資訊安全管理認知框架簡述

美國聯邦政府初版電腦安全訓練指導綱要起，其資訊安全人員訓練系列標準，至2008年3月仍是ISO主責資訊安全之ISO/IECJTC1/SC27的資訊安全分組推薦之規範。

　　美國自1989年11月，美國國家標準與技術研究院（National Institute of Standards and Technology，簡稱NIST）履行1987年頒布之美國電腦安全法中對資訊安全認知與訓練的要求起，美國聯邦政府公布之資訊安全訓練標準及規範及其如所示的安全模式與之人才培育類別框架，已成為ISO（國際標準組織，International Organization for Standardization）在標準系列工作計畫中推薦的人員訓練標準。

美國聯邦政府資訊安全認知框架

　　2002年，NIST承擔美國資訊安全管理法(FISMA, Federal Information Security Management Act)中制定標準之責任，於人員認知方面仍沿用其1998年公布之框架與概念，要求相關人員均應認識如圖2.1中所示的資訊安全用語。

　　NIST之規劃，於訓練與教育範疇善用美國大專院校的資源，認知方面則自行規範。根基於此，我們簡述NIST定義之資訊安全核心觀點的框架與其概念。

資訊安全概念用語釋義

(1)資產
具價值而需要保護的物件，如：硬體、軟體、資料、名譽。

(2)備援
最重要的保護措施－備份。備份的概念包括建立和測試災害復原與營運持續計畫，並且準備資料檔案的備份，儲存在遠離災害危險的地方。

(3)對策和控制
安全事故的預防、察覺與回復。

(4)指定委任專家與其他人員
管理與接受風險，並授權系統的運作

(5)道德規範
決定個人行為的準則。

(6)防火牆和職務區隔
使易於侵入的可能降至最低。防火牆使單一活動或系統安全上的失效或弱點是可控制的，且不會對其他活動或系統造成衝擊。職務的區隔目的是確保沒有單獨行動的單一個人能危害應用系統。

(7)目標
機密性，完整性和可用性。

(8)駭客／悍客
對任何的系統構成威脅的侵入者。

(9)個人責任歸屬／職責
資訊技術安全的基本教義是個人必須對其行為負責。此基本教義若未被遵循和實施，就不可能成功地起訴意圖損害或破壞系統的人，或是訓練其行動為非蓄意但有負面效果的人。個人責任歸屬的概念驅動許多安全保障措施的需求，如使用者識別符、稽核軌跡和存取權限授權規則。

(10)工作描述／工作職責
定義個人在組織中的角色。

(11) 事故防範的關鍵
認知、遵循、常識，若個人將下列基本的概念融入其日常活動，許多資訊技術安全事故是可以防範的：

一、 認知－人員宜知道工作中所使用資產的價值，以及相關的威脅和弱點的本質。

二、 遵循－個體宜遵從已制定的保護措施（如：掃瞄磁片，變更密碼，執行備份）。

三、 常識－若有些事情似乎好得不像是真的，通常就不是真的。

(12)法規
國會已為設立聯邦政府內資訊技術安全的基本政策架構而通過一些法律（如：隱私權條例，電腦安全法，電腦詐欺濫用法）。這些法律在資訊系統的適用性上已有法規與指引來加強。

(13)模式框架
本文呈現資安訓練的模式架構。此模式框架描述組織內個人的訓練需求與工作職務或角色有關。該模式認可個人對資訊安全的訓練需求，相關於其組織上的職責，會在廣度和深度上變更。

(14)需知原則
限制對資料的存取權限，設立不間斷的學習目標須知。包括一、為完成工作而存取資訊的需要：對資訊和流程的存取宜受限於個人工作所需。此方法使未經授權活動的可能性降至最低，並使個人知道和了解與其使用或維護資訊系統相關的威脅及脆弱性質的可能性升至最高；二、持續學習的驅動力：考慮到技術上變更的速度，個人必須知道技術的特性，使其更加能處理特定的脆弱性。

(15)擁有權
設立資產保護的職責／責任。資訊系統或資產的安全職責必須被指派給單一可識別的實體，且由該實體內的單一資深人員負責。如此可提供安全失效的應負責任，並建立行政管理系統以授權系統資產的存取和使用。此一個別的責任和職權的概念，通常稱為擁有權或管理權。即使當資產(特別是資料)被轉移至另一個組織，資產的擁有權通常會被保留。

(16)政策與程序
要達成的目標與達成的方法。

(17)品質保證／品質控制
確保流程的完整性。

(18)風險管理
在潛在的不利衝擊與保護措施的成本間取得平衡。風險管理是將來自安全事故的威脅、脆弱性和潛在衝擊，比照實施保護措施成本的評估過程。風險管理的目標是確保所有資訊資產有足夠適當的防護，以避免浪費、詐欺、濫用和營運中斷。當可取得的資源逐漸減少，潛在威脅的範圍逐漸成長，風險管理的重要性正在日漸增長。

(19)安全訓練
所有安全保護措施中最佳利益的投資

(20)威脅
永遠存在，且通常在意料之外發生。因此，必須計劃資訊安全保護措施，以預防或使被影響的資訊系統所受到的衝擊降至最低。

(21)單一識別符
提供個人責任歸屬，並促進存取控制。單一識別符是一個或一組代碼，可提供個人的權責和行為間之確實聯繫。必須有適當的保護措施以確保識別符只能由被指派的人所使用。

(22)脆弱性
安全弱點，威脅藉此對系統造成衝擊。脆弱性是資訊系統安全環境中的弱點。威脅可藉由脆弱性的利用或行動，對資訊系統造成不利的影響。使用保護措施來緩和或排除脆弱性。

(23)浪費、詐欺與濫用
安全事故的3項主要衝擊。資訊安全故障可能產生潛在的不利衝擊為浪費、詐欺與濫用。政府範疇的政策中特別指出浪費、詐欺與濫用是潛在的衝擊。

(24)期待意外
不要以為未曾發生過的事就永遠不會發生。

(25) 你
你的行為或不行為對維持有效的安全環境是緊要的。你為你對資訊系統及其相關資料的行為負責，並且將被要求負責。你能藉你的行為或不行為來增強或者削弱資訊安全環境。例如，你可以藉由在適當時間間隔變更密碼，來增強資訊安全環境，沒有如此作，則會削弱。

(26)區隔／資訊技術分隔
制定安全層級，並使事故衝擊降至最低。「區隔／資訊技術分隔」是將應用系統劃分成多個獨立安全環境的概念。在整個應用系統被危及之前，安全的破壞將需要一項安全失效發生於兩個或更多的區域／資訊技術隔間中。此一將安全分層的方法，可運用於與資訊系統有關的實體及資訊技術環境。美國自1987年起成立聯邦資訊系統安全教育者協會(Federal Information Systems Security Educators'' Association，簡稱FISSEA)。

結論

　　根基於2002年12月公布之美國聯邦資訊安全管理法（Federal Information Security Management Act，簡稱FISMA），為落實資訊安全治理，美國國家標準與技術研究院，根基於風險管理已完成如圖2示之FISMA要求的標準及規範；其第1階段(Phase I:2003~2008)之FISMA計畫中的標準與規範，NIST已擴及工業控制系統(Industrial Control System，簡稱ICS)。

　　2007年起，NIST開始進行包含關鍵基礎建設資訊防護(Critical Infrastructure Information Protection，簡稱CIIP)在內之第2階段(Phase II: 2007~2010) FISMA計畫中，NIST將推動包含ICS安全在內之資訊安全標準的遵循審查機制；以資訊安全管理系統（Information Security Management System，簡稱ISMS）為例，國際標準組織ISO主責資訊安全標準計畫之ISO/IEC JTC1/SC27的主席Walter Fumy博士提出的ISO/IEC JTC1/SC27之資訊安全模型觀點工作計畫，同時公布其：「ISO/IEC JTC/SC27暫無制定資訊安全教育訓練標準之計畫，惟可先行參考美國聯邦政府公布的標準」及其建立可信賴資訊社會標準發展藍圖之演講內容。美國NIST規範之圖1及其說明至今仍是美國聯邦政府資訊安全認知的源池，「他山之石，可以攻玉」，NIST對資訊安全認知的觀點與要求，值得深入瞭解；同時，ICS等關鍵基礎建設對資訊安全管理之影響，應密切觀察。