指標化管理　立法院邁向資安治理

在穩固的資安防護基礎下，立法院用IT打造透明國會，一直以來各種資訊作業均訂定完善的SOP，讓立法院朝向資安治理的目標前進。

　　立法院從2001年即建置完成憑證管理中心，成為本刊初創刊時的報導案例（第2期，2003年5月）。而8年後的今天，在立法院院長、祕書長的支持下，資訊處除了CA，又寫下更多的資安導入經驗。一路下來，ISMS、SOC、異地備援中心的建置讓立法院整體資訊基礎架構更為穩固，而立法服務網、單一資訊窗口等系統的完成，也讓資訊服務品質再精進，行政效率再提升。

　　結合ITSM的立法服務網系統不管是資安或是資訊計畫，往往人的因素，是造成計畫能否順利推展的關鍵。對許多組織來說，只要獲得老闆的支持，計畫就沒太大問題。然而對資訊處而言，立法院卻有100多位老闆。

　　在這裡，做資安不是長官一聲令下，大家就會乖乖配合。如何讓113位Power user願意配合做資安，必須先把他們的資訊需求服務地妥妥當當，贏得他們的信任後，他們自然願意配合各項資安規定。

　　資訊處在2002年就建置起提供全國立委服務處各項資訊作業服務的立法服務網，橫跨台、澎、金、馬，建置起約230個據點與立法院資訊處之間的VPN點對點連線，並透過各項標準作業程序，以IT服務管理(ITSM)的方法來落實資訊服務。立法院資訊處顧問兼處長陳熙揚指出，立法服務網是為了解決立委服務處日常資訊作業與系統維護的需求，到後來委員甚至願意利用資訊處提供的應用系統，將其選民服務的資料與樁腳名冊上傳到系統做管理。資訊處已逐步與使用者建立起信任關係。

　　立法院的生態特殊，動輒得咎，任何異動廣受各方關注，容易成為鎂光燈焦點，包括資訊計畫在內。因此，推動資安，相關籌備規劃工作都要更謹慎、周延。去年剛從公報處調到資訊處的副處長陳露生說，在這樣的環境壓力下，他發現資訊處同仁的問題解決能力都很強。凡事必須耐心溝通、有效的執行，各項資訊計畫才能順利推展。

有遠見的資訊規劃藍圖

　　時至今日，立法院的資訊架構已漸趨成熟，這要歸功於一開始就有具前瞻性的資訊發展藍圖。在蒐集、整合外界的資料與建議之後，陳熙揚於1999年勾勒出立法院的資訊發展策略藍圖。從規劃CA、建置ISMS、到異地備援中心，以及SOC資安監控中心。讓資安防護工作，從事前、事中到事後能有一致性的流程並符合規範，且各項建置能相互整合，達到綜效。以下依序說明：

1) 建置國會憑證管理中心(CA)並結合ISMS

　　立法院在規劃資訊系統架構的初期，就先把CA建置列為首要目標（相關報導請見本刊第2期P.24、第63期 P.53, P.20）。後續開發的應用系統均採用相同認證作業標準，因此不會有其他單位遇到應用系統無法支援電子簽章認證的問題，同時能降低整體系統整合的費用。此外，也建立起憑證生命週期管理與系統認証應用之服務標準，從憑證的申請、審核、簽發、公告、廢止與應用等皆符合系統整合所需，並配合ISMS，落實於日常工作流程中。

　　特別的是，在立法院核發的8類憑證當中，也包括外包廠商憑證。在有限的資訊人力下，許多資訊計畫是委外資訊服務廠商來完成，因此必須能有效管理所有廠商的服務人員權限，以及人員異動時所造成的身分管理問題。透過CA，在立法服務網維運中心，委外服務廠商的工程師在各地維修處理完成後，均需透過憑證確認身分，再依權限登入立法服務網維運管理系統來回報案件處理進度。

(2) SOC

　　立法院的SOC於2007年1月即正式運作，收集各項資安設備、主機、網路、資訊系統、環境控管（空調冷氣、消防、門禁）等相關資料，遇有異常事件監控人員會根據標準作業文件(PPP，Policy Process Procedure)之通報原則，立即通報系統承辦人處理。而此份P P P文件不是制訂後就一成不變。每年2次配合ISMS管理審查會議，由相關人員、主管定期就事件處理情形檢討改進，並修訂PPP文件，以達到最佳通報處理效益。

　　在SOC營運初期，由委外廠商進行7×24×365的全天候監控，而自去年開始，每週2天，由資訊處通訊系統科同仁輪班到SOC中心進行監控。科長高振源表示，事件的通報與後續處理有時需要協調多家資訊設備廠商合作解決，因此資訊處同仁本身實際參與、介入監控工作，才能快速掌握事件並加速處理的執行。未來人力更充足時，希望能由全處同仁負責5×8的監控。

(3) 資安管理系統(ISMS)

　　立法院在2004年導入ISMS，時間點在CA建置後、SOC建置前，與異地備援中心的建置同時。以資訊處所有業務，含SOC、CA、單一資訊服務窗口、立法服務網等為驗證範圍，而以全院所有單位為資安推動目標。與其他組織相同，訂定相關作業規範、注意事項等文件，並定期召開資安會議。然而在ISMS資安管理體系建置完成後，不僅後續完成的IT計畫須符合ISMS規範，許多先前建置的資訊服務也都重新調整以符合ISMS，包括CA以及單一資訊服務窗口。尤其各項經由單一資訊服務窗口處理的案件，最後都會轉為ISMS的安全指標統計項目，讓量化的指標，逐步顯示出資安管理績效。

(4) 異地備援中心

　　2004年，立法院花了1年的時間，在新店建置起異地備援中心(AIC)。各主要網路設備均有備援機制，若發生異常，系統會自動切換至備援設備或線路。若是第一等級的應用系統發生異常無法使用，需於4小時內啟動異地備援中心之備援系統。AIC除了做到資料異地備份、系統備援之外，每年進行2次系統及資料復原演練測試，其中至少包括1次系統復原測試，以確保備援備份之正確性，並更新相關SOP文件。高級分析師秦劍雲提到，2007年下半年進行緊急應變演練時，恰巧遇到柯羅莎颱風，當天演練相關人員並沒有放颱風假，還模擬天然災害真實情境，照原訂計畫執行演練。資訊處團隊認真的精神令人感佩。

　　從上述各項計畫的推動，可以看出立法院在推行IT計畫時對於作業程序的重視，幾乎所有的IT計畫，都各有一套SOP標準作業程序，並且都要符合ISMS規範，並且相關作業程序仍持續在PDCA過程中不斷改善。例如，原本制定21份ISMS作業規範文件，後續又因應簡化流程需求調整為15份，除了15份制度面的作業規範，還制定注意事項及日常作業管理面的備忘錄等，詳細記載資訊處3個科別每月／每季／每半年／每年的應執行事項。有趣的是，在AIC備援中心一角，還另設一書櫃專門存放所有資訊系統SOP文件，可以想見他們對SOP的重視程度可見一斑。

朝向資安治理邁進

　　儘管程序、文件對推動資安來說相當重要，也是驗證所必須。但除此之外，資訊處推動資安的對象是立法院全體人員，因此端點的安全管理也是一大考驗。在管制面而言，目前包括訪客在內，所有電腦設備都需向管理單位註冊網路卡編號後才能上網，經由系統檢查是否安裝防毒軟體，版本是否更新。而在人員教育訓練方面，立法院透過線上學習系統，將資安教育訓練教材e化上網，在資源可重複利用下，有效地讓人員接受資安認知訓練。有了訓練、規範外，在推行資安上若還是遇到不配合的使用者，這時資訊處管理人員就會密件通知相關主管，或公布在入口網站。這就是「愛的教育，鐵的紀律」，陳熙揚指出立法院共同的價值信念。

　　對委外廠商管理的部份，在每份合約都會訂定服務水準協定(SLA)，例如，資安事件發生15分鐘內SOC人員需執行通報工作，每年年終依SLA標準對資訊服務廠商人員素質及資安防護成效進行評核分級。此外，資訊處也考慮將SLA的概念運用在資訊人員的績效考核上。沒有專職的資安人員，立法院資訊處將資安工作落實到每個環節，由三科科長及各科一位同仁負責推動工作，並且積極培養資訊處同仁取得ISO 27001 LA證照，目前已達1/3人員擁有LA證照。之所以能讓同仁在不影響工作進度下，踴躍參加外部訓練，都是靠人員輪調的管理策略。陳熙揚認為，短期來看，人員輪調會影響工作效率，需要一段時間摸索才能重新讓人員上手，然而長期而言，適度輪調才是讓資訊組織運作更為健全的策略。

　　立法院各項資訊計畫正依照規劃藍圖逐步落實，但陳熙揚還是談到對於未來的發展目標。首先、對主管方面，相關決策資訊的提供能更即時。希望能從各項資訊系統自動產出管理分析數據，以提供高階主管決策，例如，SIEM平台上的報表資訊等，以期邁向資安治理的全方位績效防護目標。對資訊人員在資安技術方面，能提升對資安事件分析及鑑識能力，透過增加日常值班的實務操作監控比重與教育訓練工作，並加以分級認證並納入追蹤考核，朝永續經營目標邁進。此外，在資訊服務品質方面，預計今年底將導入ISO 20000資訊系統服務管理，讓資訊服務更上層樓。

　　甫於今年2月上線的議事轉播網路隨選視訊系統(IVOD)，讓立委問政情形攤在網路上，國會運作更加透明，堪稱立法院資訊應用重要里程碑。相信在持續推動資安之下，IT基礎建設逐漸穩固，資訊處更可無後顧之憂，積極規劃立法院更多的資訊應用。