Your browser does not support JavaScript!

 

 
分類清單
首頁 > ISMS > 建置ISMS
建置ISMS

「ISMS」資訊科技的「ISO」,本文介紹如何導入資訊安全管理系統(Information Security Management System),啟動校園風險管理機制,提升校園資訊安全。

 

前言

政府對於資訊安全的投入不遺餘力,國家資通安全會報要求AB級單位於97年底前,編列預算,爭取通過資訊安全管理之認證,大學建立「資訊安全管理系統(Information Security Management System,簡稱ISMS)」並通過認證,已迫在眉睫;本文依序說明政府政策要求、安全組織及管理權責、ISMS推動作業流程、ISMS資通安全系統導入範圍、風險評估、文件體系,供校園建置ISMS參考。

 

一、政府政策要求

ISMS推動作業是依據行政院於94721日核定「政府機關(構)資訊安全責任等級分級作業施行計畫」,該計畫將政府機關分為四個等級,關於教育體系分類如下:A 級:教育部,B 級:大學、區域網路中心,C 級:學院、專科學校;B (核心)單位,應執行之工作重點為:

1. 等級3之防禦機制強度;

2. 防護縱深;

3. 97年前通過ISO27001第三者執行之認證,98年起納入學校評鑑項目;

4. 每年至少一次內稽;

5. 資安教育訓練<主官、主管、技術、一般>:每年至少(46164小時)

6. 96年前資安專業鑑定一張。

 

二、安全組織及管理權責

推動ISMS首先要成立資訊安全組織,明訂其管理權責,以靜宜大學之實作情形說明如下:

  • 資訊安全推動委員會:

建立資訊安全管理制度並推動資訊安全相關事宜。

  • 召集人(由中心主任擔任)

召集資訊安全管理審查會議,並追蹤其決議事項。

督導本中心風險評鑑作業。

督導本中心持續營運計畫之修訂與演練。

  • 資訊安全稽核小組(5)

執行資訊安全管理之內部稽核作業。

  • 資訊安全工作小組(10)

評估人員進用之安全性。

辦理資訊安全教育訓練。

資訊資產之安全需求研議、使用管理及保護等事項。

程序及規範書草擬。

 

三、ISMS推動作業流程

以義守大學電算中心為例,ISMS推動作業流程,由專職ISMS顧問服務協助導入,並按時程與階段實施,導入服務共分五個階段:

第一階段:ISMS導入教育訓練

第二階段:資安政策建立、資訊安全組織建立

第三階段:資產風險評鑑、風險管控、持續改善管理

第四階段:應變計畫及災後復原計畫建立及演練

第五階段:資訊安全內稽制度建立及後續維護機制

 

四、ISMS資通安全系統導入範圍

資訊安全範圍涵蓋甚廣,三個主要要素是(People)、流程(Process)與科技(Technology),舉凡資料檔案、應用程式、系統軟體、合約、指南、電腦、儲存媒體、人員、通訊技術、管線、環境、空間等等,均為資訊資產管理範疇。依據人力、經費、時程決定ISMS導入範圍,以大學而言,導入範圍可能有四種:

1.全校

2.計算機中心與一重要業務一級單位

3.計算機中心

4.計算機中心之某特定組室或部分重要核心系統先行試辦

 

方案12,由於工程過於耗大,比較少見,學校大多選擇方案3,而規模較大之學校,礙於時程壓力,可能選擇方案4;有關重要核心業務例如-計算機及通訊中心所提供的網路骨幹管理、伺服器主機管理、校務系統資料庫管理、電子郵件服務管理及全球資訊網服務管理之資訊安全管理系統。場地為計中1F及各學院校園骨幹設備機房、異地備份場所;義守大學ISMS資通安全系統導入範圍:()、網路作業組 ()、系統發展組()、綜合業務組。

 

五、風險評估

風險評估首先進行資訊資產鑑別,可採分類如下:文件類、軟體類、人員類、實體類、服務類;鑑別完資訊資產,接著評估資產價值(或重要性),考量該資產之弱點與可能發生之威脅及其機率,藉以分析風險等級,進而採取接受、避免、降低、移轉等風險處理措施,決定採用哪些適當的風險管理方式,進行風險改善計畫後,計算殘餘風險,將結果呈報資安管理委員會審查後,由主管核定。

 

六、文件體系

ISMS文件採用階層化,雖未規定第二、三階文件的名稱,但一般為了配合ISO9000,會將第二階文件名稱定為程序書,文件體系的四階文件分別為:第一階為資安政策、第二階為程序書、第三階為辦法、規定、第四階為紀錄;以靜宜大學為例,資訊安全管理手冊,一階文件1份,二階文件16份,三階文件12份;以教育體系資訊安全管理制度導入試作點文件-成功大學為例資料如下:

l主機伺服器管理有例行檢查項目(UNIX WINDOWS)及其記錄表、管理程序、檢測項目表

l例行作業:機房值班檢查程序、檢查表;資安指南(個人、承辦人)

l備份作業:程序、記錄、異動表

l帳號密碼管理:程序、申請表

l弱點掃瞄:程序、時程表、登記表

l政策:資安管理、適用性聲明

l文件管制:一覽表、程序、變更申請表

l機房門禁管制:程序、機房管理辦法、門禁管理辦法、進出登記簿

l病毒防範:程序、事件記錄表、資安負責人及IP

l緊急應變處理:程序(機房火警、網路運作)、記錄表

l計網中心門禁管制:程序、感知器位置圖、保全系統記錄簿、門禁卡使用須知

l資安事件處理:程序、記錄表

l資安事件通報:程序、記錄表

l資安檢視:表、項目、程序

l資訊安全組織:人員負責系統登錄表、資訊安全職責表、資訊安全委員會名單及組織

規程、其他連絡表

l風險管理:資產價值表、風險管理表、風險評估表、風險評估及管理程序

 

七、結論

教育部TANet連線學校資通安全管理規範計畫,參考資訊安全管理相關國際規範以及我國政府規範等法令標準,訂定出適用於TANet連線學校之管理規範,並以成大計中心建立試作點,檢測規範之適用性,各學校以此計畫成果為建置ISMS之起步,修訂為單位適用之ISMS,可大量節省人力、物力,並縮短通過ISO/IEC 27001:2005認證之時程。

 

 

參考資料

[1]教育體系資訊安全管理制度導入試作點-國立成功大學http://www.edu.tw/EDU_WEB/EDU_MGT/MOECC/EDU0688001/tanet/fix.htm

[2]國內教育環境的資安挑戰與對策
http://www.cc.ncnu.edu.tw/icsst/laws/edu-env-IS-policy-educc.pdf
(包含政策、 適用性聲明書、程序、表單、手冊、適用性聲明書參考範本行政院於94721日「政府機關(構)資訊安全責任等級分級作業施行計畫」)

[3]義守大學電算中心簡報http://www.isu.edu.tw/upload/21/7/files/dept_7_lv_2_2091.pdf

[4]經濟部標準檢驗局,http://www.bsmi.gov.tw/