屬於B級單位的新聞局早在93年就取得BS7799驗證通過,比許多A級單位動作都還要快。本刊3年前(第17期)也率先報導過新聞局主動導入BS7799的動機與經驗。當時新聞局即表示未來導入的第三階段,要在96年擴展到全局。如今,他們真的做到了。
在9月新聞局ISO27001的驗證受證典禮上,出席的不是過去一貫常見的IT部門人員,而是各處室都踴躍派員參加,一室滿滿的新聞局同仁。資訊小組組長黃俊泰抱持著感謝的心情開玩笑地說,「我們得到這次認證,不代表資安就做完了,以後資訊組還是會繼續騷擾大家的!」
全流程導入是最終階段,平行協調是關鍵
回顧新聞局的ISMS導入歷程,從92年第一階段的綜合計畫處與資訊小組開始,第二階段納入政風、人事、會計室等單位,中間還歷經BS7799改版ISO27001,接著擴大到全局所有單位總計4、500人一同納入驗證範圍。這4年多來,新聞局一路走過持續不斷的P-D-C-A、內/外部稽核,如今又擴大到全局導入,這下終於向外界證明他們是玩真的!
在行政院國家資通安全會報的規範下,已有不少A、B級單位陸續取得ISO 27001驗證通過,但是同樣一張證書,驗證範圍大小所代表的專案難度與資安水準則大不相同,部分機關在取得第一階段(如IT部門或某系統)的驗證通過後,淺嚐即止,像新聞局這樣全機構、全流程導入者,更是少數。新聞局之所以能按照既定計畫逐步落實,執行部門功不可沒,而管理階層的支持亦是重要因素。新聞局推動ISMS這4年來有副局長易榮宗一路相挺,身兼資安長的易榮宗對於ISMS十分重視,「雖然是資訊組負責推動,但是資訊安全一定是要大家一起來,」這一句『大家一起來』說明了新聞局全局導入的初衷。
易榮宗進一步表示,機關首長們平常業務繁忙,相關專案會交代下面去做,但是一定要給實際執行單位最大支持,成為後盾,讓所有同仁知道資訊安全不是只有資訊部門的事。就易榮宗的角度來看新聞局推動的過程,他指出,「資訊部門的姿態不卑不亢,盡力爭取其他單位的了解與配合,有問題我來協調,」高階主管的支持由此可見。與其他組織相同,推動ISMS一定會成立跨部門的資安委員會,新聞局也不例外。這個每半年召開一次的「資訊安全指導委員會」由易榮宗主持,許多有爭議的資安政策都是在這個會議中達到共識,尤其在全局推導ISMS的過程中,跨部門協調、溝通如同家常便飯。
全局推動的困難與挑戰
回想當初在其他單位推行ISMS,一開始各部門都沒什麼太多意見,配合上教育訓練課、牢記一些規定,但到後來IT人員要去檢查使用者電腦的設定及其他更多的管理辦法出爐時,就難免出現抱怨的聲音:『你們資訊部好像跨過界了吧,連行政流程都要管…..』
反彈聲浪還不止於此。以佩戴識別證為例,在少數幾個部門推動時比較容易要求比照辦理,一旦擴大到全局,有些部門就會提出質疑:『我們單位沒這麼敏感吧!』這時,就會在資訊安全指導委員會中公開提出討論,此一制度要如何進行可被大家接受。最後的折衷辦法是在進出大門時一定要出示識別證,有特殊管制的機敏單位另作規定。
在每半年舉行一次的資訊安全指導委員會,黃俊泰每次都要對各部門主管重申資產調查、風險評鑑、PDCA循環等資安制度處理流程。不是主管特別健忘,而是要讓各部門主管、高階主管打從心底接受。「觀念溝通沒辦法一下就建立,很多是要日積月累的,」
「教育訓練也很重要!」黃俊泰強調。但是要對全局所有同仁做教育訓練也是一大工程,必須不厭其煩。黃俊泰指出,一輪教育訓練課程通常開個3次,普及率可以達到99%。「缺課的名單,透過公文傳達,大部分同仁都能配合,」他說。
推動ISMS就是要不斷地對上層以及對同仁溝通、再溝通。黃俊泰接著指出4年下來累積的其它經驗:
●風險評鑑-是ISMS推動過程中相當重要的工作。專案小組先對負責同仁做完教育訓練,各部門同仁實際做後,IT主要負責人再做把關,整理結果、糾正不合理的,把被業務同仁忽略的項目加進來。
●機密文件的管理-當初機密文件的等級定義,檔案管理局沒有訂定一套標準,業務承辦人都是自己認定,專案小組為此開了幾次會都不了了之,有其困難度。因為納入「密級」的文件按規定要列入實體隔離,但隔離電腦的操作比較複雜、不容易,同仁比較排斥,所以同仁有時會降低等級不納入「密極」。現在的作法就是靠部門主管把關,這樣承辦人還不至於隨便歸到普通等級。
●文件應確實反映實際業務-文件的建立會耗費很多時間,此外要注意實際業務推動與寫出來的文件是否無法配合。
●IT預算的斟酌-要做好ISMS,也需要額外軟硬體設備的搭配,例如程式庫的建立、要做實體隔離等,這些都需要經費來購置工具,如果沒有經費的話,必須思考其他方案。
結語
儘管全局導入遇到的挑戰與困難都加倍,但是也正好藉由這樣的經驗,一套好的管理辦法能推行到其他業務部門,例如委外廠商的管理。不只IT部門需要對外包廠商做管理,政府機構許多部門都有委外作業。以往其他業務單位的同仁跟委外廠商關係良好,可能會疏於監督廠商,或者沒有一套合宜的管理辦法,這次剛好透過ISMS的管理方法建立起服務水準,同時也配合研考會推動CMMI-「如何做好甲方」,有了一套更周延的管理辦法。
這4年下來,資訊安全管理已經制度化、文件化,所有資安事故都已有報表可檢視,IT部門不僅可以知道什麼事件常發生,一旦有異常也可以很快發現。以前不容易感覺有什麼不一樣,現在很容易歸納出資安事件,這是最具體的效益。這次驗證通過之後,接下來每半年還要持續進行外部稽核,「現在只是開始呢!」黃俊泰笑說。