https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1

觀點

淡大資訊中心取得BS7799認證 讓資安教學和實務相輔相成

2004 / 12 / 17
林青蓁
淡大資訊中心取得BS7799認證 讓資安教學和實務相輔相成

注重安全引發取證動機
相對於一般外面企業來說,取得BS7799認證是刻不容緩的,但對學術單位來說,似乎並不是那麼急迫,因此,淡大資訊中心能取得該項認證,在學術界來說,算是個「異數」,也成為首家取得BS7799認證的學術單位!

「事實上,現在有許多企業都相當在意本身資訊安全建置,像有些金融業者就有委外設置IDC機房,並配置數百名的相關人員,作為備援之用,不過,若依我們學校來說,尚不需要上述那樣頂級的IDC機房設備,但對於存放全校伺服器的IDC機房的實體安全及環境安全控管仍是必要的。」黃明達指出。

「另外,學校最重要的是學生資料的保護,或許其重要性可能不如外面企業資料那樣具有機密性,不過,若一旦學生資料保存發生問題,要如何補救則是需特別注意的地方,所以,我們也相當重視資料備份及備援。」黃明達更進一步地解釋。 正因為有這些想法,也讓一向強調資訊安全的淡大,在今年積極地導入BS7799和極力取得BS7799認證!



從零開始全都自己來
從今年二月開始,淡大資訊中心就進行導入BS7799認證,經過半年的努力,在今年八月成功導入後,並順利通過及取得該項認證,「我們的做法與別人不一樣,很多人的做法都是完全委由顧問公司來做,但是,我認為這樣的作法是無法紮根,有很多細節也無法能夠真正了解。」黃明達說。

同時,黃明達並表示,由於我們的認證比較偏向於備份、復原的安全,從我們的角度來看,其實這是最重要的,因此,只是委請資安顧問公司,提供建議及意見,文件規範訂定等工作則是完全都由我們學校的作業管理組自己來做,至於外部稽核則是選擇由BSi來作認證,主要是因為它的要求比較嚴謹。

成立三小組分工合作
Manager)資料備份及復原為主軸,當初參與BS7799認證導入的主要負責人,也是剛由作業管理組調任教學支援組組長張慧君說,「那時先由顧問公司幫作業管理組作2至3天的教育訓練,讓我們對於BS7799能夠有個初步了解後,再經由他們的訪談,實地了解我們在IDC和TSM目前所面臨的問題,找出問題,由他們提供建議及意見,作為我們制定文件規範的依據,並且訂出進度表,就開始按部就班實施。」

當時該校作業管理組只有8個人在負責,為了讓導入工作運作更加順暢,依據不同需求及職責,分成3個小組,分別為文件規範訂定組、IDC機房實體維運組、TSM資料備份及復原組,除了文件規範訂定組為2人,其餘兩組都配置3個人。 每個小組都有自己負責的範圍,其中文件規範訂定組則是制定BS7799相關的文件規範,共有31個,內容涵括委員會成員、組織章程、辦法、弱點落入評估、風險管理評估、持續運作等,而IDC機房實體維運組、資料備份及復原組則是可以依據已制訂出來的相關規範,依其所需進行弱點評估和風險評估,經過這樣的分工之後,讓整個作業管理組在導入過程中運作越來越順利。

加強防護措施 確保運作無虞
另外,淡大所有校級的伺服器都放在IDC機房,而且,校內有7千多部電腦,加上外圍有5千至6千部電腦,每天往返資料,是不可計數,每一天來往的電子郵件至少達20萬封,等於隨時都有一萬多部電腦都在測試資訊中心及IDC機房的建置能力及管理能力,因此,確保資訊中心或IDC機房運作無虞是相當重要,就得特別注重相關防護作法及措施,同時,這對於學校資訊管理上也提供相當有力的支撐。

在資訊中心和IDC機房防護工作是相當費工夫,黃明達指出,以IDC機房來說,就花了近千萬元費用來添置許多設備,包括企業級儲存伺服器、全檔備份/異動資料備份等,還有不斷電系統、發電機、恆溫恆濕空調系統、消防系統、門禁管制系統及網路線上即時監控等設備,都是用來加強防護IDC機房安全,以門禁來說,就規定相當嚴格,必須經過一定授權,才能進入IDC機房,任何人都不能隨便進來,對於成績、學籍、教材等資料備份也是防護重點。

「同時,在導入BS7799過程中,還得進行實地演練,包括不斷電系統定期檢查、門禁查核、消防演習等等,都是不可或缺的,而且,即使現在已通過該項認證,這些演練仍是必須定期的實施,隨時作調整,並且得作文件記錄。」張慧君表示。 黃明達表示,雖然已取得該項認證,但每半年作一次審查,至少每次花費需要數十萬元不等,來檢視我們在導入後的實施成果及效益,或許這些措施是相當繁瑣,但這都是為了能夠確保資訊中心和IDC機房運作無虞。

突破重圍全力以赴
「事實上,在這導入BS7799的半年裏,負責這項作業的作業管理組的同仁,真的很辛苦,星期六、日常常都還得要加班,在今年十月初的BS7799認證的頒證典禮上,有許多同仁們幾乎都感動得快哭了!」淡江大學資訊室主任黃明達如是說,也代表了在這個導入和取得BS7799認證過程,對負責該項業務的作業管理組來說,真是「箇中滋味,冷暖自知」!

張慧君指出,回想起這段過程,最辛苦莫過於“從零開始”,即使當時有顧問公司在旁作教育訓練,但實際上,初期對於BS7799真正精神及內涵仍是一知半解,也抓不到重點,作出來的文件規範內容也是令人慘不忍睹,常常都得要重新修改,最後經過再三修改後,才好不容易能夠符合要求。

風險評估方法是令人感到困難最多的關卡,「風險評估方法在BS7799中是最重要的一環,評估方法有千萬種,不過,最重要的是能夠真正符合自己所需,實行上可以暢通無阻,這才是最好的風險評估方法,當初已經制訂出一套方法,等到外部稽核時,BSi卻認為還有很多地方需要改進,並要求在二星期內改進,對我們來說,在這麼短時間內,必須將花費5、6個月才做好的計畫修改完成,是有點困難,只好硬著頭皮連夜趕工修改。」張慧君說。

另外,由於BS7799的規範很多,有一定的操作程序,在實施時,常會讓很多人覺得很麻煩,張慧君不諱言指出,在導入初期時,其他各組的同仁常常有所抱怨,配合度都很低,使得整個導入進度也受到影響,雖然那時要作宣導,但在對BS7799不是很了解情形下,如何來作宣導是個相當大的挑戰。

當然,只有8人的作業管理組要負責這麼大的導入工程,對他們來說,加班就成了「家常便飯」,在那段期間,每個人的加班時數幾乎都超過200個小時,甚至於還有人高達270小時,「我們同仁幾乎都是當媽媽的人,在那段期間,有人常常為了加班,引起家庭糾紛,不僅小孩常常說看不到媽媽,先生也質疑工作有那麼忙嗎?最後還請先生來學校實地查看,才化解這些家庭革命。」張慧君說。 面對這些困難,作業管理組感到很辛苦,但現在能夠通過並取得該項認證,對他們而言,可謂是『苦盡甘來』!張慧君表示,經過這段過程後,同仁的向心力反而變得更強,而且,每個人也從中獲得肯定及成就感,我想,這也是個額外的收穫吧!

取證成風潮 並有助資安教學
另外,通過並取得BS7799認證對資安教學也產生實質上的效益,「資訊安全課程一直都是相當冷門的課程,資訊安全這條路也很不好走,但有了BS7799認證的保證後,對於資安教學產生正面影響,像可以請負責的作業管理組的人員跟學生上課,提供實務經驗,如此一來,不僅可以真正讓學生能夠了解到BS7799認證的精神及內涵,而且,對於資訊安全課程的教授也有更實質上的幫助。」黃明達開心地表示。

同時,另個效益也明顯反應在取得BS7799的Lead Auditor認證的人明顯變多,成了風潮,而且,修習這堂課的學生人數也跟著變多,這讓一直對資安人才培育不遺餘力的黃明達感到始料未及。

「在以前,能取得Lead Auditor認證的人是少之又少,但現在有許多學生都會來修這堂課,並且去考Lead Auditor認證,像今年我們學校共有42位通過Lead Auditor認證,其中有36位是學生,4位是教授,剩下的2位則是作業管理組的同仁,考取的人甚至於還比台灣證交所的人還多。」黃明達說。

黃明達還舉例說明,有許多學生拿到這個認證後,二天打工就可以領到上萬元的打工費,還可以擁有實務經驗,甚至於已有企業來挖角,所以,他也相當鼓勵學生去考取這憑證,對本身有加分作用外,同時,另一方面,藉此也可以培育出更多資安人才。

積極建置教學支援平台
除了有助於培育資安人才及教學外,導入BS7799對於現在建置的教學支援平台也提供更有力的支撐!

黃明達解釋,設置該平台重點是當大家都上去時,網站不能垮掉,而且,校內教師專任有七百多人、兼任也七百多,一學期所有的科目加起來就有四千五百到五千科,要把這麼多東西放到平台上玩,網路很容易就會被卡死,所以,保持其運作順暢是相當重要的,不過,現在有了IDC機房強勁防護措施,就可以確保教學支援平台伺服器的安全及運作。

「但是,雖然教學支援平台聽起來很簡單,但做起來真的很不容易,像光是要讓老師把教材數位化,就是一個浩大的工程,而且,還得考慮到老師對電腦操作是否熟悉等問題,若是不會,還得請助教幫忙,因此,實際上還有很多問題必須去克服。」黃明達也毫不保留地指出。

黃明達說,很久之前他就開始這樣做,透過教學支援平台,學生上課都不需要帶課本,學生上課時只要聽,若是需要什麼資料,就直接從電腦、網路上叫出來或是自行由網站下載就可以,對老師和學生來說,其實是非常方便。

後記
雖然淡大資訊中心已通過及取得BS7799認證,其效益正日益顯現出來,但還是有需要改進的部分,「事實上,有許多規範和實際狀況是有落差的地方,還是得隨時作調整及改進,至少在這半年內會再作調整,使其更加符合學校所需,同時,這個導入的經驗也可以推廣到其他學院系所,讓整個學校資安管理能夠更加完善。」張慧君指出。

對於有意導入BS7799認證的單位,張慧君則提出自己的看法分享,「現在有許多顧問公司或認證單位都有開設關於BSi的課程或講座,最好能夠先去上課程或參加講座,真正了解其精神和內涵後,再開始著手規劃及進行導入,這樣才能夠制訂出符合自己真正所需的規範! 」