教育機構ISMS維運3大問題
在教育部要求下,ISMS導入範圍除機房和網路業務外,還需要包括至少一項重要的作業系統,就實務面來看,多數教育機構選定的推動範圍皆以電算中心為主,僅有極少部分涵蓋到圖書資訊作業,而這也使得在稽核過程中,常發現到以下幾種狀況。
問題1、資安人力與穩定性不足
此狀況尤其在部分網路中心和私立大專校院更為明顯,雖然人力流動應該是各資訊單位的共同問題,但兩相比較下,縣市教育網路中心鮮有正式編制,多為支援與借調教師人力,而私立大專校院受限於生員招收與經費問題,尤其現今大專校院招生困難,間接影響資訊中心的預算與人力,種種原因導致這二個單位人力不足的問題相對較為嚴重,而人員流動過於頻繁的結果,也讓稽核小組高度關切該教育機構能否有效維運ISMS,這部份也點出了委託外部顧問協助導入的盲點。
外部顧問在輔導過程中,引導單位建立的控管程序與文件,多半基植於過往豐富的經驗,其執行強度已可滿足國際標準,倘若雙方比較少就單位的需求、現狀、管理程序內容、與教育體系規範控管強度的差距進行討論,縱然順利通過驗證,但單位後續維運在受制於人力的情形下,容易發生與程序不符的狀況。例如在矯正與預防處理的紀錄與執行、備份作業的施行範圍和週期、人員異動的交接處理或是存取控制規則的檢討與管控。
在稽核現場有時會發現教育機構人員日常作業或採取的處理措施,其留存證據作法與程序書規範有著明顯差異,亦或人員對於程序內容掌握度不足,而這多半是人力不足與人員流動所導致的結果。教育機構除了人力資源的爭取,也可就實際作業與程序書流程上的差異調整,以及建立更為完整的操作文件與交接手續,降低人員的負荷和需求。
|
教育機構資安驗證機制的發展
由於教育機構的業務屬性和生態,與產業有著一定程度的差異,因此在發展教育體系規範的同時,也必須建立專屬驗證機制與稽核人員。在推動初期,驗證中心多委託業界稽核專家擔任主導稽核員,帶領由教育機構人員組成的觀察員團隊,執行稽核業務,透過業界稽核員的引導與建議,及對觀察員的考核評分,慢慢建立專屬教育機構的稽核團隊,目前已有數位教育機構人員取得教育機構資安驗證主導稽核員資格,不但能繼續投入相關驗證工作,更有助於各單位推展資安業務,甚至將其所習專業帶進課堂,教授學生理論與實務經驗,進而帶動國內資安和稽核驗證產業。
|
問題2、選擇納入管控的資訊系統屬性可再行評估
目前取得教育機構驗證中心證書的教育單位,其選擇納入ISMS範圍的至少一項重要系統服務,十有八九與學籍、校務或入口網有關,且著重於「維運」作業!
這類系統有著行之有年、架構穩定、少有新功能開發(多是調整作業)、操作相對單純…等特性,也因為在導入ISMS前便已運行,加上專責單位(通常是教務相關行政處室)非資訊中心,才不得不將資安業務定位在維運服務一環。而在稽核過程中,若要調閱相關的控管證據、文件,往往付之闕如,亦或僅有功能微調等需求單記錄,而無法一窺單位在系統開發、維護安全上的用心與努力。
當然,也不能因此認定單位在系統安全上無任何著墨,在稽核過程中,有時會發現教育機構在其他非驗證範圍內的系統,維持十分嚴謹的開發、測試與管控程序,比起ISMS程序書更為精細,這類系統多半為新生成、業務流程仍不穩定,資訊中心要處理比較多維運以外的作業,在安全維護上相對可以投入較多心力,只可惜不屬於驗證範圍,稽核團隊受限時間無法再多作追蹤,只能建議單位可再思考擴大ISMS範圍的可行性。
或許因為ISMS有既定的作業流程,需花費相當心力予以維持,使得教育機構只能選擇特定系統納入範圍;不過,政府為確保重要業務的資訊安全,正積極研擬以系統重要等級為準則的防護原則,未來可能將跳脫ISMS驗證範圍的思考,要求各級單位針對轄下重要系統規劃控管機制,相信此未來趨勢也將改變現行教育單位的資安防護思維。
問題3、ISMS推動範圍仍有擴展空間
資訊安全是資訊中心的責任!這樣的觀念似乎根深蒂固,進而影響各教育機構推動ISMS上的政策與方向。現階段各單位ISMS範圍多限定在資訊中心,即便不少業務與重要行政處室相關,亦無法改變此現象,事實上這似乎也有點違背資安責任分散的精神。雖然這並非意指各處室、系所對資訊安全不重視,但如何將資安觀念與控管防護予以落實、推廣,的確一直是各教育機構資訊中心的重要課題。
尤其個資法通過之後,此一根深蒂固的觀念,導致各單位一味將個資法議題丟給資訊中心負責,當然,部分的個資控管與資訊系統有關,資訊中心責無旁貸,但面對各行政處室可能握有含有大量個資的紙本資料,主導權交給資訊中心似乎不太恰當。
換個角度想,資訊中心也可把個資法當作敲門磚,趁機在各單位建立資安觀念與程序,注入必要的ISMS程序,畢竟也唯有透過這樣的方法,才能確保教育機構自身的資安防護,以及避免可能的個資洩漏風險。
從資安驗證到個資保護
總括來說,教育機構普遍在網路安全部分有較完整的管控,這或許跟教育部建立了資安通報機制有關,不過面對個資法正式上路,對於異常事件的定期檢視、證據的留存與分析,應該還有加強與落實的空間,此外在含有個資內容的系統管控與防護,以及人員觀念的加強與教育,配合相關程序的調整,除了是單位接下來的重要工作,亦是教育機構稽核小組評估法律遵循程度的依據。
拜個資法所賜,雖替教育機構迎來新一波的挑戰,卻也製造出推動全面校園資安的契機,影響或許劇烈,但若能善加利用,將有助於健全教育體系資安機制。
個資法第6、18、與27條所指的適當安全維護措施(或稱安全維護事項),在施行細則第12條清楚列出11項重點原則,且與ISMS架構頗為相似,但施行細則並未要求各組織需取得管理系統認證,這與行政院對各機關在資訊安全責任上的要求大不相同。
即便如此,目前已有教育機構著手評估,甚至開始導入PIMS制度,並規劃取得認證,但個資是涵括全單位的議題,教育機構在考量相關對策的同時,除衡量自身掌握的資源外,亦可從已建立的ISMS著手,加強個資相關程序的管控,並將其推展至各行政處室,以滿足法令規範,進而降低資安與個資洩漏的風險。
資安防護有許多面向,如今又加上個資法議題,對資訊中心來說壓力沈重,為避免不必要的損失及法律問題,極需相關處室的配合與支持,唯有多方的共同努力,資安制度才能走的穩定與長久,而無須靠每年一次的資安驗證,證明單位資安管控與防護成效的存在。
本文作者目前為教育機構資安驗證中心主導稽核員。如您對本文有任何感想,歡迎來信交流:isnews@newera.messefrankfurt.com。