觀點

依資訊系統分等級 預計年底推政府版ISMS

2009 / 07 / 30
吳依恂
依資訊系統分等級 預計年底推政府版ISMS
根據研考會近來發佈的新聞稿,98年度研考會施政重點之一,便是自行規劃、建立政府機關專業的資安認證機制。政府單位專屬的ISMS並不會只是參考國家標準CNS 27001,還會參考美國政府相關的一些標準,是專門為政府體系所提出的,好處是可以瞭解需求和迅速掌握,就像教育部懂得學校裡最重要的是校務行政系統一樣。以PDCA的精神來持續ISMS,因此在實作與運作面上,將會透過控制措施建議指引這個大方向來推動,而今年首先進行的主題便著重在於E-Mail安全指引與Web AP安全指引,社交工程以及網站安全依然是政府單位裡面的兩大威脅,自是優先處理。

而驗證標的便要透過「資訊系統分類分級與鑑別機制」來進行。行政院資通安全會報通報應變組主任吳啟文提到,以往推動驗證時,是將機關分成A、B、C、D資安等級,但到底通過驗證的部份,是否為真的為核心系統?其實資安防護應該要掌握的不是機關,而是資訊系統,所以「資訊系統分類分級與鑑別機制」也就是未來政府努力推動的方向。

首先,就是要先是別資訊類別,其次則是設定其影響構面範疇,來設定其等級,例如說可依資料保護、業務運作、法律規章、人員傷亡、組織信譽或財物損失等6構面,來判定其資訊系統安全等級。

而過去若已經通過ISMS驗證的單位,正可趁此機會來檢視一下,過去通過驗證的系統,是否為該單位之核心系統?過去推動各級機關的ISMS驗證多半著重於管理,並且B級以下單位依然有著沒人、沒錢的窘境,如今研考會也打算透過此一新驗證規範更加落實資安規範,重新審視並且投入技術稽核,並挑選適當的機關協助群體導入、集體訓練,不僅確實檢討可行性也能藉此做出良好示範,以提供尚未導入資安驗證之單位借鏡。