國家資訊安全管理標準

一、

由 BSI(The British Standards Institution (英國標準栛會）邀集業界 相關領導廠商為共同追求國際品質的資訊安全管理系統所共同開發而成，可適 用於各種產業與組織，是的個包含了各面向的組織資訊安管理標準，原僅為英 國國家標準(British Standards)，現已被多個國家採用成為國家標準，如瑞

典、挪威、澳洲、巴西、捷克、芬蘭、冰島、愛爾蘭、荷蘭及台灣等。

國際標準組織(International Organization for Standardization, ISO) 為提供一套能供全球依循的資訊安全控管標準，乃將 BSI 所制定的 BS7799「資 訊安全管理實務準則」的第一部分（朱慧德，民 91）納入世界標準，編號 為:ISO/IEC 17799:2005 (Information Technology-Code of practice for information security management)資訊安全管理作業要點，包括領先企業提 出的相關指導和建議。根據美國標準和技術國家機構(The Nation Institute of Standards and Technology`s , NIST)對 ISO 17799 的詮釋:「ISO/IEC 17799 是個實施要則(code of practice)，也是因為如此，其提供了資訊安全管理的 指導綱要(guidelines)和內發性指引(voluntary direction)。其提供了高質、

通用的敘述以針對目前在工作領域被認為其有重要性的各項前引

(initiating)、導入(implementing)其在企業組織內的資訊安全管理。2005 年，從整體架構調整、條款呈現方式、調整控管措施結構安排、調整控制目標 與控制措施之分類與從屬關係、考慮適用範圍、以因應新的 IT 技術增加新控制 措施及網路的趨勢修改控制措施用語等方向進行改版。

台灣資訊安全管理系統驗證標準 CNS27001，已於民國 95 年 6 月 16 日公告。

提供用以建立、實作、運作、監視、審查、維持及改進資訊安全管理系統 (Information Security Management System, ISMS)之模型，其設計與實作受 其需求與目標、安全要求、所採用的過程，以及組織之規模與架構所影響，這 些項目及其支援系統會隨時間而改變。所展現之資訊安全管理的過程導向，乃 強調下列事項之重要性：

 瞭解組織資訊安全要求，以及建立資訊安全之政策與目標需求。

 在組織整體營運風險之全景（context）中，實作及運作各項控制措施 以管理組織的資訊安全風險。

 監視與審查 ISMS 之績效與有效性。

 基於客觀的測量以持續改進。

CNS27001 採用“規劃－執行－檢查－行動(Plan-Do-Check-Act,

PDCA)”過程模型，納採資訊安全要求與利害相關者之期望為輸入，經由各必要 行動與過程（ISMS），(如表 2-3)產生符合此等要求與期望的資訊安全輸出結果。

圖 2-3 適用於 CNS27001 過程之 PDCA 模型 資料來源:“中華民國國家標準”,CNS 27001,民96。

表 2-2 PDCA 資訊安全管理程序與要求

資料來源:“中華民國國家標準”,CNS 27001,民96。

二、

提供了關於的資訊安全管理建立、實施和維護的要求。為資訊安全管理系 統評估基準(驗證標準)，使資訊安全管理體系更容易和其他管理體系相協調。

CNS27002 的十個章節概述如下：

 資訊安全政策（Information Security Policy）：

定義高階管理對資訊安全之期許與要求，益將其文件化，以利企業內 資訊安全之推行。

 安全的組織（Security Organization）： 規劃

(建立 ISMS)

建立與管理風險及改進資訊安全相關之 ISMS 的政策、目標、

過程及程序以產生與組織整體策和目標一致之結果。

執行(實作與運 作 ISMS)

實作與運作 ISMS 的政策、控制措施、過程及程序。

檢查(監視與審 查 ISMS)

依據 ISMS 政策、目標及實際經驗，評鑑及在適用時測量過 程績效，並將結果回報給管理階層審查。

行動(維持與改 進 ISMS)

基於 ISMS 內部稽核與管理階層審查結果或其它相關資訊採 取矯正與預防措施，以達 ISMS 的持續改進。

 資訊資產分類與控制（Asset Classification and Management）： 依照資訊資產之運無流程與資產價值，將資訊資產作分類，並規劃各 不同分類等級資產之保護措施。

 人員資源安全（Personal Security）：

為降低人為疏失發生機率，並減少人為之惡意侵害行為，將針對員工 訓練、員工之資訊安全工作範圍與責任及重大事件呈報步驟，作相關 規劃。

 實體與環境安全（Physical and Environmental Security）： 規範有形資產之保護措施、安全裝備與一般控管原則。

 通訊與操作管理（Communications and Operations）：

針對資訊運作設施所規劃之控措施，以確保資訊運作過程之正確與安 全。

 存取控制（Access Control）：

使用者權限之設定應依設定使用者工作職權而給予，以降低未經授權 存取系統資源之風險。

 系統獲取發展與維護（System Development and Maintenance）： 規劃企業內系統開發與維護過程，將資訊安全列入流程範圍。

 資訊安全事故管理(Security Event Management ) ：

建立管理責任與程序，以確保對資訊安全事故做迅速、有效及依序的 回應。

 持續營運管理（Business Continuity Management）： 規劃企業面臨重大意外事故時所需之應變措施與回復機制。

 遵循性（Compliance）：

避免企業之資訊管理系統違反相關法令，針對現有法律環境作適當之 控管程序複核與改善。

圖 2-4 資訊安全管理系統架構圖

資料來源: “標準化應用於中小企業導入資訊安全管理系統之成功經驗”, 歐弘詹,民95,台北市:中華民國國家資訊基本建設產業發展協進會。