觀點

巧手推資安:資安實踐 各有巧思

2009 / 07 / 28
張維君
巧手推資安:資安實踐 各有巧思
模仿,是學習的捷徑。以下單位推動資安的巧思以及跨部整合、有效動員的過程值得效法。

  推動任何IT新計畫都需要獲得高階主管的支持,尤其是資安計畫,但老闆重視之後,接下來如何利用這股支持力量化為推動各部門合作的動力,則考驗著資安人員整合協調能力。此外,資安威脅迅速演變,資安人員必須緊緊抓住同仁對資安議題的關注,不能讓同仁鬆懈失去警惕,則又考驗著資安人員活動企劃的能力,讓資安訓練維持新鮮感。

  推動資安沒有一定的公式,隨著組織文化不同,宜採取不同訴求與策略。以下不同產業別的資安實踐獎得主,在其單位內找到了推動資安對的方法,摸索出最適合組織的動員方式、溝通技巧、或專案管理技能。期望你能學習他們的精神締造屬於你的資安經驗。

從中央到地方逐步推資安的內政部地政司

  地政司中部辦公室於94年即通過BS 7799驗證,驗證範圍涵蓋各項地政資訊業務。其資安推動工作不僅涵蓋該司內部,亦擴及全國各縣市地政處(局),包括調訓全國地政事務所人員取得ISO 27001 LA證照,協助全國地政單位建置ISMS通過驗證。而該司地政資訊作業科機房係「全國地政資訊網路」之網路節點中心,因此相關網路監控、掃描設備均已佈署,透過定期專案會議及外部演練以加強防禦。而該司為確保稽核有效改善,也將22種規範、47種資安表單導入「資安ISMS e化管理系統」,以機房工作日誌為例,駐點人員也需每日填單,送至主管審核,並留存為歷史資料,以備日後查詢。


將資安隱性知識轉為顯性的銘傳大學

  銘傳大學所有校園資訊服務之主機、系統、機房維運等均在ISO 27001驗證範圍中,透過I S M S的建置,並不斷調整流程,資安SOP已落實在日常IT營運工作中。自行開發「資安文件管制系統」,可將相關資安問題納入資料庫統計整理,而資安相關會議記錄、資安事件處理與討論則透過開源碼moodle平台進行資安專案管理,有效將隱性知識轉為顯性。而校園網路一向最令人頭疼的學生上網問題,銘傳已將校園所有電腦教室的PC登入權限集中管理,學生使用學校網路、電腦必須進行身分認證,如此一來,如有違規行為日後追查亦有所依據,便大幅減少如P2P等軟體的使用。

提供安全印刷服務的永豐紙業

  提供支票、禮券、高速公路回數票等有價證券印刷服務的永豐紙業,提供的不單只是印刷製品,而是安全的印刷服務。土城廠在94年即通過BS 7799驗證,範圍涵蓋處理客戶來稿資料的資料處理中心。資安專案由生產部主導,納入整個印刷作業流程,除了每季內部稽核進行P D C A外,也開放客戶稽核,藉由客戶的挑戰與要求不斷改善。資訊單位從技術面負責資安產品的建置、定期備援演練、檢測,從資安工具產出報告以檢視威脅,並進行內部討論,以採取有效防禦措施。除了ISO 27001,還通過I S O 9 0 0 1、I S O 1 4 0 0 1、CWA14641、FSC COC,驗證經驗豐富。


讓資安與個人連結的華寶通訊


  為Motorola等大廠提供ODM服務的華寶通訊,希望更有系統地建置資安,在總經理的全力支持下,從資訊處開始導入ISO 27001,目前相關資安工作已推展到其他部門,包括研發部。華寶多數使用者IT技能都不低,為了有效宣導資安認知,他們先解決所有人在日常生活中最關心的資安議題,讓資安教育訓練與個人生活經驗做連結,成功吸引同仁對資安活動的參與。透過「華寶資安報報」電子報、網站等管道宣達使用者關心的主題,讓使用者以保護自己的心態去實行資安政策,讓安全的概念從工作延伸到生活。
圖:華寶通訊資訊處副處長 簡朝祥

全員參加資安SOP訓練的佳生科技

  佳生科技為臨床試驗委託研究機構,於92年即成立「電腦確效暨資安委員會」,雖然沒有取得外部驗證,但以ISO 27001的架構規範制定適用於生技產業之資安政策與管理辦法。並開發SOP訓練系統,每年舉辦資安SOP訓練,所有員工包括CEO等高階主管均參加。高階主管大力支持資安,曾數次對員工發電子郵件提醒資安重要性。此外,建立員工資安優良紀錄,公開鼓勵資安行為值得表揚的員工。5年來,歷經30餘次國際藥廠、政府或相關單位之資安稽查,公司內部法規單位、資訊部門均定期進行自行查核,以求持續改善。

有紀律才安全的行政院環保署

  環保署於96年2月及12月分別通過ISO 20000及ISO 27001驗證,是首家取得ISO雙驗證的公務機關。在後續推動過程中,逐漸整合兩套國際標準管理系統之作業流程,並通過後續審查,目前有9項表單及文件整合共用。藉由ITSM及ISMS流程,建立單一服務窗口機制且落實事件、問題及變更等3項基本管理流程,提高資訊作業品質及安全。且藉由標準化管理機制,減少單位內部因人員異動而造成的管理疏失。並在過程中建立工作紀律,形成組織文化。資安人員亦規劃全署資安教育訓練活動,發布資安O K棒短訊,用以通報資安威脅及因應方法等宣導資安重要性。

以有限資源發揮最大效益的衛生署藥檢局


  衛生署藥檢局於97年通過ISO27001驗證,以公文檢驗管理系統及機房為驗證範圍,輔導與落實範圍除藥檢局全局各組室及全部系統外,並包括中、南、東部檢驗站。由政風室主導內部稽核,並將結果彙報至資安長,同時配合外部稽核單位,包括第三方驗證機構及上級單位,如衛生署、研考會等之稽核結果,持續改善。為落實推動資安,各組室由主管直接指定單位資安種子,負責資訊資產清點、資安推廣,而資訊小組在有限經費下,亦積極參與研考會相關指引實作及衛生署資安教育訓練,以取得更多資源。