標準變更 CNS17800(BS77992:2002)
新版延革 onomic Co-operation and Development, 簡稱OECD),自2001年9月11日起,由資訊安全及隱私工作委員會(WPISP)之專家群經過4次6天的討論後提出草案,再由WPISP經過3次6天的討論送交OECD大會審議,於去年7月25日公布「資訊系統及網路安全指導綱要」。 根基於此,英國標準協會(BSi)於去年9月5日修訂公布BS 7799-2:2002版,並在前言中明述遵照OECD之原則訂定,同時遵循在「規劃(Plan)、執行(Do)、檢查(Check)、行動(Act)(Plan-Do-Check-Act, 簡稱P-D-C-A)」模式下建置資訊安全管理系統之規範。OECD公佈之指導綱要揭示:認知(Awareness)、責任(Responsibility)、回應(Response)、倫理(Ethics)、民主(Democracy)、風險評鑑(Risk Assessment)、安全設計及實作(Security Design and Implementation)、安全管理(Risk Management)及重新評鑑(Reassessment)九大原則。
綜覽10年來OECD對數位社會安全機制的觀點,除了在標題中增列網路安全之重要性外,同時將典範轉移至回應、風險管理以及安全設計與實作等如表一所示,換言之,資訊技術安全保證(Assurance)應為建置資訊安全管理系統的核心工作。
政府任務
政府機關A級單位2004年需通過BS7799 在2002年5月31日公布之我國「挑戰2008:國家發展重點計畫(2002~2007)」中,已要求「政府主要部會實施ISMS制度達50%」。在2003年的春天,雖仍未知ISO等國際標準組織是否會製頒資訊安全管理系統驗證規範,唯國家資通安全會報已要求如表二所示之政府機關/機構主要的3,713個單位中之126個A級單位與跨行網路、入出境管理、健保IC卡金鑰管理等20個重要作業系統,分別在2004年12月及6月以前獲得稽核證照2張與通過CNS 178000 (BS7799-2:2002)資訊安全管理系統(Information Security Management Systems,簡稱ISMS)之驗證及每年(92、93年度)至少獲得2張資安管理稽核證照。
經濟部標準檢驗局已在去年12月5日根基於ISO/IEC 17799:2000(E)與BS7799-2:2002分別頒布CNS17799及CNS17800。在另一方面,中華民國認證委員會亦植基EA- 7/03在去年8月先行公布「資訊安全管理系統驗證機構認證規範」預為準備。
我國資訊安全管理系統自今年4月1日起,必須遵守CNS17800(BS7799- 2:2002)之要求方能通過驗證,已通過驗證之資訊安全管理系統(ISMS),於獲知去年9月5日公布之CNS17800(BS7799-2:2002)標準後,最遲6個月內應遵循新版要求修正後再行驗證。
實作標準
資訊安全管理系統ISMS起步 BS7799-2:2002為ISMS規範使用指引(Guidance for use),EA-7/03是ISMS驗證機構認證規範指導綱要(Guidelines)。 組織策略性決策應包含資訊安全管理系統(ISMS),影響ISMS之設計與實作的因素,包括安全、組織要求及目標、組織規模與架構;其精神則採用過程導向(Process Approach)來開發、實施及改進組織之ISMS的有效性。
過程導向依PDCA過程模式執行
ISMS之驗證標準鼓勵採用過程導向,以建立、實施、操作、監督、維持及改進組織資訊安全管理系統之有效性。組織必須鑑別、管理許多活動方能有效運作。使用資源與管理而促成輸入轉換為輸出之一項活動,可視為一個過程。通常一個過程之輸出可直接地成為下一個過程之輸入。
組織內各過程系統之應用,連同這些過程之鑑別與相互作用,及其管理可被稱為「過程導向」。過程導向鼓勵使用者強調下列事項之重要性:
1. 瞭解組織資訊之安全要求,以 及制訂資訊安全政策及目標之需求。
2. 在管理一組織整體資訊安全風 險之情況下,實施及操作各項控制措施。
3. 監控、審查資訊安全管理系統 之績效與有效性。
4. 以客觀測量方式持續改進。 眾所週知之「計畫-執行-檢查-行動」模式,可應用於所有管理系統過程,亦為ISMS之驗證標準所採用。圖2.2展示資訊安全管理系統如何採用資訊安全要求(Requirement)之輸入及利害相關團體之期望(Expectation)作為輸入端,經由各必要措施及各過程,產生符合所需求及期望的資訊安全輸出結果(例如納管的資訊安全)。
一般而言,在建置ISMS之P-D-C-A模式中,完成之資訊安全管理系統文件化應包括:
(1) 安全政策與安全目標之書 面聲明。
(2) 一份資訊安全管理系統手冊。
(3) 風險評鑑報告。
(4) 風險處理計畫。
(5) 組織為確保有效規劃、操作與 控制資訊安全過程所需之文件,及CNS17800(BS 7799-2:2002)標準要求之記錄。
(6)根據風險評鑑與風險處理程序的結果與結論,描述與組織資訊安全管理系統有關且適用之控制目標及控制措施之適用性聲明(Statement of Applicability,簡稱SOA)文件。
同時,依資訊安全管理系統政策要求,必須使用之員工應能隨時取用所有文件。
PDCA過程模式可描述如下:
1. 計畫(訂立ISMS環境):
建立安全政策、目標、標的、過程及相關程序以管理風險與改進資訊安全,使結果與組織整體政策與目標相一致。
2. 執行(實施與操作ISMS):
安全政策、控制措施、過程與流程之實施與操作。
3. 檢查(監控與審查ISMS):
依據政策、目標與實際經驗,以評鑑及測量(適當時)過程績效,並將結果回報給管理階層加以審查。
4. 行動(維持與改進ISMS):
依據管理階層審查結果採取矯正與預防措施,以達成持續改進資訊安全管理系統。
英國之已驗證稽核員國際登錄組織(International Register of Certificated Auditors,簡稱IRCA)分於去年11月與今年1月正式公佈ISMS第三者稽核中的主導稽核員(Lead Auditor)/稽核員(Auditor)訓練課程(含測驗)與ISMS之見習稽核員(Provisional Auditor)、稽核員(Auditor)、主導稽核員、顧問類(Consultant Route)及工作小組領導類(Team Leader Route)主任稽核員(Principal Auditor)之驗證規範,相信ISMS驗證之國際性評鑑規範正逐漸成形。 我國目前已舉辦或規劃中之ISMS主導稽核員課程均以英國認證服務(United Kingdom Accreditation Service,簡稱UKAS)經由香港商英國標準協會太平洋有限公司台灣分公司,至今年5月課程要求之規範為本,鑑於明年6月以前,ISMS驗證之相關業務在我國的工作量可能高居全球第一,應考慮課程時數、內容應趕上國際腳步、與國際接軌。
*資訊安全管理驗證簡史 *
*1990年:
世界經濟合作開發組織(Organization for Economic Cooperationand Development,簡稱OECD)轄下之資訊、電腦與通訊政策組織開始草擬「資訊系統安全指導綱要」。
*1992年:
OECD於1992年11月26日正式通過「資訊系統安全指導綱要」。
*1993年:
英國工業與貿易部頒布:「資訊安全管理實務準則」。
*1995年:
英國訂定「資訊安全管理實務準則」之國家標準BS7799第一部分,並提交國際標準組織(International Organization for Standardization ,簡稱ISO)成為ISO DIS14980。
*1996年:
BS 7799第一部分提交國際標準組織(ISO)審議之結果,於1996年2 月24日結束6個月的審議後,沒有通過成為ISO標準之要求。
*1997年:
令ECD於1997年3月27日公布密碼模組指導原則。
英國正式開始推動資訊安全管理驗證先導計畫。
*1998年:
英國公佈BS7799第二部分:「資訊安全管理規範」,做為資訊安全管理驗證之依據。
歐盟於1995年10月公佈之「個人資料保護指令」,自1998年10月25日起正式生效,要求以「適當標準(Adequacy Standard)」保護個人資料。
*1999年:
增修後之BS 7799再度提交ISO審議。
*2000年:
增修後之BS 7799第一部分於2000年12月1日通過ISO審議,成為ISO/IEC 17799國際標準;第二部分未通過審議,將根基於公司治理(Corporate Governance)等原則修正。
*2001年:
9月11~12日,OECD在東京的會議中要求在ISO/IEC17799之基礎標準外,應針對個別產業及特性建立適用之資訊安全管理標準;並於會議前一天,成立工作委員會草擬資訊安全指導綱要。
英國於2001年11月公布BS 7799-2:2002草案(Draft), 並公開徵求意見,請各個使用團體在2002年3月31日以前發表看法後,綜理歸納預定於2002年6月公佈增修後之BS7799-2第二部分。
*2002年:
7月25日,OECD公布「資訊系統及網路安全指導綱 要:朝向安全的文化」,並取代1992年11月26日通過之版本。
9月5日,BS7799-2:2002年版遵照OECD同年7月25日頒 佈之「資訊系統與網路安全指導綱要-朝向安全的文化」中的原則修正後正式發行,同時宣布BS7799-2:2002:1999即將作廢(Obsolescent)。
11月,已驗證稽核員登錄國際組織(International Register of Certificated Auditors,簡稱IRCA)公布資訊安全管理系統(Information Security Management Systems,簡稱ISMS)之主導稽核員(Lead Auditor)/稽核員(Auditor)訓練課程(含測驗)驗證規範。
12月5日,我國經濟部標準檢驗局分別根基於ISO/IEC 17799 與BS 7799-2:2002年版,公布國家標準CNS 17799及CNS 17800。
*2003年:
2003年1月,IRCA公布ISMS之見習稽核員、稽核員、主導稽核員、顧問類主任稽核員、工作小組領導類主任稽核員驗證規範。
註:目前已有英國、荷蘭、丹麥、挪威、瑞典、波蘭、捷克、 德國、瑞士、愛爾蘭、冰島、加拿大、巴西、澳洲、紐西蘭、日本、南韓、新加坡、馬來西亞、印度、阿拉伯聯合大公國、南非等國家同意使用BS7799。
