能奏效。在實施的過程中，需要管理階層的認知與全力支援，以及全體員工的共識和配合，教育訓練和不斷的實施活動是必要的，尤其需要定期稽核和檢查，以確保系統可以持續不斷的執行。

從小規模做起
要在一個龐大的組織建立ISMS系統，而且要做全步驟，不管是時間、人力和資源上都需要很大的投入。所以，會選擇從小規模的部門或系統開始著手，再一步步擴及整個組織。因為ISMS對政府機關來說還是一個新的管理技術，就算熟讀了 BS7799 標準對ISMS的解說和條文，也不見得有能力獨立完成整個建制過程。多走冤枉路事小，系統成敗事大，尋求專業顧問服務的協助是比較實際的做法。

　
致遠企業風險管理部經理莊強閔對如何落實人員管理，達到保護有價值的資訊，防止機密的資訊外洩？歸納出以下三點控管事項： 一、員工對資訊安全的權利與義務。二、對人員提供資訊安全的教育訓練。三、對安全事故的立即處理，以及賞罰分明。宏瞻張美月也指出，政府人事精簡後，有些單找不到相對應的人，訊息傳遞及溝通協調不佳，常會有訊息混亂的現象(例如驗收是業務單位，收文是IT單位) 再加上所有訊息分別透過直屬主管機關傳達，營業與資訊單位之間，如果溝通協調不好，就會產生誤解。由於ISMS 有80多個條款是與IT技術相關，她建議由IT部門主導較好。
　

委外慎選顧問
當政府決定導入ISMS系統確實活絡了相關的顧問市場，但也因為市場競爭趨烈，幾家承攬ISMS業務的廠商及顧問，不但要比數量還得比較品質。人的問題是政府導入ISMS系統另一項重要課題。安侯建業會計事務所副總經理陳瑞祥表示，顧問人員的品質是最重要的關鍵，同時市場對專業人力需求量大，以目前國內各家顧問具有相關技術背景及經驗的人不多，加上管理系統導入的時間要花半年以上的時間。

　
經由英國認證服務(United Kingdom Accreditation Services，簡稱UKAS)認證可發放BS7799證書的公司，目前僅有Bsi香港商英國標準協會在台設有分公司，有些學者憂心在BS7799有可能重蹈ISO9000覆轍，在市場炒作下，被不肖商人做爛，證照可以以低價輕易取得。近日市場傳聞，有外來廠商看上這塊市場，以低價為餌搶案子，學者的憂慮似乎已成真。不過，要通過驗證的使用單位也許應先思考究竟要的只是一張證書，還是實質的安全保障？讓劣幣逐良幣的情形不致於發生。

　
針對稽核發照水準不一的現象，寬華周頌鈞協理表示，選擇適當的ISMS顧問應該考慮：它是否擁有建置ISMS的實務經驗？是否有協助客戶通過BS7799認證的案例？顧問成員在ISMS 和 BS7799以及資訊安全等專業領域是否有專業證照？能不能提供完整的教育訓練？顧問成員對於IT技術和各種安全控制系統是否熟悉，並且可以建議最適當有效的解決方案？ISMS顧問成員更應該具有資安事故處理和緊急應變的實務經驗，才能確保系統在面對真實資安事件時的有效性。


IBM資訊服務部通資訊安全專業服務協理陳長榮表示， IBM在諮詢服務部份會比較傾向扮演較實務的執行者（Practicer）的角色，IBM對政府用戶所提供的顧問服務，不僅提供各項評估、稽核或訂定策略的諮詢服務而已，若拿醫生看病的例子來說，IBM不僅會告訴病人的病歷，也會開藥方給病人；所以IBM會特別注重Practice並提供完整的解決方案給用戶。

分段逐步實施
建置ISMS上有人力和資源的限制，與其草草了事導致系統失敗，不如有系統地分階段慢慢實施。國家資通安全會報要求20個重要作業系統先導入ISMS，主要目的也在期待政府機關能藉由導入過程，不斷的稽核、檢討、重新規劃、提升系統的安全等級，進而將資安觀念由相關人員帶到組織內，再帶動其他單位重視資安管理意涵。