https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

資通會報B級單位 新聞局主動導入BS7799
力求提供永不中斷的資訊服務

2005 / 03 / 14
陳佳溶
資通會報B級單位 新聞局主動導入BS7799<br>力求提供永不中斷的資訊服務

新聞局網站為國際傳播載具
維持可用性及完整性極為重要

由於人力、經費有限,行政院新聞局分三階段導入資安制度,第一階段以「綜合計畫處&資訊小組」先實施,在92年7月接受BS7799輔導,於93年6月取得驗證,雖然是B級單位,機密而敏感的資料並不多,但是對服務的國內外民眾及新聞局內部作業人員而言,維持整個資訊系統可隨時使用,以及確保正確而完整的資訊則十分重要。此外,其為國內外新聞發佈交流的平台,亦代表國家重要形象之一,因此,維護新聞局網站的可用性及完整性極為重要。

行政院新聞局副局長易榮宗表示,網路上的傳播是個很重要的國際傳播載具,新聞局也很重視網路方面的傳播,其擔任政府與民眾的溝通橋樑,及台灣和國際社會聯繫的橋樑、窗口,更不能讓資安問題影響實施的成效,新聞局體認到必須將資安做好,傳播工具才能充分發揮其重要性。

易副局長也透露,在決定導入BS7799時,執行單位資訊小組、綜合計畫處及聯絡室溝通,力邀他們一起導入,他們也很爽快的答應,且因資安制度的範圍不應只限定資訊單位,為了累積經驗,建立基礎,也應該由行政單位來搭配,其次他們的資產、人員與辦公室環境較為單純,加上綜計處本來是負責督導資訊小組,因此率先響應,較可惜的是,聯絡室因為總統大選接待外賓繁忙,無法參與BS7799的認證。不過,事實上證明,藉由連串的風險評鑑與稽核,由資訊單位及部分行政單位先累積經驗,未來新聞局其他單位導入資安制度時,比較容易預知可能的情況,有利於排解同仁的抗拒感與疑慮,方便進一步規劃推動措施。

B級單位為何主動積極導入BS7799?
(1)以建立B級單位模範自我期許
依據國家資通安全會報所訂定的「推動國家重要基礎建設的資通安全作業」,政府體系中的國土安全、金融服務、能源設施、供水系統、電信郵政、交通運輸、及醫療保健等,均屬A級單位,必須在第二期會報內,通過資訊安全管理系統認證,行政院新聞局雖然未列入A級單位,但能以一個B級單位的身分,主動積極要求自己必須像A級單位一樣爭取BS7799驗證,是值得讓人稱許的。

資通安全會報早已發佈公文,要求各單位規畫導入資訊安全管理系統,也擬定預計必須完成的時程,資訊小組組長黃俊泰說:「雖然並未規範我們必須在93年度通過BS7799驗證,但資訊安全迫在眉睫,也不想等到人家來催促時才做,另一方面,我們也認為主動帶頭來做,也許可以進而將這些經驗與其它B級單位分享且參考。」這個想法,受到前新聞局副局長李雪津以及現任局長易榮宗大力支持,使新聞局的資訊安全管理系統的推動,如虎添翼般迅速進入正軌。

(2)透過外部稽核 了解自己看不到的盲點

行政院新聞局內部雖然每月定期由政風處稽核保密與安全,但主要以行政業務為主,對於電腦系統的稽核則因技術問題,往往隔鞋搔癢,無法全面掌握,黃俊泰說:「人性通常具被動性,倘若沒有一個外部單位來督導稽核,對於一些既有的作業程序,通常不容易去要求人員改變作法,受到的阻力很大,然而透過外部稽核,這些難改的積習可以很快獲得解決。其次藉由BS7799的推動,還可以帶動其它單位,重新調整資安管理作業流程。另外,由於電腦科技日新月異、資訊不斷成長,因此,我們的資訊架構也隨之不斷調整,也可以透過外部稽核來了解我們還有哪些弱點,然後再針對這些弱點,尋求精進、補強的方案。」由此可見,稽核對行政院新聞局而言,帶來的並不是壓力,而是協助資訊小組在不斷變動的環境中成長的助力。

(3)以通過認證為目標 凝聚大家共識
參加BS7799認證,對新聞局來說,還有一個好處,易榮宗說:「我們設立了一個目標,成為大家共同努力的方向,如果沒有目標,大家的共識比較不容易凝聚,也較不容易被重視,覺得有也可以,沒有也行,到最後可能不了了之,所以我們以通過認證作為目標,帶動同事們積極地來看待這件事情。此外,由於駭客日益猖獗,總覺得資訊架構體系還不是很健全,透過驗證的過程,顧問公司以第三者客觀的角度來看,的確能提醒我們自己看不到的盲點,讓我們能夠防範未然,這是我們最大的動力。」

前後任長官親自參與 政策得以貫徹實施建立
新聞局導入BS7799,易榮宗也表示,很幸運的是大家都有很強烈的共識與使命感由於前新聞局副局長李雪津曾任職研考會資訊管理處,對於資訊安全的體會極為深刻,因此積極參與資安制度的推動,基本上也就是主管重視,同仁也樂意規劃執行,在這方面新聞局也有專業的人才,可以全面的掌控、執行。

新聞局將導入計畫劃分為三個階段,由資訊小組負責規劃執行。從資訊安全管理專案起步階段開始,副局長就不斷與新聞局所有1級主管,召開專案會議,讓所有主管了解這個專案的迫切性,需要各單位的配合,尤其當有主管質疑某些措施是否需要如此大費周章時,副局長只要展現決心,並以自己親身的經驗鼓勵主管,殷切解釋其重要性,很快就會獲得大家的支持例如:很多新聞局同仁不喜歡配帶識別證,也不樂意要求來賓配帶,但副局長以自己的經歷加以說明,許多機關即使貴賓也會要求一定要配帶識別證,以方便辨識其為外賓或內部同仁,有助於保障資訊安全。

組織重整、位階提升 使作業流程更順暢
資訊小組在新聞局原非一級單位,但是在93年1月,新聞局整併原屬國際新聞處的網際網路文宣小組與綜計處資訊科,成立「資訊小組」,提升為一級單位,突顯資訊小組的重要性,並有效運用人力、預算。

易榮宗說:「在派駐國外之前,我也曾在綜計處擔任處長,當時,綜計處設有資訊科掌理資訊業務,現在新聞局將資訊單位從綜計處獨立出來,整個組織架構重新調整後,更突顯它在組織的重要性,位階的提升,對實際上的運作執行,有一個宣示作用,讓全局同仁知道局長重視之外,也讓相關的業務單位了解,這是全局必須共同參與的大事,倘若相關的業務不配合,就無法推動,資訊小組也才能承上啟下,溝通各處室,因此不僅是專業能力很重要,溝通協調的能力也是必要的。」

黃俊泰經歷了整個組織的變革,他說:「由於位階提升,我們每週必須參與全局的主管會議,當資訊安全制度必須全局參與配合時,可利用此會議溝通報告,透過各主管的督導,有效的下達全局員工。有時其他處室業務可能涉及到資訊安全,需要資訊小組協助,也可以在會議上協調。由於過去資訊單位只是『科』的層級,在溝通協調時較不受重視,或由一個『科』,去要求一個『處』必須做什麼,大家亦比較容易產生排斥感;因此組織的重整對溝通協調及業務推擴方面幫助很大。」

對處室主管做有效的溝通 化解人員排斥
執行的過程中,人員的排斥是常遇到的問題,通常須透過教育訓練和主動協調溝通,黃俊泰說:「在這方面,綜計處與我們合作非常愉快,他們的處長王麗珠不僅會積極的要求處裡面的同仁配合,還主動要求我們舉行多場教育訓練。」

資訊小組副組長施偉佳也說:「導入制度過程中,最大的問題仍在於人,因為設備方面只要經費足夠、有心改善即可克服,但是組織與制度方面,只要涉及行政工作,許多人就會覺得很麻煩,也會排斥去做,另外,許多同仁無法理解為什麼要參加BS7799認證,所以我們也花了許多心力去化解這些難題,通常都是利用教育訓練,甚至在一般電腦訓練課程,也安排幾分鐘的資訊安全教育,效果不錯。例如我們最近推動公文橫書作業,必須召集全局同仁接受操作訓練,我們就利用這個機會順便講解機密公文的處理,以及資訊安全的基礎常識,大家的反應都還不錯。此外溝通協調的技巧也很重要,例如:以前影印機的使用並未管制,為了資安,我們發現必須說服總務處來推動,在溝通過程中,我們不斷解說為什麼要那麼做?如此做的好處好處是什麼,因此很快就獲得總務室的支持。」

此外,新聞局每半年都會舉辦全局的資訊安全會議,針對每一階段的風險評鑑、矯正措施做報告,說明現階段遇到什麼問題?有哪些部分須要改進?易榮宗亦經常利用會議耳提面命,要求第二階段的導入單位應該要朝加入驗證的方向努力,以此作為共同目標,全力以赴。

激發團隊合作 使同仁自發性的樂於工作
起初部份新聞局同仁相當排斥這個制度的導入,但親自參與後,逐漸瞭解這套制度的意義與效能,配合度馬上提升,有些同仁更在被賦以重任之後,轉而樂在其中,因此,如何適度分工並讓成員得到鼓勵,激發自發性的意願,也是需要花心思的地方。黃俊泰組長說:「很多人都希望自己受到別人的重視,如果你沒有適當授予重要的工作,激發他的成就感,一般人面對新增的陌生工作,當然會排斥。」 新聞局負責推動資安的同仁都非常認真,由於大部份政府機構的一級單位都曾受駭客攻擊,經由log資料查看,可了解行政院新聞局網站也常是駭客蠢蠢欲動的對象,但經由系統管理員辛勤的查看漏洞,隨時進行修補,甚至必要時還重新調整架構。新聞局在93年度資安攻防演練榮獲為績優單位,而資訊小組也獲得新聞局93年度績優單位的肯定。

新聞局導入BS7799分三階段,第一階段由綜合計畫處及資訊小組開始,第二階段將擴展到人事、政風、會計、總務等單位,在第三階段預計在2006年6月擴展到全局,包括國內、外新聞處、廣電、電影等未導入的單位,可能有人會質疑以一個B級單位是否有必要擴大到全局實施,黃俊泰說:「資訊的外洩,大部份是人的因素,沒有全局的員工配合來做的話,等於是做了一半。」所以全體人員必須有資訊安全管理觀念,倘若資安事件真的發生時,不僅保護自己,也能很快地找出資安的漏洞在哪裡。

BS7799帶來的具體效益
(1)掃除長年的積習 導入標準化的作業
當初規劃以「綜合計畫處&資訊小組」開始,乃以綜合計畫處需要資訊小組服務較頻繁,輔導顧問張美月說:「在協助導入過程中,建立一套制度或系統時,我們會觀察看哪些是合理部份及積非成習的習慣,後者則協助其慢慢改善,導正錯誤的使用觀念,一般政府單位裡的資訊部門位階不高,常被其它單位要求做一些浪費人力,又不具生產力的事情,經由制度的力量導入,給予使用者正確的使用觀念,同時,可以了解各部門使用資訊服務的狀況,發揮其它的作用。」由於資訊小組同仁都非常勤快,隨叫隨到,卻忽略平常的維護工作也是資安的一環,必須加以紀錄,藉由制度的推動,掃除長年的積習,要求使用者必須遵守制度,讓內部作業更有效率,藉此導入標準化作業。

(2)文件整理有助擬定改善方案
過往在文件整理上並無特定的要求,每個人都以自己心中的那把尺在做,沒有一定的標準,要將這些東西整理成文件,並變成一個規範,讓下一個接任的人可以輕易上手,或職務代理人可很快處理這些業務,這些文件有助於資訊安全管理制度進行資產鑑別及資產風險評鑑之依據,但這些文件的建立管理非常耗時,花費很多的精神在那上面。

黃俊泰說:「以往其它單位要求維修服務,我們都沒有什麼紀錄,透過制度要求他們填寫服務申請單,藉由此文件填寫,可彙整分析資安事件是由哪些人或使用觀念不正確所導致,或有哪些資安事件是可以加強訓練來減少發生的,可由此文件再去思考要如何改善,並減少其發生的機會。」

(3)資訊架構重整 資安作業獲得肯定
將全局的資訊架構經由此制度的導入,重新調整;以往新聞局裡面的資訊架構比較簡單,並未切分網段,防火牆也很簡陋,此次將機房的軟、硬體設備都強化了,整個資訊架構系統重新調整,有了完整的規劃;其次,系統內也建置了整體的災後復原機制,並經常演練,倘若有一個系統無法運作時,要如何在最短的時間恢復系統,黃俊泰說:「在未演練時,我們都很有自信自己可以做得到,但真正演練時,才發現其困難度,而且常有一些難以預料的狀況。」從而體會災後復原機制必須經過演練來驗證與修正。

由於導入BS7799,重新調整資安防護架構,在此次行政院國家資通安全會報舉辦的資安攻防演練,新聞局獲得93年度績優單位,易榮宗說:「雖然獲得肯定,但仍然有很多進步和改善的空間,我們也非常樂意將自己這方面的努力和其它行政單位分享。」

結語
顧問在導入BS7799過程中最重要的角色是提供諮詢、導正方向,施偉佳說:「由於顧問擁有豐富經驗與技術能力,提供很多文件擬定的意見,我們執行內部稽核、風險評鑑或擬定導正措施時,有時會遇到無法解決的問題,顧問常常給我們中肯的意見,當方向有所偏失時,他們也會協助我們導正。」

制度導入之後,仍需不斷的反省和更動,並非導入之後就一成不變,或只是應付稽核,黃俊泰認為這是不對的,既然實施了就要繼續往前走,不斷的改善,緊接的第二、三階段也即將開始進行,將會加強與政風室、主任秘書室的合作。