https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

指標化管理 立法院邁向資安治理

2009 / 09 / 18
張維君
指標化管理 立法院邁向資安治理

在穩固的資安防護基礎下,立法院用IT打造透明國會,一直以來各種資訊作業均訂定完善的SOP,讓立法院朝向資安治理的目標前進。

  立法院從2001年即建置完成憑證管理中心,成為本刊初創刊時的報導案例(第2期,2003年5月)。而8年後的今天,在立法院院長、祕書長的支持下,資訊處除了CA,又寫下更多的資安導入經驗。一路下來,ISMS、SOC、異地備援中心的建置讓立法院整體資訊基礎架構更為穩固,而立法服務網、單一資訊窗口等系統的完成,也讓資訊服務品質再精進,行政效率再提升。

  結合ITSM的立法服務網系統不管是資安或是資訊計畫,往往人的因素,是造成計畫能否順利推展的關鍵。對許多組織來說,只要獲得老闆的支持,計畫就沒太大問題。然而對資訊處而言,立法院卻有100多位老闆。

  在這裡,做資安不是長官一聲令下,大家就會乖乖配合。如何讓113位Power user願意配合做資安,必須先把他們的資訊需求服務地妥妥當當,贏得他們的信任後,他們自然願意配合各項資安規定。

  資訊處在2002年就建置起提供全國立委服務處各項資訊作業服務的立法服務網,橫跨台、澎、金、馬,建置起約230個據點與立法院資訊處之間的VPN點對點連線,並透過各項標準作業程序,以IT服務管理(ITSM)的方法來落實資訊服務。立法院資訊處顧問兼處長陳熙揚指出,立法服務網是為了解決立委服務處日常資訊作業與系統維護的需求,到後來委員甚至願意利用資訊處提供的應用系統,將其選民服務的資料與樁腳名冊上傳到系統做管理。資訊處已逐步與使用者建立起信任關係。

  立法院的生態特殊,動輒得咎,任何異動廣受各方關注,容易成為鎂光燈焦點,包括資訊計畫在內。因此,推動資安,相關籌備規劃工作都要更謹慎、周延。去年剛從公報處調到資訊處的副處長陳露生說,在這樣的環境壓力下,他發現資訊處同仁的問題解決能力都很強。凡事必須耐心溝通、有效的執行,各項資訊計畫才能順利推展。

有遠見的資訊規劃藍圖

  時至今日,立法院的資訊架構已漸趨成熟,這要歸功於一開始就有具前瞻性的資訊發展藍圖。在蒐集、整合外界的資料與建議之後,陳熙揚於1999年勾勒出立法院的資訊發展策略藍圖。從規劃CA、建置ISMS、到異地備援中心,以及SOC資安監控中心。讓資安防護工作,從事前、事中到事後能有一致性的流程並符合規範,且各項建置能相互整合,達到綜效。以下依序說明:

1) 建置國會憑證管理中心(CA)並結合ISMS

  立法院在規劃資訊系統架構的初期,就先把CA建置列為首要目標(相關報導請見本刊第2期P.24、第63期 P.53, P.20)。後續開發的應用系統均採用相同認證作業標準,因此不會有其他單位遇到應用系統無法支援電子簽章認證的問題,同時能降低整體系統整合的費用。此外,也建立起憑證生命週期管理與系統認証應用之服務標準,從憑證的申請、審核、簽發、公告、廢止與應用等皆符合系統整合所需,並配合ISMS,落實於日常工作流程中。

  特別的是,在立法院核發的8類憑證當中,也包括外包廠商憑證。在有限的資訊人力下,許多資訊計畫是委外資訊服務廠商來完成,因此必須能有效管理所有廠商的服務人員權限,以及人員異動時所造成的身分管理問題。透過CA,在立法服務網維運中心,委外服務廠商的工程師在各地維修處理完成後,均需透過憑證確認身分,再依權限登入立法服務網維運管理系統來回報案件處理進度。

(2) SOC

  立法院的SOC於2007年1月即正式運作,收集各項資安設備、主機、網路、資訊系統、環境控管(空調冷氣、消防、門禁)等相關資料,遇有異常事件監控人員會根據標準作業文件(PPP,Policy Process Procedure)之通報原則,立即通報系統承辦人處理。而此份P P P文件不是制訂後就一成不變。每年2次配合ISMS管理審查會議,由相關人員、主管定期就事件處理情形檢討改進,並修訂PPP文件,以達到最佳通報處理效益。

  在SOC營運初期,由委外廠商進行7×24×365的全天候監控,而自去年開始,每週2天,由資訊處通訊系統科同仁輪班到SOC中心進行監控。科長高振源表示,事件的通報與後續處理有時需要協調多家資訊設備廠商合作解決,因此資訊處同仁本身實際參與、介入監控工作,才能快速掌握事件並加速處理的執行。未來人力更充足時,希望能由全處同仁負責5×8的監控。

(3) 資安管理系統(ISMS)

  立法院在2004年導入ISMS,時間點在CA建置後、SOC建置前,與異地備援中心的建置同時。以資訊處所有業務,含SOC、CA、單一資訊服務窗口、立法服務網等為驗證範圍,而以全院所有單位為資安推動目標。與其他組織相同,訂定相關作業規範、注意事項等文件,並定期召開資安會議。然而在ISMS資安管理體系建置完成後,不僅後續完成的IT計畫須符合ISMS規範,許多先前建置的資訊服務也都重新調整以符合ISMS,包括CA以及單一資訊服務窗口。尤其各項經由單一資訊服務窗口處理的案件,最後都會轉為ISMS的安全指標統計項目,讓量化的指標,逐步顯示出資安管理績效。

(4) 異地備援中心

  2004年,立法院花了1年的時間,在新店建置起異地備援中心(AIC)。各主要網路設備均有備援機制,若發生異常,系統會自動切換至備援設備或線路。若是第一等級的應用系統發生異常無法使用,需於4小時內啟動異地備援中心之備援系統。AIC除了做到資料異地備份、系統備援之外,每年進行2次系統及資料復原演練測試,其中至少包括1次系統復原測試,以確保備援備份之正確性,並更新相關SOP文件。高級分析師秦劍雲提到,2007年下半年進行緊急應變演練時,恰巧遇到柯羅莎颱風,當天演練相關人員並沒有放颱風假,還模擬天然災害真實情境,照原訂計畫執行演練。資訊處團隊認真的精神令人感佩。

  從上述各項計畫的推動,可以看出立法院在推行IT計畫時對於作業程序的重視,幾乎所有的IT計畫,都各有一套SOP標準作業程序,並且都要符合ISMS規範,並且相關作業程序仍持續在PDCA過程中不斷改善。例如,原本制定21份ISMS作業規範文件,後續又因應簡化流程需求調整為15份,除了15份制度面的作業規範,還制定注意事項及日常作業管理面的備忘錄等,詳細記載資訊處3個科別每月/每季/每半年/每年的應執行事項。有趣的是,在AIC備援中心一角,還另設一書櫃專門存放所有資訊系統SOP文件,可以想見他們對SOP的重視程度可見一斑。

朝向資安治理邁進

  儘管程序、文件對推動資安來說相當重要,也是驗證所必須。但除此之外,資訊處推動資安的對象是立法院全體人員,因此端點的安全管理也是一大考驗。在管制面而言,目前包括訪客在內,所有電腦設備都需向管理單位註冊網路卡編號後才能上網,經由系統檢查是否安裝防毒軟體,版本是否更新。而在人員教育訓練方面,立法院透過線上學習系統,將資安教育訓練教材e化上網,在資源可重複利用下,有效地讓人員接受資安認知訓練。有了訓練、規範外,在推行資安上若還是遇到不配合的使用者,這時資訊處管理人員就會密件通知相關主管,或公布在入口網站。這就是「愛的教育,鐵的紀律」,陳熙揚指出立法院共同的價值信念。

  對委外廠商管理的部份,在每份合約都會訂定服務水準協定(SLA),例如,資安事件發生15分鐘內SOC人員需執行通報工作,每年年終依SLA標準對資訊服務廠商人員素質及資安防護成效進行評核分級。此外,資訊處也考慮將SLA的概念運用在資訊人員的績效考核上。沒有專職的資安人員,立法院資訊處將資安工作落實到每個環節,由三科科長及各科一位同仁負責推動工作,並且積極培養資訊處同仁取得ISO 27001 LA證照,目前已達1/3人員擁有LA證照。之所以能讓同仁在不影響工作進度下,踴躍參加外部訓練,都是靠人員輪調的管理策略。陳熙揚認為,短期來看,人員輪調會影響工作效率,需要一段時間摸索才能重新讓人員上手,然而長期而言,適度輪調才是讓資訊組織運作更為健全的策略。

  立法院各項資訊計畫正依照規劃藍圖逐步落實,但陳熙揚還是談到對於未來的發展目標。首先、對主管方面,相關決策資訊的提供能更即時。希望能從各項資訊系統自動產出管理分析數據,以提供高階主管決策,例如,SIEM平台上的報表資訊等,以期邁向資安治理的全方位績效防護目標。對資訊人員在資安技術方面,能提升對資安事件分析及鑑識能力,透過增加日常值班的實務操作監控比重與教育訓練工作,並加以分級認證並納入追蹤考核,朝永續經營目標邁進。此外,在資訊服務品質方面,預計今年底將導入ISO 20000資訊系統服務管理,讓資訊服務更上層樓。

  甫於今年2月上線的議事轉播網路隨選視訊系統(IVOD),讓立委問政情形攤在網路上,國會運作更加透明,堪稱立法院資訊應用重要里程碑。相信在持續推動資安之下,IT基礎建設逐漸穩固,資訊處更可無後顧之憂,積極規劃立法院更多的資訊應用。

說老闆的話

數字會說話

  資訊計畫要讓老闆點頭同意,就是各項需求分析,直接從系統跑出統計數字,藉由各項日誌分析,來說明具體事實與效益。

不是想要,而是必要

  立法院的資安經費佔資訊總預算21.21%。然而很多關鍵且重要的資產尚未達到所需之完善保護。在提報預算時,是滿足需要而非想要,即使是想要,也要把它轉變為需要。

立法院經驗分享

1公布前10名資安違規人員名單,加強資安教育訓練,如電子郵件警覺性測試。對於屢次違規人員,密件通知主管。
2資訊處同仁實際參與介入SOC監控工作,能快速掌握事件並加速處理。
3每年2次配合ISMS管審會,定期檢討處理流程,並修訂ISMS暨PPP相關文件,以達到最佳通報處理效益。
4根據各系統之RTO、RPO、系統風險、系統使用等級、使用者抱怨等級等綜合評估各系統之衝擊評分,以進行相關等級之備援/備份作業,每半年重新檢討各系統之備援等級。
5單一資訊服務窗口處理的需求案件,轉為ISMS的安全指標統計項目,指標可量化逐步提升資安管理績效。