ISMS制度在政府機關推動已有一段時間,在上期文章中行政院國家資通安全會報通報應變組主任吳啟文也曾提到,國際的資安管理驗證標準在國內政府機關施行上的一些困難與盲點,這也是為什麼研考會要擬訂新的政府版ISMS。吳啟文說,其實研考會當初也思考到,在政府機關推動資安管理制度,究竟是要用國家標準?還是政府規範好?但是考量標準並不具強制性,而政府規範卻有強制力。民間的標準是自發性的,代表的意義是對自我的要求與提升,讓使用者透過比較之後,進而選擇通過標準驗證公司的產品或服務。但是政府規範就可以針對政府機關業務特性進行要求,因為政府機關追求的是更嚴謹、確實的一個標準,而政府規範是要自己訂定?還是直接遵循國際標準呢?若是後者需如何推動?是否遵循ISO 27001就好?這些也都是研考會當初考量時的掙扎。
吳啟文提到未來的規劃,研考會預定在99年度訂定5項資安認驗證作業規範:第三方驗證作業規範、第三方驗證機關認證作業規範、資安人員驗證作業規範、資安人員驗證機構認證作業規範及資安訓練機構認證作業規範。屆時這些資安規範及相關的參考指引文件也都會互相結合,以建立政府機關整體資通安全防護,符合「資安保証性評鑑(Security Assurance Assessment」要求。
吳啟文表示,政府資安認驗證體系架構,大致上可分為驗證機構、人員驗證與教育訓練,驗證的標準會以發展的資安作業參考指引為主,並分期逐年推行,推動期程預定從99年開始。
比照國際標準的認驗證機構
驗證機構的認定,吳啟文說,這也將會參考國際標準在國內的驗證機構認定方式,透過研考會授權方式,委託相關單位擔任認證單位。屆時將由驗證機構提出申請,檢視該驗證機構是否瞭解並熟悉政府版ISMS的驗證標準,符合作業規範相關規定,若合格才能夠進行驗證工作,並且也將定期review、稽核確保驗證機構的可靠性,相關程序可以參考TAF核發給ISO 27001驗證機構的一些流程。
TAF執行長張滿惠說,政府機關應有較嚴格的驗證標準,若現有的ISMS有不足以應付的地方,自然應該要設立其他標準,目前TAF在進行認驗證過程中,也都會邀請在該領域當中的專業來擔任主任評審員,她說在這個案子裡,或許也可邀請如技服中心的專業人員擔任主任評審員。她說,政府的資安標準不一定要按照國際的ISO 27001,因為國際標準自然是要符合所有行業、一般大眾,若政府機關有特殊的求當然可以設定自己的標準,甚至也可以推廣至其他國家作為政府資安規範標準,他國亦可來向我國取經。
現在政府機關在網站或資訊系統的管理上有待加強的地方仍然很多,由於人力、資源或專業不足等因素,部分機關可能沒有專責的資訊人員,甚至僅有約聘僱人力,資訊系統大多採委外開發,由於專業能力不足,自然也無法確認系統有無安全漏洞。為此,技服中心針對Web AP主要弱點蒐集自動化檢測工具,撰寫操作程序,並且訓練政府機關建立自我檢測能力。讓政府機關有能力要求委外廠商撰寫符合資安規範之應用程式,並使用技服中心所建議的檢測工具進行Web AP安全漏洞檢查,甚至建立滲透測試能量;較無人力、資源的機關也可透過檢查表方式,讓他們照表逐項要求委外廠商。
擬真情境教育訓練
為建立公務人員資安職能長遠發展之培訓制度,將針對職務與任務,規劃其執行業務應具備之資通安全知識與技能,辦理資安實務訓練,並建立資安能力之評量制度。公務人員職務概略可分成一般主管、一般使用者、資訊人員、資安人員4種類別,研考會將規劃必修課程與選修課程,提供政府機關做為訓練的參考。資安職能課程類別依屬性可分為4類:資安入門、資安管理、資安技術及其他,授課型式包括實體課程與數位課程2種,其中實體課程主要針對資安人員及資訊人員辦理,通過課程評量將可取得資安專業證書。
而資安實體證照課程,教材將會以資安作業參考指引為主,98年將完成電子郵件安全與Web應用程式安全2門課程之編訂,99年將持續進行資通安全管理制度、資訊系統風險評鑑、資通安全稽核、資安事件應變作業、電子資料保護及政府資訊作業委外安全等6門程之編訂,上課方式也會透過Workshop、案例分享的方式,讓學員可以模擬真實情境。此外,依據「國家資通訊安全發展方案(98-101)」與「政府機關資訊安全責任等級分級作業施行計畫」有關機關資安證書取得規定,研考會將透過訓練與評量,逐步建立公務人員的資安能力。
目前政府機關的一般主管、一般使用者每年也都被要求要上滿1至3小時的資安課程,但要上什麼樣的資安課程並沒有明確方向。也因此,各機關除應就機關資通安全相關規定辦理訓練外,技服中心未來每年將依政府資通安全推動重點,規劃製作2小時數位學習課程,提供各機關作為一般主管、一般使用者訓練使用,這對於政府人力的資訊素質來說,應會有明顯的增長。
整頓過去資安歷程 開啟資安新頁
而過去國家資通安全會報雖將政府機關的資安等級分為A、B、C、D級,但未明確規定各項防護措施應符合之防護強度,因此機關可能會有不知如何遵循的困擾。也因此現在研考會除了第一要務,要檢討政府機關資安應辦事項,審視各級機關對於資安的要求做得夠不夠之外,第二就是要對此提出建議,規劃依據機關不同安全等級,參考「資安產品選擇參考指引」,強化資安防護面向與強度。在資安防護面向,除原規定的網路端安全防護外,建議加強網站及應用程式安全防護、資料安全防護等;在資安防護強度,將整理各項防護措施功能需求表,並區分資安防護水準為高、中、低三個等級。同時,研考會也將配合國家資通安全會報99年起推動「資訊系統分類分級與鑑別機制」,規劃以資訊系統為主體進行安全等級鑑別,並配合發展安全控制措施參考指引,加強資訊系統的安全防護。
吳啟文說,研考會未來將推動政府版ISMS,建立這樣的機制主要針對政府所面臨的電子郵件社交工程、Web AP安全等資安威脅,確實做好資通安全防護,並逐步加強不同面向的資安防護;不像以往推動ISO 27001的時候,雖然標準規定相當完整,但部份機關驗證範圍卻過於狹隘。
未來個資法持續受關注 委外作業亦為重點
他預告後續會再持續推動的是「電子資料保護安全參考指引」跟「資訊作業委外安全參考指引」,一來是恰好可搭配即將通過的個人資料保護法,二來則是政府機關倚賴委外廠商甚多,因此委外的管理自然也是很重要的事情,逐步的來推動各層面的資安也是政府本身一直在要求的。透過增修符合政府機關資安需求的參考指引,並將相關的規範與參考指引用來做為教育訓練的教材,按照政府機關人員角色進行訓練,甚至是證書的發放,再導入政府版的認驗證機制,慢慢的,可對各機關進行資安的成熟度評鑑,讓各機關都能夠清楚的知道自己的資安導入程度是否足夠?已經做到哪裡了?吳啟文說,預計剛開始將會挑選15個機關,進行群體導入、群體訓練,不僅可以達到知識、經驗交流與共享,研考會也可以從這些先導部隊當中獲取經驗、調整方向,作為日後擴大辦理的養分。在新的政府版認驗證標準之下,期許不僅能改善過去資安驗證所缺乏、需補強的機制,並且提升整體政府機關人員的資訊安全素質。