觀點

世新大學重新定義資安 不只是資訊部而是所有人的安全

2012 / 08 / 17
張維君
世新大學重新定義資安  不只是資訊部而是所有人的安全

跨出電算中心範疇 ISMS導入到業務單位

 

如何成功吸引機關首長對資訊安全的重視,向來是讓資安/資訊部門經理人頭痛的難題,然而許多時候往往危機就是轉機,勝過千言萬語。電算中心主任葉炳倉舉資料備份為例,過去一直要求同仁要定時備份個人電腦的硬碟資料,但許多同仁、老師總是嫌麻煩,直到有一次連校長的電腦也出問題,這時葉炳倉趕緊利用機會宣導資料備份的重要,校長也開始帶頭做備份,大家就逐漸養成習慣配合。

 

資安不能無限上綱 對使用者正向鼓勵策略  

 

即使有校長的支持,葉炳倉在推動ISMS擴大到教務處、人事室等使用單位,一開始也不是這麼容易,面臨怨氣很重的一群使用者,認為平常工作就忙不完還要增加工作量,葉炳倉改採正向鼓勵策略。在執行內部稽核的時候,如果教務處同仁做對一件事,就「歌功頌德」地表揚,不同於以往在電算中心的稽核標準,如果IT同仁被查出一條缺失,可是會受到嚴厲譴責!

 

而在人事室推動ISMS,一開始也是反彈很大,當時剛好發生某一個教職員的人事資料袋遭外借未歸還的事件,這時電算中心協助規劃利用RFID技術來做物品管理與盤點,讓使用單位明白只要一起做資安,便可得到電算中心更多的支援與協助。後來會計室也主動報名參加資安的活動。

 

今年,學務處也納入ISMS驗證範圍,一開始學務處同仁難免心懷抗拒。葉炳倉先拋出問題給使用單位:從大考中心匯過來的新生學籍資料,有些是與學生個人健康/病史相關的敏感個資,這些都會放在學籍資料中,如果不想做ISMS建立資安程序,學務處能不能自己做好保護?緊接著再提出建議,一開始先選兩個系統做導入就好。於是就這樣化解了學務處同仁的疑慮與不安。

 

 

訂出可被落實的KPI

 

「所謂ISMS玩真的,就是KPI要訂出來」葉炳倉說。不同於使用單位的標準,在電算中心,每一件工作事項都要制定出績效指標,甚至要能究責,例如若資料crash,該由誰來負起責任等。葉炳倉在2008年接手世新大學電算中心主任後,以明確清楚態度讓電算中心同仁明白,ISMS的推動不僅要延續,更會擴大範圍。

 

由人事室辦理資安講座

 

看過許多學校推動ISMS的例子,葉炳倉認為,業務單位之所以進不來,是因為有時技術單位自己認為資安只是資訊IT議題,而沒有去凸顯「安全」。許多資訊部門認為業務單位都不配合,其實問題不在此,而是應該去思考如何把資安變成是大家的事情。這番話一語道破認知宣導的重要。

 

 

世新大學電算中心主任葉炳倉認為,ISMS要跨出電算中心遇到困難,並非業務單位不配合,而是要把資安變成是大家的事情。

 

 

先前教育局曾發函各學校,要求各校要定時回報肺結核名單,結果衛生保健組發Email通知各單位,順便將查詢系統的帳號、密碼一併附上,請大家自己去看。殊不知只要一查詢,不僅看到自己的也看得到別人的資料,這下馬上變成個資外洩事件。電算中心除了趕快進行補救,也趁機跟大家機會教育。

 

在世新大學,教職員每年都有規定要接受教育訓練課程,而資安講座也認列其中。特別的是,資安宣導在世新是由人事室統籌辦理,這時的課程主題就不是資訊安全技術,而是與大家息息相關的日常課題,自然而然讓資安融入校園文化中。

 

稽核小組成員完整

 

一套ISMS系統能夠發揮效用,背後的稽核是關鍵。在世新是由電算中心3人、教務處2人、人事室1人,合組內稽小組,且由資管系主任、秘書室稽核、會計室主任擔任稽核委員。由此陣容可以看出,不僅稽核小組是結合業務單位與IT的跨部門團隊,稽核委員的安排也做了適當迴避。

 

 

 

建立data owner的觀念 劃分工作的權利與義務

 

由於ISMS已擴大到業務單位,所以世新的個資保護工作也早已開始進行,包括各種表單的制定、個資存取時的警語等。教育部的個資保護管理辦法一旦公告,世新可針對需要處直接進行修改即可,而不需匆促因應。另外,在蒐集個資取得當事人同意上,由於校園環境不同於其他產業,葉炳倉認為可以在新生入學的學生手冊上載明個資的蒐集目的與使用等條文,以符合法規。

 

電算中心也已進行所有資訊資產中的個資盤點工作,並且與各單位的資料擁有者清楚溝通將來個資保護工作上的權利義務。電算中心就像是出借保管箱(伺服器),保管箱中的貴重物品(個資)如何使用還是端看擁有者。不僅對業務單位同仁建立起Data Owner的觀念,以釐清工作責任,在世新電算中心同仁間,最常掛在嘴上的一句話是「業務可以委外,責任不能委外」。

 

OPQ檔案系統 暨分享也保護

許多單位會將共用文件放在公用資料夾,但卻忽略如何做好分級分類與保護。在世新的教職員內部網路系統,提供了OPQ檔案系統服務功能,OP槽是單位共用,而Q槽則是個人專屬。右圖為將文件放在O槽的公開資料夾中,就會自動滾上浮水印。

 

 

綜觀許多資安事件,往往起因於業務單位與資訊部門管理權責劃分不清而導致,例如在公務機關或學校,許多時候業務單位會獨自對外招標開發系統,這時系統管理的責任如何歸屬?對此,葉炳倉的經驗是開出規格、審視合約。他認為如果該系統只存放該單位需要的資料,其他單位不會用到,這種系統就可以讓該單位自己發包、自己管。但前提是電算中心會開出規格:要求廠商要配合電算中心使用特定技術開發,因為考量將來業務單位還是有可能將系統丟回給電算中心接管,因此必須使用電算中心熟悉的工具,同時也會要求業務單位須自行規劃掃毒與備份等維運工作。

 

談到系統規劃,專案經驗豐富的葉炳倉認為規畫系統不能只考慮眼前需求,兩年前世新接受教育部委託,建置「外國學生資料管理資訊系統」,不僅依照需求規格書讓全國大專院校都可連線存取使用,更設想到與移民署、勞委會、健保局等單位資料交換的需求,設計用XML介接資料。「我這裡有資料,你要不要來拿去用?」主動積極的態度促成教育部、移民署等公務機關資料共享的第一步。透過此系統進一步做到外國學生異動通報服務,避免假留學、真打工的問題。

 

做為校園資訊服務提供者,世新大學電算中心將自己定位為IT保管箱,與業務單位間建立起owner的觀念,清楚的劃分彼此責任義務,利用IT技術協助業務單位做服務,並將資安機制帶到各單位作業流程中。現在,除了各行政單位同仁有資安意識,連學校教授去外部單位開會審查資料,也都有個資保護的觀念,會主動建議個資要遮罩、去識別化。對他們來說,資訊安全是大家的事,所有教職員生一同朝標竿學校而努力。