取得證書、通過驗證的ISMS系統,還得要靠有效性量效之指標系統才能達到治理與善治之目標。
對大多數組織而言,治理與善治是一個熱門之話題,也是宜面對的挑戰,因為其不僅會影響整體產業,也會影響到產業內部各個機構之主管。2007年3月30日公布的行政院於2007年2月15日核定修正之「建立我國通資訊基礎建設安全機制計畫(94年至97年),以下簡稱機制計畫」中,資訊安全管理系統(Information Security Management System,ISMS)的驗證依舊是「健全資安防護能力」之「政策目標」工作項目的主軸,並以2007年4月20日之資安發字第0960100226號函要求:「行政院各部會行處局署及省市政府、各縣市政府」落實辦理。自2001年1月17日,行政院第2718次院會核定通過「建立我國通資訊基礎建設安全機制計畫」,並成立行政院國家資通安全會報負責推動以來,至2007年1月1日止,台灣地區已有公民營機關的124個資訊系統通過ISMS之驗證,惟至2006年12月31日止,於ISMS文件中不存在「ISMS政策」者仍順利獲頒CNS 27001[ISO/IEC 27001:2005(E)]驗證合格證書者,不勝枚舉;「一葉知秋」,我國ISMS驗證的治理與善治仍存在相當幅度之改善空間。
2007年3月1日,ISO國際標準組織公布了律定ISMS稽核與驗證之機構治理要求的ISO/IEC 27006:2007(E),提供了我國應期待驗證機構遵循之ISMS稽核宜具備能力探討的基礎。舉例而言,前述機制計畫要求於2009年12月31日前,分成A、B、C與D級4個不同等級之6,797個單位中的A級重要核心單位及B級之核心單位均應通過諸如ISMS驗證的第三者資安驗證,ISMS稽核時,要如何遵循ISO/IEC 27006:2007(E)中第9.2.3.2 IS 9.2.3.2 d)節等對ISMS效果與資訊安全控制效果量測之要求等均是宜審慎探討的議題,並宜於機制計畫中:「建立政府資通安全作業規範與參考指引」之「行動方案」中制定並公布相關文件以供相關單位與ISMS稽核等遵循。
環境愈複雜,組織愈龐大,管理者依賴資訊之程度日殷。數位社會,是一個資訊豐富的環境;由於人處理資訊能力之不足與管理者時間的有限,因此宜建立有效性量效之指標系統,提供管理者適時的ISMS預警(Precautionary)資訊。
ISMS指標系統初探
2005年,美國根基於「聯邦資訊安全法」已公布其自2000年開始作業的ISMS計分與評級指標系統。我國如何落實CNS(ISO/IEC 27001:2005)及ISO/IEC 27006:2007中,對「ISMS與資訊安全控制措施有效性量測」之要求已成為我國ISMS治理宜面對的議題,方能改善前述ISMS文件欠缺ISMS政策等之缺失,進而逐步落實ISO/IEC 27006,在諸如「網路選路控制」、「資訊存取限制」、「金鑰管理」、「會談期逾時」、「連線時間的限制」等控制措施宜使用測試工具(Testing tools)進行系統測試(System testing)或執行虛擬檢驗(Visual inspection)處理實作審查之ISMS稽核工作。
「指標」是量測結果之顯現,美國聯邦政府採用的方法統整經濟合作暨發展組織(Organization for Economic Cooperation and Development,OECD)所建構的「全景指標模型(Context-Inputs-Outputs)」與「環境指標模型(Pressure-State-Response)」,提出「指出是否已符合目標」之事後測量,據以判定ISMS達成所規劃目標之程度及等級之「成果型」資訊安全指標系統。一般而言,「資訊安全政策」與「ISMS政策」已律定ISMS「做什麼」的目標,「ISMS政策」及「系統政策」闡明完成前述目標之控制措施實作方法;欲量測控制措施或控制措施群之有效性,適時提出「如何改進」的矯正措施以及預防措施,宜建立能「指出目標是否將符合」績效型ISMS指標系統。
結論
資訊安全政策、ISMS政策、系統政策與議題政策等資訊安全管理政策,是具體化堅實ISMS強健度的源池,ISMS指標是有效管理ISMS的工具,以資訊安全政策評估為例。應建立量化的管理,方能逐步達成ISMS治理與善治之目標。
九十年代全球文明歷經了重大的轉變,品質、環境和安全衛生管理逐漸朝向一致化與標準化,而相關的國際標準也影響了許多國家經濟的發展和組織管理與經營的方式,ISO 9000品質管理和ISO 14000環境管理系列標準的遵從,是最佳的佐證。2006年6月16日,遵循ISO/IEC 27001之資訊安全管理的系統驗證等之國家標準已正式公布,成為創建可信賴資訊作業環境的指引;若善加運用ISMS有效性之量測,不僅可以提昇資訊系統的安全性,亦有助於數位台灣品質文化之塑造;囿於水平,我們僅提出7個ISMS「績效型」指標,其他部分尚待進一步之研究與發展。