觀點

20個A+導入ISMS 強化應變力

2003 / 10 / 02
20個A+導入ISMS 強化應變力

文/謝誼萱 邱詩琁


資訊安全管理系統(Information Security Management Systems簡稱ISMS),由英國工業貿易部倡導,正在全球普遍推行當中。BS?7799-2資訊安全管理系統規範,可以作為整個組織或部份單位其資訊安全管理系統評估的基準,也就是它可以做為一個正式驗證的標準,其中包含36項目標訂定與127項控制方式。
取得安控優勢
行政院國家資通安全會報推動的「建立我國通資訊基礎建設安全機制計畫」中,規定電子報稅、跨行網路、入出境管理、健保IC卡金鑰管理等20個重要作業系統,必須在93年6月通過CNS17800/BS7799-2驗證。換言之,明年底至少國內要增20張CNS17800或BS7799-2驗證,民間企業也隨之掀起導入ISMS系統風潮,四大顧問公司及資安廠商也紛紛投入ISMS顧問市場,競爭日趨白熱化,本期我們就政府在導入ISMS系統所遇到問題,由專業顧問提供解決之道。

 
組織會改變、制度會修正、網路架構與資訊化的規劃也會隨著時間與營運而有持續的變化,因此政府機關資訊系統或者管理制度原來先天的弱點、潛在的威脅、發生的機率、損失的比例、風險的衝擊、與接受的程度與標尺都會隨之而改變,所以主事者必須有正確的觀念,即對欲維持資訊安全的等級在可以接受的範圍內,政府機關必須不斷的配合需要調整其 ISMS系統。


每一項改善措施導入順暢後,政府機關如何確保其成效如同預期呢?通常需請資安顧問或者稽核單位進行相對的稽核與驗證,裨助於了解所投入的資源、人力與成本是否創造出企業所能接受的資安風險等級。此時可以請資安顧問協助進行「內部稽核與審查」,如有必要也可以請資安顧問聘任「外部稽核與審查單位」來進行所謂的『外審』。無論內審或者外審的結果,可能會有部分瑕疵,針對審查結果再進行必要的修正,而這整個運作過程便是所謂資訊安全管理系統。導入ISMS系統認證能為政府機關帶來許多重要的策略與運作優勢,包括:提高安全規劃效率、提高安全管理成效、提高稽核投資報酬率(ROI) 、降低法律風險、改善部門合作關係、提高民眾信賴度等。

重過程非結果
勤業眾信會計師事務所協理萬幼筠表示,建立一套真正有效的系統,對企業內部之安全管理才是重點所在。而導入BS7799的目的不在拿證書,是參考已有的國際標準,並因應實際需求及作業環境逐步建立,適合企業真正需求,再透過不斷的訓練與推動,讓安全的觀念融入日常作業中。萬幼筠表示,至於企業最後是否要通過認證已不重要,其間過程讓企業真正去落實資訊安全,才是最大的收穫。致遠會計師事務所徐敏玲協理也認為,資訊安全重視『方法』,而對的方法必須依各單位實際問題尋找解決方式,政府機關礙於體制與積習,在應變能力上是需再努力。

 
單位主管的態度攸關導入ISMS系統成敗,由於需要花費不少人力與時間,加上政府機關僵化體制,要說受員工接受額外增加的工作量,實在不是件簡單的事。宏瞻資訊顧問服務部協理張美月指出,所有文件規範在執行時, 一定會碰到 原本單位內的人事規章、工作流程與管理,如何呼應或調整以融入原運作系統是政府機關導入ISMS系統亟待加強的。寬華網路科技公司周頌釣協理表示,ISMS 是一套不限於IT技術的管理系統,它就像是ISO9001一樣需要全公司員工身體力行方能奏效。在實施的過程中,需要管理階層的認知與全力支援,以及全體員工的共識和配合,教育訓練和不斷的實施活動是必要的,尤其需要定期稽核和檢查,以確保系統可以持續不斷的執行。

從小規模做起
要在一個龐大的組織建立ISMS系統,而且要做全步驟,不管是時間、人力和資源上都需要很大的投入。所以,會選擇從小規模的部門或系統開始著手,再一步步擴及整個組織。因為ISMS對政府機關來說還是一個新的管理技術,就算熟讀了 BS7799 標準對ISMS的解說和條文,也不見得有能力獨立完成整個建制過程。多走冤枉路事小,系統成敗事大,尋求專業顧問服務的協助是比較實際的做法。

 
致遠企業風險管理部經理莊強閔對如何落實人員管理,達到保護有價值的資訊,防止機密的資訊外洩?歸納出以下三點控管事項: 一、員工對資訊安全的權利與義務。二、對人員提供資訊安全的教育訓練。三、對安全事故的立即處理,以及賞罰分明。宏瞻張美月也指出,政府人事精簡後,有些單找不到相對應的人,訊息傳遞及溝通協調不佳,常會有訊息混亂的現象(例如驗收是業務單位,收文是IT單位) 再加上所有訊息分別透過直屬主管機關傳達,營業與資訊單位之間,如果溝通協調不好,就會產生誤解。由於ISMS 有80多個條款是與IT技術相關,她建議由IT部門主導較好。
 

委外慎選顧問
當政府決定導入ISMS系統確實活絡了相關的顧問市場,但也因為市場競爭趨烈,幾家承攬ISMS業務的廠商及顧問,不但要比數量還得比較品質。人的問題是政府導入ISMS系統另一項重要課題。安侯建業會計事務所副總經理陳瑞祥表示,顧問人員的品質是最重要的關鍵,同時市場對專業人力需求量大,以目前國內各家顧問具有相關技術背景及經驗的人不多,加上管理系統導入的時間要花半年以上的時間。

 
經由英國認證服務(United Kingdom Accreditation Services,簡稱UKAS)認證可發放BS7799證書的公司,目前僅有Bsi香港商英國標準協會在台設有分公司,有些學者憂心在BS7799有可能重蹈ISO9000覆轍,在市場炒作下,被不肖商人做爛,證照可以以低價輕易取得。近日市場傳聞,有外來廠商看上這塊市場,以低價為餌搶案子,學者的憂慮似乎已成真。不過,要通過驗證的使用單位也許應先思考究竟要的只是一張證書,還是實質的安全保障?讓劣幣逐良幣的情形不致於發生。

 
針對稽核發照水準不一的現象,寬華周頌鈞協理表示,選擇適當的ISMS顧問應該考慮:它是否擁有建置ISMS的實務經驗?是否有協助客戶通過BS7799認證的案例?顧問成員在ISMS 和 BS7799以及資訊安全等專業領域是否有專業證照?能不能提供完整的教育訓練?顧問成員對於IT技術和各種安全控制系統是否熟悉,並且可以建議最適當有效的解決方案?ISMS顧問成員更應該具有資安事故處理和緊急應變的實務經驗,才能確保系統在面對真實資安事件時的有效性。


IBM資訊服務部通資訊安全專業服務協理陳長榮表示, IBM在諮詢服務部份會比較傾向扮演較實務的執行者(Practicer)的角色,IBM對政府用戶所提供的顧問服務,不僅提供各項評估、稽核或訂定策略的諮詢服務而已,若拿醫生看病的例子來說,IBM不僅會告訴病人的病歷,也會開藥方給病人;所以IBM會特別注重Practice並提供完整的解決方案給用戶。

分段逐步實施
建置ISMS上有人力和資源的限制,與其草草了事導致系統失敗,不如有系統地分階段慢慢實施。國家資通安全會報要求20個重要作業系統先導入ISMS,主要目的也在期待政府機關能藉由導入過程,不斷的稽核、檢討、重新規劃、提升系統的安全等級,進而將資安觀念由相關人員帶到組織內,再帶動其他單位重視資安管理意涵。