法務部資訊處自87年成立,處長陳泉錫同年到任,非常重視資料的保護和使用安全,認為稽核制度需要被有效建置、確切落實,於88年開始進行「制度化」。陳泉錫對資安稽核的重視原因,可追溯到之前任職於財政部財稅資料中心負責財產總歸戶,保護重要的財產資料系統,當時就規劃了一套很好的查核機制,安全做的相當周密。陳泉錫轉任法務部資訊處處長後,也認知到法務部資料的重要性,就依法務部不同的情境和需求,規劃屬於法務部的稽核機制。
資訊處統籌規劃資安稽核事宜
資訊處主要任務是,統籌資安政策、計畫、措施及技術規範與建置等事項,目前以30人的編制服務整個法務部及132個所屬機關,共計1萬3仟多人的單位,肩膀上的責任可說是相當地重,當然對於主導資訊安全稽核的工作也責無旁貸,和以往外界及政府部門對於法務部資安稽核由政風司來主導的認知,與實際的組織分工及運作情形,以及行政院規定政風司主要負責「使用稽核」項目的規定,有認知上差距。
政風司擔任使用稽核
政風單位則主要負責資訊機密維護事項,例如委外合約有無訂定保密規定、密碼是否妥善保管、資訊洩密事件查處。機密維護及稽核使用管理事項,由政風單位會同相關業務單位共同辦理。
什麼是稽核使用管理事項?由於法務部的資料保密性和敏感性非常高,例如檢察官因職務需求可大量使用政府的資料、連結範圍也非常廣,資料的查詢和使用機制顯得非常重要,必須可以相互制衡,才能達到安全要求。因此,每個機關都有1~3位專責查詢人員,專責人員配有密碼,根據填單者的申請需求單查調資料;而填單者無權查調資料,兩者互相制衡。
而政風單位擔任「使用稽核」的部份?也就是「哪些人申請了憑單?如何使用這些資料?」例如,相關業務人員要查調某人財產資料時,依法他是有權限可調查的,但是所查範圍或內容是工作上必要的嗎?這些紀錄檔就由政風人員來核對有無申請憑單,查核內容是否有事實存在,這是使用稽核的重點。
技術層面的稽核作業,例如,是否有已安裝入侵偵測系統等技術問題,則由資訊單位負責,政風單位不深入涉及。
外部稽核組織
資訊安全組織分為外部稽核小組、內部稽核小組及資訊安全執行小組。外部稽核小組成員有政風司及相關業務單位的代表組成,對法務部及所屬各機關辦理定期和不定期資安稽核。
有4個組別參與外部稽核,組員由各單位組成:設備組(由資訊處組成)、應用系統組(由資訊處組成)、使用稽核組(由政風和業務單位及資訊處組成)和行政管理組(資訊處及業務單位)。再依業務性質由4個組別的組員,組成大約10人的專案稽核小組。
執行重點
外部稽核是每年定期抽查5~6個機關(但不是先告知哪幾個單位),稽核前要求機關先自行做內部查核,因外部稽核是站在補強的角色,先檢查程序面,再檢查個別事項。程序面包括,內部稽核如何做?有無定期抽核?有無定期做實體安全檢查?抽核結果有無改善?是否有教育訓練?每個同仁是否知道資訊安全規定是什麼?等等。程序面完成後再進行個案抽查,針對受查單位內部稽核的紀錄報告,和稽核小組的紀錄報告,比對抽查、是否有違常情形。
稽核的項目包括軟體適法性的問題、備援機制是否落實、人員認知和教育宣導、病毒碼是否有隨時更新、有無設螢幕保護程式、機密資料不能上網等,這些項目事實上都很基本、卻也很務實,也是外稽相當重視的部份。陳泉錫表示,即使該單位沒有資訊人員,但人員仍必須對這些安全規範有清楚的認知。
為防範定期稽核僅侷限於幾個單位,以及稽核結束後機構可能就鬆散懈怠,另有不定期稽核。不定期稽核是以設定一個抽查主題、抽選單位方式,可能透過網路方式(例如是否有做patch更新),也可能是派員直接實地抽查,但僅告知預計於某時段,但不告知哪個單位和確實時間,以發揮單位對資安隨時警惕的作用。
業務判斷
由於各受查單位有其業務的特殊性和專業性,稽核時會牽涉到業務的判斷問題,必須有相關的業務單位人員一起參與。陳泉錫表示,此部份是稽核工作相當重要的環節,也有明確的規定和具體作為。例如查詢單的稽核,假設log列表中有102筆,但申請單只有100筆,那麼顯然查詢員就有問題;但100筆的內容是否皆為業務需求,此部份政風單位和業務單位都必須介入;例如,如果要查核某監獄看守所矯正單位,就必須找矯正司相關業務人員一起來檢視。這樣溝通的”語言”會比較接近。
稽核的比例也會依業務不同而異,例如資訊執行小組,調資料的機會非常高,稽核比例就會相對提高,甚至是逐筆查核。
內部稽核
資訊處主導外部稽核的角色,那麼資訊處本身誰來查?透過頻繁的內部稽核,不只是資訊處,所屬單位的內稽工作也是做的不遺餘力。法務部對內部稽核的要求是至少一個月做一次,但像執行處,處理資料量非常大,則被要求每個禮拜做一次,重點資料則須逐筆查。
內部稽核小組的成員是政風司及法務部資通安全處理小組各代表組成,做法和外部稽核類似。不同的是內稽做的是以實質個案查核為主,而非程序遵循度的查核。由資訊處、政風司等委員抽查相關司處人員、設備,以及資訊處、政風司本身。而資訊處本身為達到內控目標,由第三科擔任稽核科角色,查核一科(軟體)、二科(設備、網路),必要時科際互查;至於是否會有球員兼球判之虞,則由行政院上級機關的查核與以補強,機動性和靈活度較高,陳泉錫表示,這也是最有效的方式。
或是有些機關有政風人員或資訊人員就直接由他們來查核,如該機關無政風人員或資訊人員則由該單位主管抽查,例如地方檢查署,由主任檢察官來查核檢察官;政風人員未必會參與所有抽查。
尊重每個職階和專業
政府部門的資訊安全稽核,表面上看來好像只是照本宣科、公事公辦的公務,實際上在設計和操作時,有非常多「人」的問題,要考量進來,才能讓稽核工作發揮1+1>2的成效。
像是資訊處本身內部就要做內稽,行政院主計處、政風司、審計部也都要來外部稽核,光是稽核業務就應付不暇,這樣也容易讓這個單位成了被檢討和質疑的對象,繁重的資安工作可能更令資訊人員覺得沒有成就感。陳泉錫表示,每個職務都需要被尊重,所以在稽核範圍的切割也很重要,因為使用稽核的部份是政風單位可以協助的,也是必須介入的,所以政風單位不可缺席,但技術面的稽核會有認知上的距離就必須由資訊單位來支援,以及結合相關的業務單位,才能做好完善的稽核、避免有「漏洞」產生。
而有些位階或性質較特殊,做稽核可能會產生一些尷尬的,像是檢查官在辦案時的角色,是指揮警調人員或政風人員的,若仍由政風人員來對檢查官做稽核並不適當;這部份的做法是,假設要對地方檢查署進行稽核,就找高等檢察署的檢察官陪同稽核。
陳泉錫表示,「人都有自尊,但人性總有其弱點,任何角色之工作皆須有監督的機制來防範,以確保其資料的使用合理。」
共通性問題和挑戰
稽核的結果會針對共同性或個別性做改善建議及獎懲報告,並做為下次查核重點項目。陳泉錫表示,近來受查單位常有的共通性問題有幾項:
1.使用者對密碼保管不夠嚴謹;
2.資訊的災難回復演練不夠紮實;
3.業務單位對災難回復演練比較陌生。
陳泉錫表示,稽核中較大的困難和挑戰是在於「人員互相牽制」的機制難以落實。由於政府委外政策的推動,加上人事部門對委外觀念之曲解,以致資訊單位或人員難以設置,即使設置,假如在組織裡,只有一個人是懂資訊的,並且負責全部的執行業務,也難以做到制衡的機制。這種狀況普遍存在,礙於經費、人力的現實問題,即使知道有風險存在也很難改善。「互相牽制不一定有效,但至少可以降低風險,畢竟人是無法完全被掌握的。」
陳泉錫也表示,對單位資安的要求水平要看它的是否資源足夠?稽核工作必須站在資源的觀念來看,因為資訊安全和資源是相對應的,要把資訊安全做好要給足夠的資源「大家都知道資安要做到什麼程度,但是沒人談需要多少資源來配合?誰來給這個資源?這是很實際的問題。」
結論
從事資安工作的每位悍將都知道,資安工作好像只要不出事就算天下太平,要把績效量化或具體呈現都有點神話。法務部嚴格的資安稽核機制,從88年開始就一直運作至今,從其機制的緊密度和具體作為,以及愈來愈少的缺失數量來看,讀者是否對政府資安的信賴程度更上一層樓!