新聞局全流程通過ISO 27001，全局動起來

資安課題仍舊存在
在9月新聞局ISO27001的驗證受證典禮上，出席的不是過去一貫常見的IT部門人員，而是各處室都踴躍派員參加，一室滿滿的新聞局同仁。資訊小組組長黃俊泰抱持著感謝的心情開玩笑地說，「我們得到這次認證，不代表資安就做完了，以後資訊組還是會繼續騷擾大家的！」



全流程導入是最終階段，平行協調是關鍵
回顧新聞局的ISMS導入歷程，從92年第一階段的綜合計畫處與資訊小組開始，第二階段納入政風、人事、會計室等單位，中間還歷經BS7799改版ISO27001，接著擴大到全局所有單位總計4、500人一同納入驗證範圍。這4年多來，新聞局持續不斷的P-D-C-A、內／外部稽核，如今又擴大到全局導入，這下終於向外界證明他們是玩真的！

在行政院國家資通安全會報的規範下，已有不少A、B級單位陸續取得ISO 27001驗證通過，但是同樣一張證書，驗證範圍大小所代表的專案難度與資安水準則大不相同，部分機關在取得第一階段（如IT部門或某系統）的驗證通過後，淺嚐即止，像新聞局這樣全機構、全流程導入者，更是少數。新聞局之所以能按照既定計畫逐步落實，執行部門功不可沒，而管理階層的支持亦是重要因素。新聞局推動ISMS這4年來有副局長易榮宗一路相挺，身兼資安長的易榮宗對於ISMS十分重視，「雖然是資訊組負責推動，但是資訊安全一定是要大家一起來，」這一句『大家一起來』說明了新聞局全局導入的初衷。

易榮宗進一步表示，機關首長們平常業務繁忙，相關專案會交代下面去做，但是一定要給實際執行單位最大支持，成為後盾，讓所有同仁知道資訊安全不是只有資訊部門的事。就易榮宗的角度來看新聞局推動的過程，他指出，「資訊部門的姿態不卑不亢，盡力爭取其他單位的了解與配合，有問題我來協調，」高階主管的支持由此可見。與其他組織相同，推動ISMS一定會成立跨部門的資安委員會，新聞局也不例外。這個每半年召開一次的「資訊安全指導委員會」由易榮宗主持，許多有爭議的資安政策都是在這個會議中達到共識，尤其在全局推導ISMS的過程中，跨部門協調、溝通如同家常便飯。



全局推動的困難與挑戰
回想當初在其他單位推行ISMS，一開始各部門都沒什麼太多意見，配合上教育訓練課、牢記一些規定，但到後來IT人員要去檢查使用者電腦的設定及其他更多的管理辦法出爐時，就難免出現抱怨的聲音：『你們資訊部好像跨過界了吧，連行政流程都要管！』

反彈聲浪還不止於此。以佩戴識別證為例，在少數幾個部門推動時較容易要求比照辦理，一旦擴大到全局，有些部門就會提出質疑：『我們單位沒這麼敏感吧！』這時，就會在資訊安全指導委員會中公開提出討論，此一制度要如何進行可被大家接受。最後折衷辦法是在進出大門時一定要出示識別證，有特殊管制的機敏單位另作規定。

在每半年舉行一次的資訊安全指導委員會，黃俊泰每次都要對各部門主管重申資產調查、風險評鑑、PDCA循環等資安制度處理流程。不是主管特別健忘，而是要讓各部門主管、高階主管打從心底接受。「觀念溝通沒辦法一下就建立，很多是要日積月累的，」

「教育訓練也很重要！」黃俊泰強調。但是要對全局所有同仁做教育訓練也是一大工程，必須不厭其煩。黃俊泰指出，一輪教育訓練課程通常開個3次，普及率可以達到99％。「缺課的名單，透過公文傳達，大部分同仁都能配合，」他說。

推動ISMS就是要不斷地對上層以及對同仁溝通、再溝通。黃俊泰接著指出4年下來累積的其它經驗：

．風險評鑑－是ISMS推動過程中相當重要的工作。專案小組先對負責同仁做完教育訓練，各部門同仁實際做後，IT主要負責人再做把關，整理結果、糾正不合理的，把被業務同仁忽略的項目加進來。

．機密文件的管理－當初機密文件的等級定義，檔案管理局沒有訂定一套標準，業務承辦人都是自己認定，專案小組為此開了幾次會都不了了之，有其困難度。因為納入「密級」的文件按規定要列入實體隔離，但隔離電腦的操作比較複雜、不容易，同仁比較排斥，所以同仁有時會降低等級不納入「密極」。現在的作法就是靠部門主管把關，這樣承辦人還不至於隨便歸到普通等級。

．文件應確實反應實際業務－文件的建立會耗費很多時間，此外要注意實際業務推動與寫出來的文件是否無法配合。

．IT預算的斟酌－要做好ISMS，需要額外軟硬體設備的搭配，例如程式庫的建立、要做實體隔離等，這些都需要經費來購置這些工具，如果沒有經費的話，必須思考其他方案。



結語
儘管全局導入遇到的挑戰與困難都加倍，但是也正好藉由這樣的經驗，一套好的管理辦法能推行到其他業務部門，例如委外廠商的管理。不只IT部門需要對外包廠商做管理，政府機構許多部門都有委外作業。以往其他業務單位同仁跟委外廠商關係良好，可能會疏於監督廠商，或者沒有一套合宜的管理辦法，這次剛好透過ISMS的管理方法建立起服務水準，同時也配合研考會推動CMMI－「如何做好甲方」，有了一套更周延的管理辦法。

這4年下來，資訊安全管理已經制度化、文件化，所有資安事故都已有報表可檢視，IT部門不僅可以知道什麼事件常發生，一旦有異常也可以很快發現。以前不容易感覺有什麼不一樣，現在很容易歸納出資安事件，這是最具體的效益。這次驗證通過之後，接下來每半年還要持續進行外部稽核，「現在只是開始呢！」黃俊泰笑說。