觀點

資訊安全管理體系及認證介紹

2002 / 12 / 03
資訊安全管理體系及認證介紹

近年來由於整體的網路設備架構成熟及電腦資訊技術的進步,使得在工作或生活上步入了資訊化的時代及享受其所帶來的便利。但在此同時,資訊安全的問題也逐漸產生,大量的資訊儲存於電腦中,或於網路上傳輸,這些資訊被保護的狀況為何呢?資訊安全事件層出不窮,要如何因應與面對?所幸,目前無論政府或民間各企業也逐漸重視資訊安全的議題,參考國際間的相關的資訊安全標準,企圖建立適合國內環境的資訊安全管理體系基準。
我國對資訊安全的相關要求

  • 1999年 ─ 行政院研考會制定行政院所屬各機關實施資訊安全辦法

  • 2000年 ─ 行政院成立「國家資通安全會報」

  • 2000年6月 ─ 標準檢驗局草擬"中華民國資訊安全相關標準"─ CNS17799

  • 2000年8月 ─「國家資通安全會報」技術服務中心訂定我國資訊安全強化策略

  • 2000年10月─行政院主計處依技術服務中心規範,規劃本年資訊安全全國公營機構與行政機關稽核



建立資訊安全管理體系之步驟
無論是國際或我國所推展的資訊安全標準不外乎是分下列幾個間段去建立一個資訊安全管理體系來運行:

1.評估資訊安全管理體系
a.制定資訊安全政策
b.定義範圍: 包含組織、位置、資產及所用的技術

  • 執行風險評估

  • 定義資訊資產及價值評估

  • 資訊資產之威脅評估

  • 資訊資產之弱點評估

  • 確認現行存在及已計畫中的安全控管



2.安全控管之實施
a.確保可有效建立控制目標及控制機制
b.覆核控制機制是否有效執行;包含安全政策及技術上的可行性

3.資訊安全管理體系文件的編製及管理
a.編製適當的資訊安全管理體系文件
b.建立管理資訊安全管理體系文件的作業程序

4.資訊安全管理體系覆核及持續改善


申請認證
在導入資訊安全管理體系後,除自行運作外,為確保在自定範圍的基本資訊安全,可向認證單位申請認證。


若以BS7799/ISO19977之認證程序為例,需:


  • 正式審驗資訊安全管理體系是否符合 BS7799 Part II的規定

  • 管理架構 (Infrastructure)的審驗

  • 執行風險評等 (Risk Assessment)

  • 執行風險管理 (Risk Management)

  • 完成適用性說明 (Statement Of Applicability)



認證單位的審查階段
第一階段 ─ 說明文件的審驗

目的:藉由獲知及了解資訊安全管理體系對組織安全政策及目的情況,特別是組織對稽核工作的準備情形,以提供第二階段中進行稽核規劃的重點。
工作項目:

  • 審視 資訊安全管理體系架構 

  • 評估 資訊安全管理體系範圍 

  • 風險評等及管理

  • 適用性說明、安全政策及支援性的重要程序

  • 產出正式的調查報告

  • 說明第二階段的工作內容



第二階段─實際執行的審驗

目的:確定組織遵守其安全政策、目的及程序檢測資訊安全管理體系的有效性並確保資訊安全管理體系能符合所有安全需求的標準而能達成組織的安全政策及目的

工作項目


  • 與資訊安全管理體系的擁有者及使用者進行會談及溝通 

  • 審驗高度、中度及低度風險的範圍

  • 安全目的 (objectives) 及目標 (targets)

  • 安全及管理的審驗

  • 產出調查報告並給予最終的建議



資訊安全體系做定期的覆核或是參與認證的好處

  • 改善人員對安全的警覺性、參與感及行動力

  • 提供持續改善的良機

  • 增進客戶的信任度及滿意度

  • 提昇整體資安作業的效能



(作者現職為勤業會計師事務所經理)

(參考資料:ISO/IEC19977, BS7799 Part II)