https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1

觀點

智慧財產局主動導入BS7799  領先各國專利商標局

2005 / 05 / 23
卓長熹
智慧財產局主動導入BS7799  領先各國專利商標局

行政院資通安全會報規範為C級單位的智慧財產局(TIPO ),並不屬現階段被要求通過資訊安全系統(ISMS)認證的單位,卻於92年9月委請專業顧問協助,主動導入BS7799國際資訊安全管理系統,是什麼啟發讓TIPO有這樣的先見和行動力?
業務特性的需求
智慧財產局主要的工作為專利權、商標權、著作權、積體電路佈局及營業祕密五大類之管理審查事項,以及智慧財產政策、法規、制度之研究、擬定和執行。在業務特性上,智慧財產資料對機密性的要求更高。 以專利為例,由於每筆專利的資產價值動輒上千萬、甚至上億元,萬一有不肖人士上網篡改專利所有人或內部的審核資料,或資料庫的資料遭破壞篡改,後果不堪設想;維持網路的可用性、完整性和安全性是TIPO無庸置疑的重責大任。
TIPO副局長蔡惠言提及︰「透過網路提供民眾最佳的資訊,是現今最重要的服務管道;將資料庫透明化的提供至網路上,讓國內外民眾申請專利、商標檢索,並且保障民眾的智慧財產權是TIPO的職責,導入ISMS的唯一理由,就是要讓民眾知道TIPO的網路環境和資料庫是健康的,那麼通過ISMS驗證則是必然的方法。」
TIPO資訊室第二科科長柳黛蘋補充,即便平時就能做好內控,也有資訊安全的認知,但是對自我內控品質的高低並不知達到什麼層級;透過BS7799外部稽核的審查功能,可協助和確認TIPO的品質是維持在水準之上的。

『e網通計畫』的基礎
由於資通安全會報對各單位需導入資訊安全系統的政策架構、時間表及溝通協調很清楚,C級單位需在民國97年前完成ISMS認證,身為下屬單位的TIPO已充分認知『導入ISMS是遲早要做的事』。加上『智慧財產權e網通計畫』,自民國92年開始建構,預計5年完成,未來所有的專利申請案將透過網路的安全機制,全力走向“無紙化”。為保障專利商標所有人的權益。TIPO優先導入網路服務的ISMS認證,亦是在為e網通計畫奠定安全基礎。
蔡惠言表示,智慧財產的整個保護流程,自審查到上網公告、提供民眾查詢、資料庫儲存,包含法律和商業的問題等,未來的e網通計畫不只是技術問題,而是如何管理及制度化的問題;而制度化的精神是『平常就得保持最佳狀態,不是偶而為之』BS7799一年2次的稽核,督促安全工作的持續運作,讓資訊資產保持在最佳狀態。

高階主管的識見
蔡惠言在專利、商標、標準、度政相關業務已有36年經驗。15年前蔡惠言就接觸了BS7799,當時任職於智慧財產局前身中央標準局(NBS),但當年礙於國內資訊安全觀念並不成熟,在推動資訊安全工作上有很大的困難;民國88年中央標準局改制為智慧財產局,仍持續大力推動TIPO資訊化。因此,身為副局長的蔡惠言本身早已有相當程度的認證觀念,蔡惠言強調,認證是國際趨勢,也是全世界必須走的一條路,透過認證接受標準的評鑑,就像人每年要接受健康檢查一樣,讓人家知道你是健康的。
有了這些共識,當資訊室向蔡副局長提出導入ISMS的專案規劃時,副局長很快的理解到資訊安全的重要性,便全力支持,而副局長向蔡練生局長報告時,蔡局長亦是馬上允諾。柳黛蘋表示,TIPO不同於其他單位的特點在於高階主管的卓越識見和全力支持,在整個導入的過程具相當大的助力。

六階段建立系統
民國92年9月開始藉助專業輔導導入BS7799,前半年為導入階段,後半年是內部預演,之後經過認證單位的建議,針對需改善的報告做修正,改善後再經過一段觀察期,隔年8月時始完成書面審查,一年下來,從無到有完成了這個任務;此作業過程可分成六階段詳述。
第一階段為資訊安全管理系統評估階段:
依現有業務、文化特性、組織架構,相關制度和人員職責,以BS7799之規範及行政院相關規定進行評估,依據評估結果作為ISMS建置規劃之參考。並成立資訊安全推動小組,為TIPO推動資訊安全的最高指導組織,蔡惠言副局長為召集人,各組室的副主管擔任委員,負責資訊安全的政策規劃及制定。
第二階段為資訊資產分類及風險評鑑階段:
將資訊資產分為五大類,包括軟體、硬體、文件、資料及人員等,做資訊資產的質與量分析、資安弱點可能引起的外在威脅、依資產價值做強弱危險分級,並配合成本與效益考量,產出『風險評鑑報告』。
第三階段依據『風險評鑑報告』再改善階段:
依據前一階段之『風險評鑑報告』,由BS7799之127項控制措施選定符合之控制要項,設計適用性聲明(SOA,Statement of Application),並訂定風險處理計畫,對未來可能發生的風險做評估,降低至可接受範圍,以減少意外事件對TIPO造成的傷害。
第四階段為符合標準之文件建立階段:
決定每項資訊資產應採用的控制項目及程度後,此階段的主要工作是訂定詳細的資訊安全標準、作業程序以及表單規格化,以作為管理和執行的準繩。
第五階段為內部稽核及故障復原演練規劃階段:
為建立BS7799之稽核體系,以追蹤相關工作是否符合標準地被執行,TIPO成立內部跨部門之稽核小組,每半年辦理一次內部稽核,定期進行災害復原演練,確保ISMS品質。
第六階段為資訊安全觀念之宣導及管理人才培訓:
資訊安全管理制度的成功關鍵在於“人”,蔡惠言強調,局裡的每一個人都是“螺絲釘”,必須堅守自己的崗位,也必須都有安全的觀念。TIPO每年至少舉辦一次全局同仁的資安通識講習,包含工友都必須參加;聘請專家學者至局裡為資訊人員做資安專業教育訓練,深化同仁對資訊安全的重視。同時選派人員參加BS7799主導稽核員受訓,藉由通過認證考試、獲得主導稽核員證照等來增強資安管理能量。

成功因子
導入認證之後,相信鉅細靡遺的作業流程對局裡的同仁來說,不但責任加倍、麻煩也加倍。要如何讓同仁有感而發的認知資訊安全的重要?以及能視安全為己任,不再讓資訊室獨背這個安全的重責大任呢?如果透過教育訓練就可達到的話,“人”的問題似乎就簡單多了。TIPO成功導入ISMS認證,有幾個不可忽視的因子,與讀者分享。
革命情感的向心力
蔡惠言與幕僚之間有著深厚的革命情感和凝結力,對政策的實施有較一般單位更強的共識和默契。蔡惠言聊到,當年陪著同仁一起走過Y2K的經驗;1999年時帶著十幾位同仁,過著9個月沒有所謂下班和假日的歲月,一直熬到11月完成初步測試,之後再不斷地反覆演練,以確保資料安全,最後安全過了千禧年的那一刻,同仁們相擁同慶…。
和同仁過去一起打拼的日子,蔡惠言說:「不計較你我,計較事情是否達成,這是非常不容易的事情,同仁之間的共識是克服困難和達成目標的關鍵。」而現在的資訊室也是本著同樣的革命情感和共識,完成這項艱鉅任務。
把同仁當做客戶
TIPO有設立一個“1138熱線”,假使同仁的電腦有問題,就可馬上撥此分機尋求資訊室協助,電腦上也會有紀錄,並且每2個月開一次關於使用者端的檢討會議,且於年終時做客戶滿意度問卷調查與資訊室評分,以了解資訊室和同仁之間的互動和默契是否良好,及使用者的滿意度等,建立“同仁也是客戶”的觀念。
同時,透過“1138熱線”的檔案記錄,分析出電腦經常出現的狀況,哪一個系統、哪一種設備常出現的問題,資訊室亦會有一份統計清單,供採購時可針對有可能瑕疵項目做更多測試和驗收,避免資源浪費,同時降低使用者日後困擾。 蔡惠言表示,BS7799傳達給每個同仁的思維是,哪個同仁出了紕漏,將來造成的錯誤,抱怨是無濟於事的,因為那是個人造成整體資訊安全的脫鉤,必須自我負責。更讓同仁明確地了解,安全並不是資訊室的責任,每一個同仁都是責無旁貸的。
代理人制度
除了人性化的管理外,在制度化的規範上有一個重要的“代理人制度”;因為危機處理是無法等候的,需要有副的召集人,具絕對的責任感和行動力,在危機發生時啟動應變機制。 蔡惠言舉例說到兩年前納莉颱風時,因水塔故障造成資訊室過熱的異常事故,經過此經驗的教訓,現在機房超過溫溼度時,會有警訊通知主任、科長及承辦員的手機和呼叫器,任何時間(24小時全天候)相關負責人都需馬上回到崗位作危機處理。另外,局裡會舉辦不定期演練,如果召集人三分鐘內手機無任何回應,副召集人必須馬上代理,啟動應變機制。
當時由於納莉颱風相當嚴重,造成景美溪暴漲倒灌,也造成位於深坑的檔案室地下室壓力超過負荷而淹水的危機,蔡惠言視情況危急,晚上11點馬上指示住在附近的人員視察,當時水已淹至5公分了,於是迅速啟動應變機制,開啟抽水馬達,派遣住在附近的工讀生堆積砂包,處理到隔天清晨,讓佔地比足球場大的檔案室能倖免於納莉帶來的嚴重災情。

通過認證後的具體提升
TIPO通過認證後,對局裡的管理較具體的幫助和提升如下:
一、每位同仁有了安全概念,對資訊安全的枝枝節節更小心留意,像對自己電腦的機密性防護等更加的提高警覺。
二、對網路服務的機密性、正確性、完整性,以及快速、安全等觀念也更加提升。
三、經過導入ISMS認證的過程,每個同仁對自我職掌的要求和落實,與同仁間的合作的“連結”,形成一個“網”後,持續提升了團隊的榮譽感。
四、民眾對TIPO網站的正面評價相當高,證實了TIPO的績效。為落實平常就確實做好安全防護工作,TIPO制定了網站的「服務水準協定」,並朝著更高的品質努力,也從數字中看到服務水準的成長。

未來規劃
TIPO因考量外部網路的變數較多、安全的急迫性高,因此以網際網路的部分優先導入,內網的部分預計在『智慧財產權e網通計畫』中執行。
再者,未來將規劃第三異地備份存放機制。TIPO的資料目前分別位於局本部和深坑兩地,但相距僅5公里,雖有地利之便,但就異地備援的角度來看,有距離不足的缺點。目前已籌建距局本部200公里以上的第三異地備存放地。

結語
蔡惠言最後強調,要做好資安,減少漏洞,最重要的要件,一是制度化,另一則是每個人必須認同安全機制,做好一個螺絲釘的職責,全局動起來。
由於TIPO的業務是國際化屬性,資訊化已相當蓬勃發展,現在導入並通過BS7799認證,更給此單位一股肯定的力量,“我們有BS7799國際認證”也成了TIPO與國際問溝通時共同認知的語言。有這樣的殊榮,蔡惠言說︰「我們感覺到的不是驕傲,而是未來的責任更大」。