監察院,英文為The Control Yuan of the R.O.C。具有行使彈劾、糾舉、審計權。並負責監督、調查行政機關公務執行,得提出糾正案,以及接受人民陳情的國家最高監察機關。在公務體系當中,堪稱扮演最後一道「稽核控制」的角色,以監督這部國家機器的正常運作。
監察院小檔案:
院長-王建煊
員工人數-約520人
IT人力-約10人
主要業務-行使彈劾、糾舉、審計權
|
保護人民陳情隱私 做好資料安控
位於台北忠孝東路、中山北路路口,交通幹道樞紐的監察院。前與行政院遙遙相望,緊接著有立法院坐落其後。緊鄰著行政、立法兩院,監察院的職務也與其息息相關。監察院內總計有27位監察委員,可進行獨立調查,調查案是委員會制,調查結果需經過委員會審議通過後,來要求各行政、公務機關改善。目前共有內政、外交、國防…等7個常設委員會。日前受到社會大眾矚目的江國慶冤案,就是由家屬向監察院陳情,監察委員重起調查後,糾正國防部。
正因為有著這樣的任務使命,以監察院來說,主要提供資訊服務的核心系統,就是人民陳情系統。這套系統目前已經發展至第二代,部分委外開發,部分自行維護。由於按照規定,所有的陳情案件不能一案兩查,但有時會遇到十年前的舊陳情案,申訴人在判決下來後不服結果又來陳情的例子,因此系統在設計上需保持彈性,要能支援類似案件的併案方法。以便能提醒行政機關,對於相關案件的處理不能南轅北轍。
陳情信箱畫面
除了接受民眾陳情、啟動調查案之外,監察院還是陽光四法的執行機關,包括財產申報、政治獻金、利益衝突、遊說等。資訊室主任邱瑞枝指出,不管是人民陳情案件或財產申報案件,所處理經手的都是攸關私密的個人資料。但過去對個資、隱私保護的觀念還沒有這麼足夠,因此當時系統在設計開發時,尤其在資料使用的檢核上,往往是以身分證字號當作主索引來搜尋,因為同名同姓的情形非常多。但這樣導致在輸出的報表上,就會連帶顯示出這些敏感個資。所以時常宣導提醒同仁在業務上要有警覺性。
此外紙本文件的實體安全也是一大挑戰。在監察院,有一群長時間派駐院內的媒體記者可隨時進行報導採訪,一旦有相關案件未公開的原稿資料未妥善存放而被取得,甚至造成調查結果未公佈就先曝光,都算是嚴重的資安事件。
同時,資訊室也觀察到,有些因為被裁罰而心生不滿的民眾,或者當監委們在調查社會矚目案件時,網路上的攻擊行為就變多,例如郵件系統收到夾帶惡意程式或後門程式的社交工程郵件就會明顯增加,以試圖入侵系統竊取資料。
監察院的主要資安挑戰,除了系統設計不符合個資安全、內部紙本文件管控落實度問題、到電子郵件社交工程問題…等,也包括如無線網路、行動裝置等新興科技所帶來的控管需求。
軟硬兼施 全院推動ISMS
監察院副秘書長兼資安長許海泉,很清楚資安的根本是人的問題。因此認為要建置ISMS就要全院導入,只有資訊室做,意義實在不大。在實體安全世界,警衛也不是只有顧資訊室與機房,而是全部範圍都需要監看。因此,在有限預算下,監察院仍規劃了ISMS全院導入的範疇,並且先驗證兩大核心系統:AAA、BBB。
ISO 27001認證只是一個部分,但做資安,是必需要全院同仁的投入。
監察院副秘書長兼資安長 許海泉
監察院自2010年開始導入ISMS,在公務機關推動ISMS與民間企業最大不同是,任何資訊政策無法透過一道強制命令要求所有人配合,這考驗著資訊部門的溝通協調能力。由於驗證範圍涵蓋一般同仁會使用的核心系統,因此使用者提出資訊需求都必須按照規定填申請單,或許只是一個小小的填單動作,但要去全面落實執行時,也難免遇到使用者反彈。例如,有人質疑政策規定的合法性時,就必須明確告知政策文件公佈在哪裡;有人說不會填時,資訊室同仁則說「我幫你填」,耐心地一次次教導,讓使用者自己先填1/3內容而後增加到1/2。一陣子後,使用者就不好意思再勞煩資訊部同仁了。
在監察院組織內有許多長官,總計有27名監察委員,以及調查官。監察院的資安推動委員會由副秘書長擔任主席,各業務單位的主管則是委員會成員,在全院導入資安管理系統時,每一次的ISMS會議副秘書長幾乎都會參與,以實際行動要求各單位支持配合。至於在執行面,除了資訊室同仁外,19個單位各自選出一名資訊聯絡人,來負責單位內的資安政策落實執行,包括進行資訊資產風險評鑑。
監察院進行風險評鑑的過程相當嚴謹,一開始先對所有聯絡人進行教育訓練,而後發現就算上過課,在真正執行上還是會有障礙,包括每個人對風險認定的標準不同。於是資訊室同仁與輔導顧問就到各單位逐一面談,承辦人先做出一份評鑑, 單位主管再做確認,以避免對風險的認定有落差。如此經過兩個循環的評鑑之後,才讓評鑑結果穩定下來。在推動過程中,資訊聯絡人扮演重要角色,其實除了資安,他們正常的業務也沒有減少,於是邱瑞枝向資安長爭取,給予聯絡人記功嘉獎。「擔任資訊聯絡人,讓同仁在職能上有成長的機會,但是胡蘿蔔也很重要!」邱瑞枝說。
好不容易完成風險評鑑,如何進行有效的資安認知宣導也考驗著資訊室同仁。監察院參考行政院研考會建議,針對不同職務角色各需要哪些資安職能,設計不同的訓練課程,在政策宣導上多以實際案例代替教條解說。例如,若有資訊設備要攜出院區,就需填「設備攜出條」。並且辦理多梯次的教育訓練,來讓同仁逐步了解幾十個程序書的內容。此外由於資訊人力有限,於是讓新進同仁多分攤一些資訊作業,把資源放在需要幫助的人身上。
培養同仁 擁有資安技術能量
有訓練就要有演練,再把演練成果化為管理機制。社交工程電子郵件是監察院最挑戰的資安威脅之一。技服中心有提供電子郵件社交工程演練平台系統,讓各單位可自行設定,選擇演練範本,演練結束可自行將原始資料加工製作輸出報表,而這份演練結果報表,就是一個最好的推動管理手段。目前監察院的方式是不公開演練結果,只讓各單位主管查看所屬單位的郵件點閱率,但同時提供全院的平均值數據,讓各單位主管知悉所屬單位的表現。邱瑞枝認為,在公務機關推動ISMS,不能一下太快、太多,透明度應慢慢公開,推動力道慢慢增加,接著可以考慮以各單位結果來公開。
要解決電子郵件問題,監察院花許多心思在進行資安認知訓練,但同時技術面也需雙管齊下,而且這部份監察院資訊室不假手他人。對於外部進來的郵件,有專職人員透過技服中心NSOC協防的工具平台來監控郵件夾檔,該平台利用沙箱技術,讓附件丟進去執行,如果發現註冊檔有不正常異動,就先攔截下來,通知相關收件者不要點選該郵件。就算萬一惡意郵件真的進到系統來,原則上就是讓災難損失越小越好。相關的電腦中毒SOP必須十分熟練,包括監控、處理到復原等。
談到資安要做到縱深防禦,現行的各種資安設備何其多。但邱瑞枝認為,就算買了設備卻沒有人管理,也是沒有用。所以,在買進設備後,資訊室同仁自己看Log,有異常自己學習處理,自己擁有資安技術。這對公務機關動輒委外來說,相當少見。
監察院資訊室主任 邱瑞枝
|
CIO的管理心法:人是一切的核心
程式設計背景出身的邱瑞枝,自民82年到任監察院資訊室,98年接任資訊室主任職務,十分了解資訊單位的業務特性。她認為人員管理、訓練十分重要,從事IT工作,就是需要一直追趕各種新知,尤其是資安。因此,十分鼓勵同仁外出參加研討會或教育訓練,甚至資訊室同仁公出,主任還得幫忙接聽電話!
許多政府機關將資訊專案大量委外,邱瑞枝認為比例需要拿捏。那些沒有機密性的基礎建設IT業務可以委外,但某些攸關業務專業領域的部份不可能完全委外,委外廠商難以了解業務細節的需求與作法。目前對於系統建置委外開發,有幾點原則:1.簽訂保密協定;2.不開放遠端維護(廠商或自己同仁都是);3.測試資料不提供給廠商,廠商要自己建。
至於在資安方面,由於事件的處理往往具有時效性,需要及時處理無法等待,加上機密性問題,因此十分鼓勵資訊室同仁自行鑽研、擁有一定的資安技術。
|
因應個資法 補強資訊系統脆弱處
監察院ISMS是三年的計畫,去年建置完成取得ISO 27001驗證通過後,今年是第二年計畫,為了因應個資法,今年在做風險評鑑時,預計要請各單位將個人資料納入資訊資產盤點範疇,建立一套涵蓋個資的安全管理制度。
此外,由於應用系統的軟體生命週期已陸續到該汰換階段,去年是電子公文系統,今年包括業務系統接著是行政支援系統。因此在做系統升級規劃時,也會一併把資安需求納進來,如前所述使用身分證字號檢索的問題。同時,在接下來這兩年的資安顧問輔導維運期間,目標也是要讓資安跟資訊系統節合,徹底把資安管控配套到應用系統上面,將脆弱的環節修補起來。
推動資安是管理、技術、人員缺一不可,在監察院資訊室看到了推動ISMS的管理人才、擁有資安技術能量,以及他們對於推動安全工作的決心。
技服中心有提供電子郵件社交工程演練平台系統,讓各單位可自行設定,選擇演練範本,演練結束可自行將原始資料加工製作輸出報表,而這份演練結果報表,就是一個最好的推動管理手段。