淡大資訊中心取得BS7799認證 讓資安教學和實務相輔相成

注重安全引發取證動機
相對於一般外面企業來說，取得BS7799認證是刻不容緩的，但對學術單位來說，似乎並不是那麼急迫，因此，淡大資訊中心能取得該項認證，在學術界來說，算是個「異數」，也成為首家取得BS7799認證的學術單位！

「事實上，現在有許多企業都相當在意本身資訊安全建置，像有些金融業者就有委外設置IDC機房，並配置數百名的相關人員，作為備援之用，不過，若依我們學校來說，尚不需要上述那樣頂級的IDC機房設備，但對於存放全校伺服器的IDC機房的實體安全及環境安全控管仍是必要的。」黃明達指出。

「另外，學校最重要的是學生資料的保護，或許其重要性可能不如外面企業資料那樣具有機密性，不過，若一旦學生資料保存發生問題，要如何補救則是需特別注意的地方，所以，我們也相當重視資料備份及備援。」黃明達更進一步地解釋。 正因為有這些想法，也讓一向強調資訊安全的淡大，在今年積極地導入BS7799和極力取得BS7799認證！



從零開始全都自己來
從今年二月開始，淡大資訊中心就進行導入BS7799認證，經過半年的努力，在今年八月成功導入後，並順利通過及取得該項認證，「我們的做法與別人不一樣，很多人的做法都是完全委由顧問公司來做，但是，我認為這樣的作法是無法紮根，有很多細節也無法能夠真正了解。」黃明達說。

同時，黃明達並表示，由於我們的認證比較偏向於備份、復原的安全，從我們的角度來看，其實這是最重要的，因此，只是委請資安顧問公司，提供建議及意見，文件規範訂定等工作則是完全都由我們學校的作業管理組自己來做，至於外部稽核則是選擇由BSi來作認證，主要是因為它的要求比較嚴謹。

成立三小組分工合作
Manager)資料備份及復原為主軸，當初參與BS7799認證導入的主要負責人，也是剛由作業管理組調任教學支援組組長張慧君說，「那時先由顧問公司幫作業管理組作2至3天的教育訓練，讓我們對於BS7799能夠有個初步了解後，再經由他們的訪談，實地了解我們在IDC和TSM目前所面臨的問題，找出問題，由他們提供建議及意見，作為我們制定文件規範的依據，並且訂出進度表，就開始按部就班實施。」

當時該校作業管理組只有8個人在負責，為了讓導入工作運作更加順暢，依據不同需求及職責，分成3個小組，分別為文件規範訂定組、IDC機房實體維運組、TSM資料備份及復原組，除了文件規範訂定組為2人，其餘兩組都配置3個人。 每個小組都有自己負責的範圍，其中文件規範訂定組則是制定BS7799相關的文件規範，共有31個，內容涵括委員會成員、組織章程、辦法、弱點落入評估、風險管理評估、持續運作等，而IDC機房實體維運組、資料備份及復原組則是可以依據已制訂出來的相關規範，依其所需進行弱點評估和風險評估，經過這樣的分工之後，讓整個作業管理組在導入過程中運作越來越順利。

加強防護措施 確保運作無虞
另外，淡大所有校級的伺服器都放在IDC機房，而且，校內有7千多部電腦，加上外圍有5千至6千部電腦，每天往返資料，是不可計數，每一天來往的電子郵件至少達20萬封，等於隨時都有一萬多部電腦都在測試資訊中心及IDC機房的建置能力及管理能力，因此，確保資訊中心或IDC機房運作無虞是相當重要，就得特別注重相關防護作法及措施，同時，這對於學校資訊管理上也提供相當有力的支撐。

在資訊中心和IDC機房防護工作是相當費工夫，黃明達指出，以IDC機房來說，就花了近千萬元費用來添置許多設備，包括企業級儲存伺服器、全檔備份／異動資料備份等，還有不斷電系統、發電機、恆溫恆濕空調系統、消防系統、門禁管制系統及網路線上即時監控等設備，都是用來加強防護IDC機房安全，以門禁來說，就規定相當嚴格，必須經過一定授權，才能進入IDC機房，任何人都不能隨便進來，對於成績、學籍、教材等資料備份也是防護重點。

「同時，在導入BS7799過程中，還得進行實地演練，包括不斷電系統定期檢查、門禁查核、消防演習等等，都是不可或缺的，而且，即使現在已通過該項認證，這些演練仍是必須定期的實施，隨時作調整，並且得作文件記錄。」張慧君表示。 黃明達表示，雖然已取得該項認證，但每半年作一次審查，至少每次花費需要數十萬元不等，來檢視我們在導入後的實施成果及效益，或許這些措施是相當繁瑣，但這都是為了能夠確保資訊中心和IDC機房運作無虞。

突破重圍全力以赴
「事實上，在這導入BS7799的半年裏，負責這項作業的作業管理組的同仁，真的很辛苦，星期六、日常常都還得要加班，在今年十月初的BS7799認證的頒證典禮上，有許多同仁們幾乎都感動得快哭了！」淡江大學資訊室主任黃明達如是說，也代表了在這個導入和取得BS7799認證過程，對負責該項業務的作業管理組來說，真是「箇中滋味，冷暖自知」！

張慧君指出，回想起這段過程，最辛苦莫過於“從零開始”，即使當時有顧問公司在旁作教育訓練，但實際上，初期對於BS7799真正精神及內涵仍是一知半解，也抓不到重點，作出來的文件規範內容也是令人慘不忍睹，常常都得要重新修改，最後經過再三修改後，才好不容易能夠符合要求。

風險評估方法是令人感到困難最多的關卡，「風險評估方法在BS7799中是最重要的一環，評估方法有千萬種，不過，最重要的是能夠真正符合自己所需，實行上可以暢通無阻，這才是最好的風險評估方法，當初已經制訂出一套方法，等到外部稽核時，BSi卻認為還有很多地方需要改進，並要求在二星期內改進，對我們來說，在這麼短時間內，必須將花費5、6個月才做好的計畫修改完成，是有點困難，只好硬著頭皮連夜趕工修改。」張慧君說。

另外，由於BS7799的規範很多，有一定的操作程序，在實施時，常會讓很多人覺得很麻煩，張慧君不諱言指出，在導入初期時，其他各組的同仁常常有所抱怨，配合度都很低，使得整個導入進度也受到影響，雖然那時要作宣導，但在對BS7799不是很了解情形下，如何來作宣導是個相當大的挑戰。

當然，只有8人的作業管理組要負責這麼大的導入工程，對他們來說，加班就成了「家常便飯」，在那段期間，每個人的加班時數幾乎都超過200個小時，甚至於還有人高達270小時，「我們同仁幾乎都是當媽媽的人，在那段期間，有人常常為了加班，引起家庭糾紛，不僅小孩常常說看不到媽媽，先生也質疑工作有那麼忙嗎？最後還請先生來學校實地查看，才化解這些家庭革命。」張慧君說。 面對這些困難，作業管理組感到很辛苦，但現在能夠通過並取得該項認證，對他們而言，可謂是『苦盡甘來』！張慧君表示，經過這段過程後，同仁的向心力反而變得更強，而且，每個人也從中獲得肯定及成就感，我想，這也是個額外的收穫吧！

取證成風潮 並有助資安教學
另外，通過並取得BS7799認證對資安教學也產生實質上的效益，「資訊安全課程一直都是相當冷門的課程，資訊安全這條路也很不好走，但有了BS7799認證的保證後，對於資安教學產生正面影響，像可以請負責的作業管理組的人員跟學生上課，提供實務經驗，如此一來，不僅可以真正讓學生能夠了解到BS7799認證的精神及內涵，而且，對於資訊安全課程的教授也有更實質上的幫助。」黃明達開心地表示。

同時，另個效益也明顯反應在取得BS7799的Lead Auditor認證的人明顯變多，成了風潮，而且，修習這堂課的學生人數也跟著變多，這讓一直對資安人才培育不遺餘力的黃明達感到始料未及。

「在以前，能取得Lead Auditor認證的人是少之又少，但現在有許多學生都會來修這堂課，並且去考Lead Auditor認證，像今年我們學校共有42位通過Lead Auditor認證，其中有36位是學生，4位是教授，剩下的2位則是作業管理組的同仁，考取的人甚至於還比台灣證交所的人還多。」黃明達說。

黃明達還舉例說明，有許多學生拿到這個認證後，二天打工就可以領到上萬元的打工費，還可以擁有實務經驗，甚至於已有企業來挖角，所以，他也相當鼓勵學生去考取這憑證，對本身有加分作用外，同時，另一方面，藉此也可以培育出更多資安人才。

積極建置教學支援平台
除了有助於培育資安人才及教學外，導入BS7799對於現在建置的教學支援平台也提供更有力的支撐！

黃明達解釋，設置該平台重點是當大家都上去時，網站不能垮掉，而且，校內教師專任有七百多人、兼任也七百多，一學期所有的科目加起來就有四千五百到五千科，要把這麼多東西放到平台上玩，網路很容易就會被卡死，所以，保持其運作順暢是相當重要的，不過，現在有了IDC機房強勁防護措施，就可以確保教學支援平台伺服器的安全及運作。

「但是，雖然教學支援平台聽起來很簡單，但做起來真的很不容易，像光是要讓老師把教材數位化，就是一個浩大的工程，而且，還得考慮到老師對電腦操作是否熟悉等問題，若是不會，還得請助教幫忙，因此，實際上還有很多問題必須去克服。」黃明達也毫不保留地指出。

黃明達說，很久之前他就開始這樣做，透過教學支援平台，學生上課都不需要帶課本，學生上課時只要聽，若是需要什麼資料，就直接從電腦、網路上叫出來或是自行由網站下載就可以，對老師和學生來說，其實是非常方便。

後記
雖然淡大資訊中心已通過及取得BS7799認證，其效益正日益顯現出來，但還是有需要改進的部分，「事實上，有許多規範和實際狀況是有落差的地方，還是得隨時作調整及改進，至少在這半年內會再作調整，使其更加符合學校所需，同時，這個導入的經驗也可以推廣到其他學院系所，讓整個學校資安管理能夠更加完善。」張慧君指出。

對於有意導入BS7799認證的單位，張慧君則提出自己的看法分享，「現在有許多顧問公司或認證單位都有開設關於BSi的課程或講座，最好能夠先去上課程或參加講座，真正了解其精神和內涵後，再開始著手規劃及進行導入，這樣才能夠制訂出符合自己真正所需的規範！ 」