BS7799不等於資訊安全？

管理系統不代表所有
國內現在一提到資訊安全，大概不離BS7799、網路安全兩大重點範疇。但是我們要注意BS7799 是一個管理系統，不能代表資訊安全的所有範圍，以完整的角度來看，資訊安全管理與技術還有更複雜的問題。首先針對一個組織，需考量資訊安全政策及管理系統(標準作業程序)，這部分的確是落在BS7799資訊安全管理的規範內。但來到資訊中心實際的運作系統，或所謂安全技術部份，有作業系統安全、應用系統安全、資料庫管理安全、網路安全，這部份就不是BS7799所能照顧到的。例如大型主機作業系統、ERP系統內部、公文交換系統、供應鏈管理系統、資料倉儲系統等同樣有資安的考量，這方面的安控基準就不宜用BS7799 ，我們應關切的是這些應用系統是否有適當的安控設計及可靠度(如CMMI要求)。再往下走的話就是資訊安全元件及產品部分了，最近針對應用系統安全方面，美國NIST 組織成立了一個National Information Assurance Partnership (NIAP) 開始這方面的工作，基本上是針對應用系統而來，在資安的重要性而言，作業系統、應用系統、資料庫管理安全仍要注意，舉例而言，存放民眾基本資料的系統，涵蓋大型主機、各種應用程式、資料存取方法、資料庫權限管理，這些層面的安全性如何設計與檢視，這不是導入BS7799就能解決。

先做風險評估 再談解決方案
我們常聽到某單位花多少預算買防火牆、IDS，結果不知如何使用。其實順序應該是先做弱點評估，設計資安控制及架構候再導入軟硬體solution，如此可確保重要部份有完整的規劃與防護措施。

風險未掌握清楚怎可買防禦的產品？就好像系統分析未做完就導入ERP系統一樣，系統怎會是你要的？政府備援計劃及營運不中斷的規劃也犯了同樣的毛病，備援計劃重視的是政府服務不中斷，許多政府單位一聽到備援計劃就想到要花大錢建異地備援中心，事實上順序是要先做風險評估決定備援策略再決定solution，建異地備援中心只是備援策略的一種選擇(Alternatives)或許我們都犯了急就章的毛病，把備援中心及SOC當成政績或觀光景點了。

政府各單位經過這段時間來的宣導與要求，對資安的認知應該夠了，下一個重點應該在於『如何做』的問題，以美國為例，Critical Infrastructure Assurance Office的任務是先做好全國各重要單位的弱點評估(Vulnerability assessment)，以作為整體安全規劃的依據，而不是直接作BS7799。如果弱點都搞不清楚或資訊管理基礎都不好如何能符合國際資訊安全標準 ? 雖然不少的資訊安全專家認為美國所謂的本土綜合防衛計劃(Homeland security)及資安防衛計劃(National Strategy to secure Cyberspace) 是笑話，但至少在『如何做』方面在順序上看來是沒有問題的。

應規範主管必備核心能力
另外，資訊安全人才之培養及組織定位更是重要的部分，清楚規範資訊安全人員及主管應具備哪些核心能力(core competency)是政府一定要做的事，知道核心能力要求後，相關人員缺哪些項目，自然知道該上哪些課補強不足。反觀國內，到底相關資訊安全人員應具備何種能力，尚未看到清楚的規範。在課程的供給上，我們目前比較欠缺資訊安全主管Security Officer 正規之培訓課程，目前BSI 與KPMG 所舉辦之BS7799主導評審員主要在訓練稽核員(Auditor)，與資訊安全主管的訓練內容有很大的差異，未來可考慮增加 CISSP 或SANS 的訓練課程較佳。

在政府資訊安全相關教育訓練經費，個人認為並不充足。如果我們要建置資安管理系統需要更多的人力投入，人與管理才是資訊安全最重要的一環，以目前政府在資訊安全教育訓練所投入之預算相較於整體資安軟硬體預算的編列，實在偏低。 除了一些建制上的考量，透過良好的資訊安全稽核工作，以確保該做的工作都具體落實執行，更是不可或缺。如果由維護的人員來自我評估資安成效與問題，那是球員兼裁判，無法發現真正問題。應由有獨立肩負安全職責的人，從事內部稽核工作，再輔以外部的稽核人員，通常可比較確保安全工作的切實實行。這一方面可委由民間單位如電腦稽核協會來執行或許會較有效率，立場更客觀。另外要提醒的一點是，資訊安全定期稽核是政府各單位要做的事，不是BS7799 驗證單位要做的事，許多單位目前仍有這個錯誤的概念。

可組資安團隊提執行規劃
資訊安全是基礎建設，應該由政府完善規劃具體實施。特別是政府未來的e化與數位內容、數位島等構想，都需要資訊安全作為基礎，由於資訊安全範圍非常寬廣，嚴格的說，國內尚缺乏足夠具有豐富經驗的資安專家，也許可組一個資安團隊，好好走訪重要單位，作診斷及提執行規劃。甚至，可聘請國外專家協助，聽取先進國家的做法及經驗。