觀點

資訊安全管理教育訓練計畫建議書

2009 / 03 / 06
樊國楨,黃健誠
資訊安全管理教育訓練計畫建議書
基於資訊安全管理標準化之進程與台灣的環境,提出資訊安全管理教育訓練計畫之建議書,以為探討建置資訊安全管理系統各類人員教育與訓練課程的框架。

國際標準組織(ISO)主責資訊安全標準計畫之ISO/IEC JTC1/SC27的主席Walter
Fumy博士,應世界資訊社會高峰會之邀請,在2004年10月4日提出ISO/IEC JTC1/ SC27之資訊安全模型觀點工作計畫,同時公布的:「ISO/IEC JTC/SC27暫無制定資訊安全教育訓練標準之計畫,惟可先行參考美國聯邦政府公布的標準」及其建立可信賴資訊社會標準發展藍圖之演講內容。根基於此,提出此分「資訊安全管理教育訓練計畫書」,以為實作的參考。
評斷資通安全國家標準標準化之成效,以ISMS為例,不僅只要看通過ISMS
驗證的數量,還要看他建立了什麼樣的ISMS,培養了什麼樣的稽核;惟有提供ISMS稽核與驗證規範之專業組織主動瞭解問題,多方面溝通並探討ISMS的社會實踐,方能產生良性循環。台灣地區 目前ISMS稽核之市場價格幾乎是品質管理系統的200%以上,但不滿足ISMS驗證要求(例:CNS 27001第4.3節:「文件化之ISMS政策」),仍能順利獲頒CNS 27001 [ISO/IEC 27001:2005(E)]驗證合格證書者,仍不勝枚舉;「一葉知秋」,我國ISMS之市場機制仍存在極大的改善空間。根基於此,我們嘗試以ISO/IEC JTC1/SC27已公布之發展地圖(Roadmap)與自1994年6月20日起,美國陸續公布的資訊保證與安全訓練標準及其宜具備能力發展之「知識地圖(Ontology)」構想,以為「探討建置ISMS各類人員宜具備能力」之基礎,冀期成為提出「我國資訊安全教育訓練計畫建議書」框架的準備。

主責資訊安全管理之ISO/IEC
JTC1/SC27 WG1標準框架初探:
風險管理是資訊安全保證的核心工作已是共識, I S O / I E C F C D 2 7 0 0 5 : 2 0 0 6 - 1 1 - 1 8 中已將「後果 (Consequence)識別」列為其第8.1.2.4節
之要求。2007年10月,ISO/IEC JTC1/ SC27 WG1同時批准進行ISO/IEC N6303:重要民生基礎建設資訊安全與ISO/IEC N6304:電子化政府資訊安全之新工作項目(NWI, New Work Item)的研究計畫,
證諸1999年6月10日、2003年8月14日與2005年12月14日
均因工業控制系統之資訊技術安全問題分別造成Bellingham 輸油管爆炸、北美大停電及水壩潰堤之重大災害,危害以及生命財產安全的攸關性(Relevance)分析融入資訊安全風險管理中已見其應然,如何早做準備當是我國ISMS稽核作業「標準化」實然之工作項目。 2007年10月,
ISO/IEC JTC1/SC27亦通過ISO/IEC 27007:ISMS稽核指導綱要(ISMS auditor
guidelines)的NWI,於2007月11月16日正式開始其標準制定之工作,2007年8月23日,行政院院主速審字第0960000567號函中已提出ISMS的效率之疑義, 如何參照ISO/IEC JTC1/SC27進行中的ISMS稽核標準化工作,強化我國之資訊安全管理教育與訓練是一項值得推廣的作業。
2007年3月18日~21日,聯合國IFIP(International Federation Information Processing)第11.10工作小組舉辦第1次重要民生基礎建設防護(CIP, Critical
Infrastructure Protection)研討會;2007年10月1日~5日,國際標準組織ISO已立項研究「重要民生基礎建設資訊安全」標準制定的計畫中,「攸關性與存
活性(Survivability)」是CIP其風險評鑑及風險處理之重要組件,諸如「或然論風險評鑑方法(Probabilistic Risk Assessment,簡稱PRA)」等CIP使用的風險評鑑方法論,已見諸資訊安全風險評鑑專書中。反觀我國至2007年12月31日,已通過CNS 27001(ISO/IEC 27001:2005)資訊安全管理系統驗證之CIP,仍存在使用「白血球+紅血球+血小板(備考:資訊資產價值=機密性+完整性+
可用性)」的有缺陷之風險評鑑方法論的事實。「一葉之秋」,我國ISMS稽核之標準化仍是應努力的工作項目。
鑑於C N S 2 7 0 0 1 [ I S O / I E C 27001:2005(E)]第4.1節要求:「組織應用其整體營運活動與其所面臨風險之全景中,建立、 實作、運作、監視、審查、維持及改進已文件化的ISMS。」ISO/IEC JTC1/SC27 WG1,除涵蓋ISMS之標準系列外,已進行產業別資訊安全管理標準與ISMS控制措施之技術稽核標準的研究項目中;換言之,不同產業的ISMS宜有不同之資訊安全控制措施且IT面的要求亦宜強化。在另一方面, 隨著CNS(ISO/IEC 27001:2005(E)):2006-06-16日益普及,諸如資訊事故管理無法融入營運持續計畫等CNS(ISO/IEC 27002:2005(E)):2007-10-24的缺陷逐漸顯現,為解決資訊安全管理系統技術管理面控制措施之不足,如ISO/IEC 27000家族控制措施之標準制定與研究的工作已在進行中,期能提供建立ISMS時技術控制之參考。
綜上所述,資訊安全管理標準之實作尚在成長中,如何裁適成我國宜建立的資訊安全管理教育訓練計畫及編撰教材是標準化作業基石之一。標準可
以累積知識與經驗,標準化則是冀求以系統的、共同協調一致之方法來強化標準實作的知識與經驗以供傳承。分析不僅能提昇標準之效益,更能創造標
準的價值,相關ISO/IEC 27000家族所列之已出版標準、進行中標準草案與研究項目的規範,均應分析其適用性後融入資訊安全管理教育訓練之內容中。

ISMS相關人員教育訓練需求初探:
無論是從國家競爭力、組織再造或是企業營運等,資訊正面臨著層出不窮的挑戰;資訊系統與網路環境之特點及侷限性決定了資訊社會將面對木馬藏兵、連線劫持、移花接木等新的各方面的威脅,資訊資產正面臨著層出不窮的資安事件之挑戰。
因應資訊社會之需要,不同資訊系統間經由網路互連提供當事人作業或自身等需求,查詢資訊的介面已日益普及,但人工調閱檔案之依案號逐件紀
錄的機制在不同機構(關)資訊系統互連之查詢資訊的介面設計仍屬罕見,常見之方式僅經由符記(例:自然人憑證)或通行碼鑑別當事人的身分即開放其依規 定有權查詢資訊之整個檔案供其檢索;換言之,有如甲機構因業務需要借閱乙機構的一份公文,經查證無誤後,乙機構就將此份公文所在之整個資訊系
統檔案交由甲機構的當事人檢索查詢,更有整個檔案室即任由甲機構之當事人檢索資訊系統互連的設計,極易造成存取濫權的資訊洩露之事件。我國自
2003年起,「行政院國家資通安全會報」正式發函要求推動ISMS驗證以來,至2007年12月31日止,已有公民營機關(構)之超過150個資訊系統通過驗證, 惟如前所述,其「營運資訊系統」實作並未建立政策且違反組織已存在之「分享管理資訊的政策」者,亦非罕見,值得注意,ISMS相關人員能力之訓
練與要求已是我國宜面對的課題。
自1990年7月5日起,美國對於資通安全之認知、訓練與教育均列為資通安全國家政策的優先發展項目,美國自1994年6月20日起已陸續規範6類人員之資訊安全訓練標準,並整合高等教育資源建置人員驗證機制在完成規定的已通
過驗證學程之學分後即頒發證書,其中風險分析人員(CNSSI-4016)的學程目前(2008-01-31)尚在審核中,表2即為表1中系統驗證者修習美國海軍研究院
(Naval Postgraduate School) 15個學分的學程範例,其中CS3600、CS3670、CS4600、CS4614、CS4680課程內容,均包含資訊技術安全評估共同準則。因此,對於諸如資訊系統互連如何區別當事人在何處(例:辦公室、網咖、境外旅舍等)上網的受控存取如資訊技術分隔(Compartmentalization)等觀念均
已成為常識,於我國已擁有提供資訊技術分隔資源之機關(構)所在多有,惟知道者極為罕見,如何強化資訊安全諸如「資訊技術安全評估共同準則」等應
有之認知與訓練以免建立ISMS時,完成之文件成為欠缺標準化之文字堆砌的作業規範是值得深思之課題。資通安全之實作涉及數位社會天涯咫尺等特
性,宜具備應有之資通安全概念方能建置適當的控制措施,資訊技術分隔與資訊系統互連之受控存取僅為一例。「中興以人為本」,美國聯邦政府自
1989年起即頒布資通安全訓練規範,自1990起更陸續頒布資通安全訓練標準,是其對ISMS稽核能力的規範;「他山之石,可以攻玉」,其優先次序與標準化歷程等應可作為我國規劃相關事宜之參考,方不至於通過驗證之ISMS均不知並未遵循CNS 27001 的「文件化資訊安全管理系統政策」之要求。
針對ISMS控制措施之實作,以ISMS稽核為例於ISO/IEC 27006:2007-03-01的第B.2節規範稽核員宜具備之一般知識,ISO/IEC 27001:2005-10-15附錄A控
制措拖領域外,稽核員也須知道27000標準系列中的其它標準。
根基於知識地圖,以訓練的面向,資訊安全知識領域(Area)可以考慮分成如下之7類:
1. 管理、政策、整備與回應(Management, Policy, Readiness and Response)。
2. 安全計算系統(Secure Computing Systems)。
3. 資訊保證工程(Information Assurance Engineering)。
4. 網路安全(Network Security)。
5. 密碼學(Cryptography)。
6. 關鍵基礎建設防護( C r i t i c a l I n f r a s t r u c t u r e Protection)。
7. 社會責任、倫理與法律(Social responsibility, Ethical and Low)。
綜上所述,我們提出如表5所示之ISMS稽核課程內容芻議,惟前述的「安全計算系統」等之相關標的制定工作,ISO尚在進行中,教材之編撰可引用已
發行的團體標準(例:Trusted Computing Platform,簡稱TCP)等。
資訊安全管理各類人員之能力與訓練,實應展開更深入的思考與討論。因應我國之環境,ISMS核心能力訓練課程內容將做為相關訓練之基
石,期能強化其品質。

結論

美國於表1之資訊保證與安全訓練標準分成基礎(Beginning)、中級(Intermediate)與進階(Advanced)3 級,囿於資源及成效,建議分成3期循序進行。其核心課程如表5所述,20位資安組員宜接受全部之3期各40小時的訓練,惟97年度僅上第一期之40小時課程。內部稽核小組、風險控制小組與事件管理小組宜接受前述第一期基礎課程中之前24小時的訓練,再針對其需求分別接受12~52小時的擴增訓練;資安推動小組與執行推廣小組宜接受前述第一期基礎課程中之前24小時的訓練,再針對其需求分別接受3小時擴增課程。 當我國「ISMS驗證」已被批評為:「不再是探討ISMS之社會實踐,而僅是一種譁眾取寵,金玉其外的櫥窗商品時」,資訊安全管理之能力與訓練,實應展開更深入的思考與討論。