PAGE TOP

國際標準驗證到手,資訊安全一把罩!

E-PAPER電子報 NO.478    2020.12.18

現代社會隨著資訊暨通訊科技蓬勃發展而快速演變,各類創新系統亦如雨後春筍般快速上線,極大性的減低個人、組織及政府彼此間的資訊落差與傳遞成本。但享受資訊便利的同時,諸如機密竊取及個資外洩等問題開始層出不窮,是故越來越多單位組織計畫性建構資訊安全管理系統(Information Security Management System,ISMS),並通過ISO/IEC 27001資訊安全標準驗證,以期降低資訊安全風險,保護核心資產。

 ISO/IEC 27001資訊安全管理國際標準介紹

ISO/IEC 27001名稱為「資訊科技—安全技術—資訊安全管理系統—要求」(Information technology — Security techniques — Information security management systems — Requirements),是由國際標準化組織(ISO)及國際電工委員會(IEC)聯合發布,最新版本為2013版的資訊安全管理系統國際標準,通常標識為ISO/IEC 27001:2013(簡稱ISO 27001)

ISO 27001能適用於任何類型的單位組織,遵循此標準運作的資訊安全管理系統(簡稱ISMS)可控制並降低資訊安全事件所帶來的威脅和衝擊,並可申請ISO 27001驗證,取得驗證通過證書來證明單位組織對資訊安全管理的堅持。

ISO 27001要求ISMS應該要以「計畫—執行—檢核—行動」循環模式(Plan-Do-Check-Act,簡稱PDCA)作為整體制度運作的基礎以利持續改進。

在計畫階段,單位組織必須要明確定義ISMS的實施範圍、資訊安全目標、列舉評鑑指標、訂定控制措施,以及宣告管理階層的承諾與權責。由於ISO 27001採四階文件的制度來支撐ISMS架構,故此階段應完成所有文件之核定及公告:

  • 第一階文件-政策、適用性聲明。
  • 第二階文件-程序書。
  • 第三階文件-說明書。
  • 第四階文件-空白表單、紀錄及其他。

同時,針對範圍內所有資訊資產應鑑別其價值等級並依據機密性、完整性與可用性(Confidentiality,Integrity,Availability,簡稱CIA)三要素予以評分。對高重要性資訊資產加以評估可能遭遇之威脅或其弱點因子。以此協助完成風險評鑑及風險管理措施。上述CIA三要素為:

  • 機密性(Confidentiality)-杜絕未經授權者存取防止竊密。
  • 完整性(Integrity)-維持資訊正確性與完整性防止竄改。
  • 可用性(Availability)-維持系統運作防止癱瘓。

在執行階段,將落實ISMS核定之各項作業說明書,產出並保留各項表單紀錄,尚包含內部宣導、教育訓練,社交工程演練及管理審查等項目。

在檢核階段,針對ISMS目標、風險控制及實行的過程,依照設定的指標去分析評估成果與績效,尚包含內部稽核、外部稽核、風險演練成果及資安事件檢討等項目。

最後,管理階層依據檢核結果,針對不符合事項,擬定行動修正方針來進行改善,也就是採取相對應的矯正和預防措施,持續改進ISMS的整體運作。

 GIS.FCU集團導入ISO 27001效益
GIS.FCU集團(簡稱集團)除在地理資訊系統深耕多年,更跨足資訊整合領域,提供業務資訊化整體解決方案,此為集團早期發展ISMS之濫觴。又因業界歷年推廣ISO 27001已成為國內主流,是以決議導入ISO 27001以強化ISMS,並藉由通過驗證來證明集團對資訊安全的堅持與承諾。

整體來說集團導入ISO 27001有下列具體效益:

  • 強化資訊安全管理制度-遵循ISO 27001管理要求。
  • 確保集團核心競爭力-滿足法規精神或標案資格。
  • 提升集團安全形象-有能力保護客戶資產及業務機密。
  • 降低資訊安全威脅-持續改善風險管理機制
  • 督導個人防護意識-持續教育訓練及內部稽核。
  • 保障業務永續經營-注重機密性、完整性與可用性。

集團發展至今已達270位同仁之多,因此藉由導入ISO 27001強化ISMS以達防微杜漸之效,促使集團成為業界最可信賴的合作夥伴,嚴防保密客戶資訊,落實組織永續經營的理念。

 ISO 27001導入過程

導入並驗證ISO 27001為一個循序漸進的過程,為確保每個環節都能正確無礙,資安小組與顧問公司合作,逐一完成各個階段性目標,最終通過ISO 27001驗證。

〉1. 前置作業

此階段資安小組先行檢視集團既有管理制度與成效、收集各處回饋意見,確認驗證範圍以及遴選合作顧問公司。以往各處因專案業務適性不同而選擇不同系統工具或管理流程,而透過資安小組彙整需求異中求同,可利於統合系統工具及提高議價優勢,避免資源浪費。意見回饋也利於管理制度的通盤考量。

〉2. 資安小組成員教育訓練

通過驗證並非一蹴可成,必先從資安小組成員教育訓練開始,起上行下效之頭,課程內容包含ISO 27001核心概念暨條文解析、導入流程及驗證方式說明,資安風險盤點等項目。課程過後每位資安小組成員都是集團種子教師,對之後各處的資安教育訓練幫助甚大。

〉3. 資訊安全制度文件制定

資訊安全制度文件即ISO 27001的四階文件,此階段作業為重中之重,透過適用性聲明書篩選適合集團的條文要求,再依據條文制定符合要求的制度文件及延伸表單。但凡資安政策、目標、程序書、說明書及空白表單等全部俱全,條文部分細如個人電腦密碼變更週期、進出管制區域必須登記等皆在此階段討論完成。至此集團共通的資安管理制度完成,更明確,也更有強制力。

 資訊安全制度文件制定
〉4. 完成風險評鑑及風險控制措施

資安小組依據「資訊資產管理程序書」盤點驗證範圍內所有資訊資產,進行價值鑑別及分類,確認屬於高價值資產或CIA三要素任一值高標者再進行威脅弱點評估。威脅弱點共分為人為、文件/資料、軟體、硬體、通訊、環境6種類,依據特定公式對資產分群分類彙整後可導出風險評鑑結果,並依此作為風險管理及風險控制措施參考依據。

通過此類通盤性檢討的過程,可增強對於資訊資產定義的認知,資產價值的鑑別也不同於物質表象的估價;綜合評鑑的結果將會明確指出風險所在;而整個過程最重要的精神應在於沒有盡善盡美的管理方案可消彌所有風險,為保有集團運作的效率與彈性,必定要有所取捨,控制風險降低風險,直到風險降低至可接受的程度為止。

〉5. 公告及施行

此階段公告全部四階文件,並持續進行內部宣導及落實管理制度,包含定期內稽、弱點掃描、教育訓練、文件改版及召開資安小組會議等。這部分也是第四階文件-表單、紀錄及其他文件透過組織活動實際產出歷程資料的階段。這些資料將作為ISO 27001驗證審核的依據之一。

PDCA模式作為ISMS整體制度運作的基礎,對應在文件上即管理制度規定了表單紀錄的產出,表單紀錄透過勾稽實證了管理制度的施行狀況,管理制度、風險評鑑及風險管理措施等又能依據施行狀況進行改版或變更,如此循環即可維持ISMS整體制度及文件的品質。

 內部教育訓練
 ISO 27001資訊安全標準驗證

資安小組透過顧問公司協助申請經國內TAF認可的驗證機構進行ISO 27001驗證,集團於109年5月25日通過驗證,於6月3日正式登錄系統並獲頒5張證書,計有逢甲大學地理資訊系統研究中心、天眼衛星科技、易圖科技、準線智慧科技以及天思數位科技。

 ISO 27001驗證通過證書
 未來發展

ISO 27001實為ISO 27000系列標準,此系列全是資訊安全管理系統相關領域的標準,不僅僅包含隱私,保密以及資訊科技層面,更囊括了法律,人員管理,物資管理等諸多方面,進而保障各類型組織單位皆有專門標準可供導入遵循。

相對ISO 9000系列(品質管理標準系列)和ISO 14000系列(環境保護標準系列),ISO 27000系列仍屬於新興標準,目前仍以ISO 27001最廣為人知,其他標準於業界仍是推廣階段。

我國自101年施行「個人資料保護法」以降,其法治觀念逐漸深植國人意識,因此ISO 27000系列中的ISO 27701隱私資訊管理標準(簡稱ISO 27701)是集團未來可供導入驗證的標準,其核心重點在於提出隱私保護的要求和實務指引,此外ISO 27701是基於ISO 27001的延伸標準而設計的,因此認證的前提是組織已先行取得ISO 27001認證,且ISO 27701認證範圍也必須與ISO 27001一致,而這些條件集團都已符合,由於集團專案業務極有可能接觸到個人隱私資訊,因此導入驗證ISO 27701是未來發展之選項。

另一個ISO 27000系列標準是ISO 27018公有雲PII處理者保護個人識別資訊標準(簡稱ISO 27018),雲端服務是近年來發展迅速的資訊系統,具有資源共享、多人協作及行動存取等優勢,但雲端服務通常伴隨個人識別資訊(Personal Identifiable Information,簡稱PII)的登錄,例如姓名、聯絡方式或購物紀錄,而ISO 27018的核心重點在於提出對於公有雲服務上個人資料的處理者如何保護個人資料提供了最佳實務的作業規範,此外ISO 27018是基於ISO 27001的延伸標準而設計的,因此條文上具備高度相容的特性,且可獨立申請驗證,由於集團專案業務已有發展雲端服務,因此導入驗證ISO 27018亦是未來發展的選項之一。