Enews139 淺談資訊安全管理制度
出自KMU e-News
高雄醫學大學e快報 第139期 資訊處 專題
淺談資訊安全管理制度
(ISMS:Information Security Management System)
資訊處網路技術組 謝志昌組長
教育部於今年(2009年)6月來文指出,資訊安全責任分級為B級的機關(構)-本校屬B級-須於民國100年前通過ISMS第三者驗證,本文以6W1H的原則對ISMS(資訊安全管理制度)做簡單的說明︰
一、Who?誰負責執行資訊安全管理制度?
本校內部人員(包含老師、職員、同學、研究助理等等)、委外服務廠商與訪客,其中有些人員須遵守的規則較多,例如資訊處的同仁,但並不是資訊處以外的人員就不必關心。
二、For Whom?資訊安全管理制度為了保障誰?
主要為了保障本校的教職員生,但實際上可能包含了世界上所有人-有沒有弄錯?並沒有弄錯,本校曾有某台連上網路的電腦(社團辦公室)被入侵後遭植入釣魚網頁(用來騙取他人網路銀行的帳號及密碼),受害的人就不限本校的人員, 世界上可以上網的人都有可能受害。
三. Why?為什麼要建立資訊安全管理制度?
為確保本校所屬之資訊資產的機密性、完整性 及可用性,並符合相關法規之要求,使其免於遭受內、外部的蓄意或意外之威脅。
四. What? 資訊安全管理制度是什麼?
資訊安全管理涵蓋11項管理事項,避免因人為疏失、蓄意或天然災害等因素, 導致資料不當使用、洩漏、竄改、破壞等情事發生,對本校帶來各種可能之風險 及危害。管理事項如下:
- 資訊安全政策訂定與評估。
- 資訊安全組織。
- 資訊資產分類與管制。
- 人員安全管理與教育訓練。
- 實體與環境安全。
- 通訊與作業安全管理。
- 存取控制安全。
- 系統開發與維護之安全。
- 資訊安全事件之反應及處理。
- 業務永續運作管理。
- 相關法規與施行單位政策之符合性。
為維護本校資訊資產之機密性、完整性與可用性,並保障使用者資料隱私,藉由全體同仁共同努力來達成下列目標:
- 保護本校業務活動資訊,避免未經授權的存取。
- 保護本校業務活動資訊,避免未經授權的修改,確保其正確完整。
- 建立資訊業務永續運作計畫,確保本校業務活動之持續運作。
- 本校之業務活動執行須符合相關法令或法規之要求。
五. Where? 資訊安全管理制度適用於何處?
主要適用於本校。
六. When? 何時執行資訊安全管理制度?
無時無刻,資訊安全沒有假期。
七. How? 如何執行資訊安全管理制度?
資訊安全管理制度有一套管理規範程序SOP(相關的國際標準為ISO 27001),相關人員以PDCA(Plan-Do-Check-Action)循環的方式來執行資訊安全管理制度的管理規範程序。
結語:
2006年筆者參加了教育部主辦的一場資訊安全說明會,會中除了說明"TANet 連線學校資通安全管理規範"的草案(後來的教育體系資通安全管理規範),也不斷地強調資訊安全的重要性,其中一位有名的資安學者說︰"資安要七分管理,兩分稽核,一分技術。"當時筆者心中立即起了一連串的疑惑︰"資訊安全不是要靠資訊技術才能達成嗎?"、"有ISMS就能阻擋駭客攻擊嗎?"
一直到今年(2009年)6月,資訊處和資安顧問開始著手建立本校的資訊安全管理制度(ISMS),並且經過層面較廣的資訊安全教育訓練後,回想起這三年來經歷過的真實資安事件,筆者似乎可以嚐試去回答自己原先的疑惑︰
"資訊安全不是要靠資訊技術才能達成嗎?"-
資訊安全是環環相扣的,其中的環節有軟體、硬體和人,其中最脆弱的一環 通常是人,舉例來說,許多人都認為裝了防毒軟體就不會被惡意程式入侵,但實情是有許多惡意程式在入侵許多電腦後,防毒軟體公司才蒐集到病毒碼去阻擋,但如果換個角度思考,為什麼被惡意程式入侵,通常就是因為使用者主動開啟了惡意程式或點擊了含有惡意程式的網頁連結,如果使用者能提高警覺,被惡意程式入侵的風險一定會降低。
"有ISMS就能阻擋駭客攻擊嗎?"-
有ISMS仍無法阻擋所有駭客的攻擊,但是可以預防一部份的駭客攻擊,例如透過ISMS規範的教育訓練,可以讓一部份的使用者提高警覺,不去開啟社交工程的惡意電子郵件或網頁,因此就可以減少被駭客入侵的機會。
參考資料:
教育體系資通安全管理規範 http://cissnet.edu.tw/rule_edu.aspx
