ISMS之驗證、稽核

文 / 樊國楨


資訊安全管理系統的設計與實作是一個持繼不斷的過程，在其過程中，可以使對立的、相異的資訊安全風險評鑑結果彼此調合，據以建置包括保證人們根據知識、動機、可執行性等遵循之資訊安全風險管理之正式制度與體系；一般而言，管理部門應按照預先規劃的間隔時間，審查組織的資訊安全管理系統，確保系統仍合時宜，且充分、有效。這類審查作業應包括評鑑改進的機會，以及修改資訊安全管理系統的必要性，包括安全政策與安全目標。審查作業的結果應有說明文件，並製作紀錄。
資訊安全管理系統驗證所需
1. 審查作業需求資料

管理人員的審查作業需求資料應包括以下資訊：

(1)資訊安全管理系統稽核、審查作業的結果。

(2)相關部門的意見。

(3)可以讓組織用來改進資訊安全管理系統績效與效果的技術、產品或流程。

(4)預防及修正措施的狀況。

(5)前次風險評鑑工作未完全解決的脆弱性或威脅。

(6)前次管理人員審查作業的後續動作。

(7)可能影響資訊安全管理系統的任何變更工作。

(8)改進建議。



2. 審查作業產出結果

管理人員的審查作業所得出的結果應包括與下列事項有關的決策與行動。

(1)改進資訊安全管理系統的效果。

(2)必要時應修改執行資訊安全措施的流程，以處理組織內部或外部可能影響資訊安全管理系統的事件，改變事項包括：營運需求、安全需求、達到現有營運需求的營運程序、管理或法律環境、風險等級與可接受風險的程度。

(3)資源需求。



3. 內部資訊安全管理系統稽核作業

組織應按照預先規劃的間隔時間，進行內部的資訊安全管理系統稽核作業，以得知資訊安全管理系統的控制目標、控制措施、程序與流程是否符合以下情形：

(1)符合CNS17800（BS7799-2:2002）標準、相關法令或規章的要求。

(2)符合已定的資訊安全要求。

(3)執行與維護工作是否確實。

(4)效果是否符合預期。



稽核計畫應經過規劃，並考量到被稽核的程序及領域之狀態與重要性，以及前次稽核作業的結果。稽核標準、範疇、頻率及方法都必須確定。選擇稽核人員與執行方式都必須確保整個程序的客觀、公正性，且稽核人員不得稽核自己的工作。


規劃、執行稽核作業的職責與要求、回報結果與製作紀錄等事項都要在程序文件上明確界定。而被稽核區域的負責管理人員在採取行動時不可有不當延誤情形，把所發現違反規定的情形與其原因加以排除；改進工作應包括確認補救作業的程序，並回報確認的結果。

資訊安全管理系統稽核簡析
資訊安全管理系統稽核之目的在於：「用以獲得作為資訊安全管理系統（ISMS）之一組政策、執行活動或一組將輸入轉換為輸出之相互關連或交互作用的活動（簡稱過程）所規定之方法（簡稱程序），或要求有關並且能夠查證與確認的?述所達成結果或提供所執行活動之文件、事實陳述或其他有意義的資料（簡稱（稽核）證據），同時對它作客觀之評估，以決定ISMS作為依據的一組政策、程序或要求之系統，所滿足的程度之獨立的及文件化之過程。」，為達成前述之過程，一般而言，如圖一所示於稽核工作可以分為：


1.第一者稽核：又稱為內部稽核，是由組織本身或其代表為內部目的所執行，並可作為組織的自我滿足要求聲明之基礎。

2. 第二者稽核：外部稽核之一，是由對組織的績效或成效有利害關係的個人或團體，例如客戶或由其他代表客戶的人員所執行。

3. 第三者稽核：外部稽核之一，是由外部獨立服務組織所執行，這種組織提供驗證或符合要求登錄資格。


ISO自1996年10月起開始研訂之資訊技術安全保證框架（A Framework for Information Technology Security Assurance）國際標準ISO/IEC 15433已公布的技術報告建議書草案（Proposed Draft Technical Report，簡稱PDTR）之簡介，可以整理成如表一所示之資訊安全工程、資訊安全管理與資訊安全稽核宜具備之知識（Knowledge）與技能（Skills）的說明。


資訊系統安全驗證稽核工作初探
在對國家安全、社會安定會產生衝擊之資訊系統的安全性，宛如一個鍊條，其強?度將視最脆弱的一個環節而定。長期以來，微軟公司的產品成為網路悍客標的之報導已深入人心，無是是「紅色警戒（Code Red）網蟲」、「SQL指令植入式攻擊法」，還是台灣地區今（2003）年1月25日開始的「Slammer攻擊事件」無不針對微軟公司系統弱點（Weakness）中之罩門，就其脆弱性（Vulnerability）一擊中的。


在這樣每年上演的場景中，微軟公司在去（2002）年10月29宣布其Windows2000已通過評估保證等級4（Evaluation Assurance Level 4，簡稱EAL）第4級的驗證；那麼「Slammer攻擊事件」等之微軟系統的脆弱性又是如何發生的呢？質言之，微軟公司Windows2000獲得的是如圖三所示之美國聯邦政府IT安全評估中之受控存取保護剖繪（Controlled Access Protection Profile，簡稱CAPP）EAL4驗證。換言之，在不與網際網路連線、不使用電子郵遞、不安裝軟體等之使用環境下，Windows2000可以提供適度的安全保護。


然而，ISMS面對的卻是圖三中之資訊技術系統安全驗證與認證的問題。在建立ISMS的過程中，要如何分別圖三中之安全功能套件、評估標的組件與整合後之資訊系統等之安全保證等級？在ISMS保證程度之標準中，如表三所示，於產品籌獲與系統實作的建置過程，宜遵循ISO/IEC 15408資訊技術－安全技術（Security Techniques）中的資訊技術安全準則(Evaluation Criteria for IT Security）（註：ISO/IEC 15408系列標準通稱共同準則）（Common Criteria，簡稱CC）與ISO/IEC 21827資訊技術－系統安全工程－能力成熟度模型（System Security Engineering Capability Maturity Model，簡稱SSE-CMM）等標準的關鍵性。


資訊安全的活動是一個尚待開拓的園地，我國開始關心資訊安全管理系統驗證與稽核的機制，時間還不算久，經驗的累積還少，如何建立能與國際接軌的合適方法，實應展開更深入的思考與討論。身為數位時代的一員，我們不要辜負了這個全民參與建立資訊社會安全典範的機會。本文之研究結果，是我們對資訊安全驗證作業繳出的一份學習心得，尚望先進宏達不吝指正。(本文作者現職為鈺松國際研發處協理)