Download
1 / 22
220 likes | 488 Views
ISMS 政策探討. = 法務部政風司 唐雨漁 =. 一、政策依據. 推動重要政府機關(構)導入 ISMS ( Information Security Management System )驗證係「國家資通安全會報」之重要政策,依該會報「政府機關(構)資訊安全責任等級分級作業施行計畫」規劃資安責任等級 A 級之政府機關(構)須於 96 年前; B 級之政府機關(構)須於 97 年前通過第三者驗證。 . 二、何謂資訊安全( Information Security ). 機密性( Confidentiality )
E N D
ISMS政策探討 = 法務部政風司 唐雨漁=
一、政策依據 • 推動重要政府機關(構)導入ISMS(Information Security Management System)驗證係「國家資通安全會報」之重要政策,依該會報「政府機關(構)資訊安全責任等級分級作業施行計畫」規劃資安責任等級A級之政府機關(構)須於96年前;B級之政府機關(構)須於97年前通過第三者驗證。
二、何謂資訊安全(Information Security) • 機密性(Confidentiality) 保護資訊不被未經授權之個人、程序、系統等實體所取得或揭露。 • 完整性(Integrity) 保證資訊之正確與完整,不會被意外破壞或惡意改變。 • 可用性(Availability) 保障所有經授權之實體於需要時可以存取或使用資訊。 • 適法性(Legality) 符合本國相關法令規範。
三、何謂ISMS(Information Security Management System) • 為國際現行五大管理系統之一,乃組織管理系統的一部分,必須依據風險管理的方法加以制訂,進而用以建立、執行、操作、監控、審查、維護與改進組織的資訊安全。 • 在ISMS國際標準未制定前,以CNS 17800:2002/BS 7799-2:2002為驗證標準。2005年10月15日國際標準組織(ISO)正式公布ISO/IEC 27001:2005國際標準,我國經濟部標準檢驗局業依新標準制定CNS 27001:200X(暫定),以取代CNS 17800:2002作為我國受理ISMS之驗證標準。
其他管理系統及驗證標準如下: • 品質管理系統(ISO 9001/CNS 12681) • 環境管理系統(ISO 14001/CNS 14001) • 食品安全管理系統(ISO 22000/HACCP) • 職業安全衛生管理系統(OHSAS 18001)
四、我國ISMS之認證、驗證、輔導 機構概述
認證(Accreditation;中國大陸譯為「認可」,日本譯為「認定」)機構:認證(Accreditation;中國大陸譯為「認可」,日本譯為「認定」)機構: • 指辦理第三者認證服務之組織。我國「財團法人全國認證基金會」(TAF),於92年9月17日成立,乃承接經濟部標準檢驗局原委託工研院量測技術發展中心運作之「中華民國實驗室認證體系」(CNLA)及經濟部「中華民國認證委員會」(CNAB)之認證業務與開發新認證業務,係國內辦理第三者認證服務之單一機構。該基金會期許國內各驗證機構需獲該基金會之認證,以確保驗證品質,惟該基金會屬民間組織,並無強制力。
ISMS認證尚無國際標準,TAF目前係參照ISO/IEC Guide 62及EA-7/03訂定相關認證規範,作為認證之依據。
驗證(Certification;中國大陸及日本譯為「認証」)機構:驗證(Certification;中國大陸及日本譯為「認証」)機構: • 指辦理第三者驗證服務之組織。目前經TAF登錄認證之ISMS驗證機構如下(迄2006/8/16止): • 香港商英國標準協會太平洋有限公司臺灣分公司(BSI) • 臺灣檢驗科技股份有限公司(SGS) • 挪威商立恩威驗證股份有限公司臺灣分公司(DNV) • 以上均為外商公司,臺灣檢驗科技股份有限公司為瑞士通用檢驗公證集團子公司。
經濟部標準檢驗局(BSMI)已向TAF申請認證中,惟標檢局自91年即制定CNS17800:2002國家標準,受理ISMS驗證業務。經濟部標準檢驗局(BSMI)已向TAF申請認證中,惟標檢局自91年即制定CNS17800:2002國家標準,受理ISMS驗證業務。 • 國內亦不乏取得國外認證之驗證機構(例如:聯合王國認證委員會UKAS),其實際家數則不得而知。
輔導機構: • 指協助業者建置管理系統、編撰文件及輔導通過第三者驗證之機構,並無特殊資格限制,凡公司、合夥或獨資之工商行號、法人、機構或團體均得為之,實際以企管顧問業為主,是國內得辦理輔導驗證之機構不可勝數。 • 申請驗證業者與輔導機構、驗證機構間,猶如應考人與補習班、考試機構之關係;有實力的應考人不一定參加補習,亦能通過考試機構之測驗取得及格證書。
五、現存缺失 • 我國截至95年7月底止,約90個政府機關已取得ISMS驗證證書。 • 目前政府機關導入ISMS委外服務採購案存在未具體指定驗證機構(僅要求為「公正」驗證機構或第三者驗證)、將「輔導建制」與「申請驗證」一併辦理招標等2種現象,其可能衍生承商(即輔導機構)為順利履約驗收,勾結驗證機構通過驗證,或其本身即驗證機構或其關係企業之情事,而影響驗證品質與公平性。
在ISMS驗證費用部分,目前以標檢局明定之收費標準最低,其他民間驗證機構收費高於標檢局約3至5倍之多。在ISMS驗證費用部分,目前以標檢局明定之收費標準最低,其他民間驗證機構收費高於標檢局約3至5倍之多。 • 標檢局收費標準 • 審查費:每件新臺幣1萬元。 • 評鑑費:評鑑、複評、追查費,每人每日新臺幣8千元。 • 證照費:驗證證書之核發,每件新臺幣2千元;換發、補發,每件新臺幣5百元。 • 登記費:年費,每件新臺幣1萬2千元。
資訊保密問題 • 94年6月30日「國家資通安全會報」第9次委員會議決議:「未來政府各機關建置具有較敏感性或機密性之資訊系統者,可鼓勵向標準檢驗局申請驗證。」
六、檢討 • 政府機關資訊人力及專業能力不足。 • 通過ISMS驗證不代表取得資訊安全之保證;ISMS並非針對廠商之資訊安全產品加以測試認可,因此取得ISMS驗證之廠商,僅能證明其可經由良好的ISMS系統,使顧客或利害關係人對該組織之資訊安全管理水準具備一定程度之信心。
政府機關與民間企業性質不同,政府機關有明確之組織、權限及法令制度,不似民間企業組織較乏相關管理制度,而必須藉由導入國際標準方式,協助其建立相關制度,並取信於外界。政府機關與民間企業性質不同,政府機關有明確之組織、權限及法令制度,不似民間企業組織較乏相關管理制度,而必須藉由導入國際標準方式,協助其建立相關制度,並取信於外界。 • 抄襲外國標準未必適合國內環境,且國際標準不等同本國法令。我國導入ISMS前,似未考量其與本國法令之相容性問題(有無分歧牴觸或須配套修法之情形),可能衍生政府機關通過驗證後,反而不符法令情事。
國家機密保護法施行細則 • 第21條第4項 以電子通信工具傳遞國家機密者,應以加裝政府權責主管機關核發或認可之通信、資訊保密裝備或加密技術傳遞。 • 第28條第4款 國家機密為電子資料檔案者,應以儲存於磁(光)碟帶、片方式,依前三款規定保管;其直接儲存於資訊系統者,須將資料以政府權責主管機關認可之加密技術處理,該資訊系統並不得與外界連線。
行政院「文書處理手冊」 • 第61點第5款 使用電腦設備處理機密公文時,對於簽入資訊系統所需之帳號及密碼應建立安全管理機制,並不得使其暴露於他人可見之狀態,有關公文交換所需之簽章加密等相關電子憑證亦須妥善保存。 • 第65點第3款 如因機關業務特性,機密文書須採電子方式處理者,應使用經權責機關鑑定相符機密等級保密機制,並依相關規定辦理。
其他:電腦處理個人資料保護法與其施行細則、政府機關密碼統合辦法、行政院及所屬各機關資訊安全管理要點、行政院及所屬各機關資訊安全管理規範等。
政府機關由外部民間機構辦理驗證,恐衍生洩密情事,尤其目前取得TAF認證之BSI、SGS、DNS均為外商公司,於中國大陸亦設有分支機構,其驗證人員因業務需要經常往來兩岸之間。政府機關由外部民間機構辦理驗證,恐衍生洩密情事,尤其目前取得TAF認證之BSI、SGS、DNS均為外商公司,於中國大陸亦設有分支機構,其驗證人員因業務需要經常往來兩岸之間。 • 仰賴導入ISMS驗證方式維護資訊安全,似暴露政府機關對自主管理能力缺乏信心,以美國為例,其政府機關並不接受民間機構之驗證,例如美國國防部,其內部即自設驗證單位,負責所屬機關(構)之驗證業務。
