https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1

觀點

教育體系資安驗證 人才與範圍是維運關鍵

2012 / 10 / 12
鍾沛原
教育體系資安驗證 人才與範圍是維運關鍵

在教育部資安管理與驗證政策規劃下,於2009年成立教育機構資安驗證中心,專司教育機構資安驗證與稽核,根據該中心資料指出,目前共計有69所大專院校、區域/縣市教育網路中心及教育相關單位取得證書,另有34單位完成換證,也就是已通過國內或國際資訊安全管理系統驗證之教育機構,可持該證書直接向教育機構資安驗證中心申請換證。並建立完善培訓機制,培育教育機構人員成為專業稽核人才,截至20126月為止,已有8位稽核員及108位稽核觀察員,陸續執行各教育機構的稽核活動。

 

此資安驗證機制堂堂邁入第四個年頭,各教育機構皆能否順利維持ISMS的有效性?而面對個資法正式上路的影響,相關因應與連結之控管措施可否順利推動?相信都是外界與主管機關密切關注的議題。

 

 

1、教育機構資安驗證架構

 

資料來源:教育機構資安驗證中心2012/10

 

 

教育體系環境特殊  催生專屬資安驗證

根據2005年訂定的「各政府機關(構)資訊安全責任等級分級作業研訂施行計畫」,明確要求各級機關(包括教育單位)應建立的資安防護水準,其中資訊安全責任等級分級為AB級的單位需取得第三者認證,全國約有360個單位分屬於這兩個類別,其中超過三分之一為教育機構,也因此催生出教育體系資安驗證機制。

 

教育體系資通安全管理規範(亦有人稱做教育版ISMS)乃是參照ISO 27001:2005內容,再配合教育機構現況所量身訂做出的規範,雖然維持了國際規範的架構,但也刪除、合併了部分條款與實施要求(表1),使其嚴謹度受到市場的質疑與討論,但在滿足政府政策的原則,及先求有再求好的構想下,教育體系資通安全管理規範確實降低教育機構的導入門檻,也讓各單位得以受惠。

 

 

1、教育體系規範與ISO27001比較 

教育體系資通安全管理規範

中華民國96530版)

ISO27001:2005

領域

11

11

控制目標

36

39

控制項

100

133

資料來源:教育體系資通安全管理規範教材。

 

這個Light版的管理規範,使教育機構在有限的人力與經費下,能夠順利導入和建置ISMS,通過後還能持續運作、維護,保持單位ISMS的有效性。此外,多數AB級單位採取聘請外部顧問的模式協助導入ISMS,外部顧問引進的管理機制和文件,幾乎與ISO27001的要求相差無幾,因此有部份學校在取得教育機構資安驗證證書後再申請國際驗證,換言之,不少教育機構是在符合國際規範的要求下,持續維運ISMS

 

無論是依循教育體系資通安全管理規範或國際規範,重點仍在於教育機構如何推展ISMS業務並維持其有效性,由於教育機構的業務屬性和生態,與產業有著一定程度的差異,因此在稽核過程中,常常發現因為教育單位特性所導致的盲點與限制。

 

  

 

教育機構ISMS維運3大問題

在教育部要求下,ISMS導入範圍除機房和網路業務外,還需要包括至少一項重要的作業系統,就實務面來看,多數教育機構選定的推動範圍皆以電算中心為主,僅有極少部分涵蓋到圖書資訊作業,而這也使得在稽核過程中,常發現到以下幾種狀況。

 

 

問題1、資安人力與穩定性不足

此狀況尤其在部分網路中心和私立大專校院更為明顯,雖然人力流動應該是各資訊單位的共同問題,但兩相比較下,縣市教育網路中心鮮有正式編制,多為支援與借調教師人力,而私立大專校院受限於生員招收與經費問題,尤其現今大專校院招生困難,間接影響資訊中心的預算與人力,種種原因導致這二個單位人力不足的問題相對較為嚴重,而人員流動過於頻繁的結果,也讓稽核小組高度關切該教育機構能否有效維運ISMS,這部份也點出了委託外部顧問協助導入的盲點。

 

外部顧問在輔導過程中,引導單位建立的控管程序與文件,多半基植於過往豐富的經驗,其執行強度已可滿足國際標準,倘若雙方比較少就單位的需求、現狀、管理程序內容、與教育體系規範控管強度的差距進行討論,縱然順利通過驗證,但單位後續維運在受制於人力的情形下,容易發生與程序不符的狀況。例如在矯正與預防處理的紀錄與執行、備份作業的施行範圍和週期、人員異動的交接處理或是存取控制規則的檢討與管控。

 

在稽核現場有時會發現教育機構人員日常作業或採取的處理措施,其留存證據作法與程序書規範有著明顯差異,亦或人員對於程序內容掌握度不足,而這多半是人力不足與人員流動所導致的結果。教育機構除了人力資源的爭取,也可就實際作業與程序書流程上的差異調整,以及建立更為完整的操作文件與交接手續,降低人員的負荷和需求。

 

教育機構資安驗證機制的發展

由於教育機構的業務屬性和生態,與產業有著一定程度的差異,因此在發展教育體系規範的同時,也必須建立專屬驗證機制與稽核人員。在推動初期,驗證中心多委託業界稽核專家擔任主導稽核員,帶領由教育機構人員組成的觀察員團隊,執行稽核業務,透過業界稽核員的引導與建議,及對觀察員的考核評分,慢慢建立專屬教育機構的稽核團隊,目前已有數位教育機構人員取得教育機構資安驗證主導稽核員資格,不但能繼續投入相關驗證工作,更有助於各單位推展資安業務,甚至將其所習專業帶進課堂,教授學生理論與實務經驗,進而帶動國內資安和稽核驗證產業。

 

 

 

 

 

 

 

 

 

 

 

 

問題2、選擇納入管控的資訊系統屬性可再行評估

目前取得教育機構驗證中心證書的教育單位,其選擇納入ISMS範圍的至少一項重要系統服務,十有八九與學籍、校務或入口網有關,且著重於「維運」作業!

 

這類系統有著行之有年、架構穩定、少有新功能開發(多是調整作業)、操作相對單純等特性,也因為在導入ISMS前便已運行,加上專責單位(通常是教務相關行政處室)非資訊中心,才不得不將資安業務定位在維運服務一環。而在稽核過程中,若要調閱相關的控管證據、文件,往往付之闕如,亦或僅有功能微調等需求單記錄,而無法一窺單位在系統開發、維護安全上的用心與努力。

 

當然,也不能因此認定單位在系統安全上無任何著墨,在稽核過程中,有時會發現教育機構在其他非驗證範圍內的系統,維持十分嚴謹的開發、測試與管控程序,比起ISMS程序書更為精細,這類系統多半為新生成、業務流程仍不穩定,資訊中心要處理比較多維運以外的作業,在安全維護上相對可以投入較多心力,只可惜不屬於驗證範圍,稽核團隊受限時間無法再多作追蹤,只能建議單位可再思考擴大ISMS範圍的可行性。

 

或許因為ISMS有既定的作業流程,需花費相當心力予以維持,使得教育機構只能選擇特定系統納入範圍;不過,政府為確保重要業務的資訊安全,正積極研擬以系統重要等級為準則的防護原則,未來可能將跳脫ISMS驗證範圍的思考,要求各級單位針對轄下重要系統規劃控管機制,相信此未來趨勢也將改變現行教育單位的資安防護思維。

 

 

 

問題3ISMS推動範圍仍有擴展空間

資訊安全是資訊中心的責任!這樣的觀念似乎根深蒂固,進而影響各教育機構推動ISMS上的政策與方向。現階段各單位ISMS範圍多限定在資訊中心,即便不少業務與重要行政處室相關,亦無法改變此現象,事實上這似乎也有點違背資安責任分散的精神。雖然這並非意指各處室、系所對資訊安全不重視,但如何將資安觀念與控管防護予以落實、推廣,的確一直是各教育機構資訊中心的重要課題。

 

尤其個資法通過之後,此一根深蒂固的觀念,導致各單位一味將個資法議題丟給資訊中心負責,當然,部分的個資控管與資訊系統有關,資訊中心責無旁貸,但面對各行政處室可能握有含有大量個資的紙本資料,主導權交給資訊中心似乎不太恰當。

 

換個角度想,資訊中心也可把個資法當作敲門磚,趁機在各單位建立資安觀念與程序,注入必要的ISMS程序,畢竟也唯有透過這樣的方法,才能確保教育機構自身的資安防護,以及避免可能的個資洩漏風險。

 

 

從資安驗證到個資保護

總括來說,教育機構普遍在網路安全部分有較完整的管控,這或許跟教育部建立了資安通報機制有關,不過面對個資法正式上路,對於異常事件的定期檢視、證據的留存與分析,應該還有加強與落實的空間,此外在含有個資內容的系統管控與防護,以及人員觀念的加強與教育,配合相關程序的調整,除了是單位接下來的重要工作,亦是教育機構稽核小組評估法律遵循程度的依據。

 

拜個資法所賜,雖替教育機構迎來新一波的挑戰,卻也製造出推動全面校園資安的契機,影響或許劇烈,但若能善加利用,將有助於健全教育體系資安機制。

 

個資法第618、與27條所指的適當安全維護措施(或稱安全維護事項),在施行細則第12條清楚列出11項重點原則,且與ISMS架構頗為相似,但施行細則並未要求各組織需取得管理系統認證,這與行政院對各機關在資訊安全責任上的要求大不相同。

 

即便如此,目前已有教育機構著手評估,甚至開始導入PIMS制度,並規劃取得認證,但個資是涵括全單位的議題,教育機構在考量相關對策的同時,除衡量自身掌握的資源外,亦可從已建立的ISMS著手,加強個資相關程序的管控,並將其推展至各行政處室,以滿足法令規範,進而降低資安與個資洩漏的風險。

 

資安防護有許多面向,如今又加上個資法議題,對資訊中心來說壓力沈重,為避免不必要的損失及法律問題,極需相關處室的配合與支持,唯有多方的共同努力,資安制度才能走的穩定與長久,而無須靠每年一次的資安驗證,證明單位資安管控與防護成效的存在。

 

本文作者目前為教育機構資安驗證中心主導稽核員。如您對本文有任何感想,歡迎來信交流:isnews@newera.messefrankfurt.com