|
www.cc.ntu.edu.tw 計中今年導入教育版ISMS,透過ISMS的PDCA(Plan-Do-Check-Act)循環,先從風險評鑑確認的關鍵性資產開始管理,透過不斷的計畫、執行、檢查、改善才能達到組織的資訊安全管理目標。 前言 曾幾何時全國各大專院校吹起導入資訊安全管理制度(ISMS)的風潮,學校討論這個議題可能已有2~3年,不過最熱絡的應該算是今年了,因為行政院國家資通安全會報要求B級單位97年需通過資訊安全管理制度(ISMS- Information Security Management System)第三方認證,最近基於種種原因而延期到98年了。由於本校兼具B級單位與TANET區網中心兩種身分,所以必需通過B級單位與區網中心兩種認證。 計中導入教育體系ISMS 計中為台北區網中心,今年接受教育部輔導導入「教育體系資訊安全管理規範」,教育部委託顧問公司進行北、中、南三區輔導。北區共有五個TANET區網中心(臺灣大學、政治大學、中央大學、交通大學以及清華大學)聯合輔導,顧問公司每個月安排一次月例會與教育訓練,邀請五所大學的專案負責人與業務負責人共同參與。除此之外,每個月輔導顧問安排時間至各區網中心個別輔導。 計中規劃建立台大與區網中心之教育體系ISMS,希望明年年初通過教育體系資訊安全管理規範第三方驗證,並落實整體資訊環境安全。 計中推動教育體系ISMS分四階段進行 第一階段:規劃資訊安全政策 執行作業:組織業務分析,成立資訊安全組織,建立資訊安全政策,建立文件管理機制。 產出文件:資訊安全政策,文件管理程序書,業務風險分析報告,資訊安全組織程序書。 第二階段:執行風險管理與評鑑 執行作業:資產分類及管理,風險評鑑,風險管理與產出適用性聲明。 產出文件:資訊資產管理程序書,風險改善計畫,風險評鑑與管理程序書,適用性聲明,風險評鑑報告,教育訓練教材,資訊資產清單。 第三階段:規劃資訊安全管理系統實施 執行作業:建立資安文件體系與整合文件管理架構,建立ISMS四階文件,建立安全事件管理程序及業務永續運作計畫,業務永續運作計畫演練。 產出文件:資訊安全管理ISMS四階文件,資訊安全事件應變處理程序,業務永續運作計畫,業務永續運作計畫演練報告。 第四階段:制度落實與實施稽核作業 執行作業:資安內部稽核計畫,資訊安全稽核教育訓練活動,執行資安內部稽核。 產出文件:稽核計畫,稽核報告,管理審查會議紀錄。 計中教育體系ISMS運用PDCA循環模式 計畫(Plan) — 建立ISMS 1.組織業務分析 本中心於ISMS管理面之領域,包括:管理階層責任、ISMS之改進、資訊安全組織、資訊資產分類與管制、人員安全管理與教育訓練、資訊安全事件之反應及處理等部分尚屬嚴謹。建置ISMS時,可參考現行制度、作法,予以小部分調整,以降低相關業務負責人執行之負擔。管理面之其他領域,如:資訊安全管理系統、管理階層審查、資訊安全政策訂定與評估、業務永續運作管理、相關法規與施行單位政策之符合性等部分則尚有改善空間,本中心可配合此次ISMS之建置,建立完整之資訊安全管理系統。 ISMS技術面之領域,包括:實體環境安全、通訊與作業安全管理、存取控制安全、系統開發與維護之安全等部分皆尚屬嚴謹,本中心已建置多項控制措施。普遍而言,控制措施文件化仍尚有改善空間,本中心可配合此次ISMS之建置,將相關控制措施予以文件化,並落實產生紀錄。 2.建立資訊安全政策 資訊安全政策參考資安相關法令及施行單位業務上的需求,並經由管理階層核准。資安政策主要精神是維護本中心資訊資產之機密性、完整性與可用性,以達成以下目標: (1)保護本中心TANET業務活動與本校入口網站資訊,避免未經授權的存取。 (2)保護本中心TANET業務活動與本校入口網站資訊,避免未經授權的修改,確保其正確完整。 (3)建立資訊業務永續運作計畫,確保本中心業務活動之持續運作。 (4)本中心之業務活動執行須符合相關法令或法規之要求。 除了制定政策並執行之外,還需要配合不斷的評估、檢視已制定資安政策的合適性與否。 3.成立資訊安全組織 計中資訊安全組織架構圖如下:
資訊安全委員會由計中主管組成。資訊安全官、資訊安全小組成員、資訊安全稽核小組成員由資訊安全委員會指派。緊急處理組為任務編組。 由資訊安全委員會定期召開管理審查會議,以審查ISMS相關事宜,確保資安相關計畫的進行,並展現管理階層的支持。 執行(Do) — 實施與操作ISMS 4.資訊資產分類與管制 對於中心資訊資產,業務負責人執行以下工作: (1) 鑑別所管轄之資訊資產,並建立「資訊資產清單」。 (2) 依照資訊資產性質之不同作分類。 (3) 鑑別管轄內所有資訊資產之價值。資訊資產價值依據資產之機密性(C)、完整性(I)與可用性(A)等特性取最大值,區分為4 級(1~4級),評估該資產之價值。 5.風險評鑑 中心資訊資產分類後,使用本中心資產風險評鑑的標準,計算出所有資訊資產的風險值。 · 風險值的計算 – 評估事件發生機率及影響程度,計算出風險值。 – 風險值=(資訊資產價值 × 威脅等級 × 弱點等級) · 事件發生可能性/威脅等級對應表
評估標準 等級 評估值 每季發生一次之可能性 每月發生一次之可能性 每週發生一次之可能性 · 弱點的等級對應表
評估標準 等級 評估值 該弱點不容易被威脅利用 該弱點容易被威脅利用 |
|
|
