國際資訊安全標準簡介

在資訊技術迅速發展與普及的現代，大量個人資料藉由資訊系統 與網際網路來進行存取與傳輸，使得個人隱私暴露的風險提高。對於 資訊持有者而言，若能有一套符合國家標準或是國際標準的資訊安全 管理措施可供參考，一方面可使持有機構能更有效建構完整的資訊安 全系統，避免違反法律規定，另一方面對於資訊主體的個人資訊隱私 也能更加有所保障。

國際資訊安全管理規範常見的有國際標準化組織 ISO/IEC 27000 系列、英國 BS 10012、美國國家標準與技術研究院(National Institute of Standards and Technology，NIST)的 SP 800 等，以及個人資料隱私 權保護框架之國際標準 ISO 29100。以下即針對國內各機構較常採用 的標準作介紹。

第一項 ISO 27000 系列

ISO 27000 系列是與資訊安全管理相關的一系列標準，其中包括 資訊安全管理要求之 ISO 27001、資訊安全作業實施要點的 ISO 27002、

資訊安全管理系統實施指引的 ISO 27003，量測指引的 ISO 27004，資 訊安全風險管理等共超過十項之標準。

ISO 27001 是由「國際標準組織(ISO)」於 2005 年宣布之資訊安 全管理國際標準，它是由英國標準 BS 7799 認證所延伸整合，提供資 訊安全管理系統建置、實行、與文件化的要求。此國際標準所建構之 資訊安全管理系統(Information Security Management System，ISMS)，

鼓勵其使用者能了解組織之資訊安全標準並建立資訊安全政策及目 標，落實管理組織之資訊安全風險，對於 ISMS 之表現及有效性進行 控管及審查，並根據目標之量測以持續進行改善來達到預定之安全目 標。此資訊安全管理系統應用風險管理方法來保持資訊的機密性、完 整性以及安全性。此標準所規定的要求是通用的，適用於各種不同類 型、規模以及特性的組織。

關於 ISMS 的建置，ISO 27001 採用 PDCA 的方式進行。它要求 高層管理者必須展現對於建立資訊安全管理系統的決心，並訂定資訊 安全方針。在規劃 ISMS 時需進行資訊風險評估，針對風險選擇適當 的處置方法，並提供需要的資源來建立、實施、維持以及持續改善 ISMS。對於機構人員進行教育訓練，使其了解機構的方針，以及對於

76

資訊安全的認知。而 ISO 9000 所強調的文件化，也同時在 ISO 27001 中被運用。ISO 27001ISO/IEC 27001 對於資訊安全管理之效益有下列 幾項¹⁰⁷：確認風險並採取措施以管理或排除風險，彈性處理控制措施 以適用於機構的全部或部分領域，取得利害關係人和客戶的信任，使 他們相信自己的資料有受到保護，藉由遵循法規之實踐提升競爭力，

並且更符合招標要求。建立資訊安全風險評估，確立影響資訊機密性，

完整性以及可用性的風險；依據風險評估結果選擇適當的管控措施。

ISO 27001 於附錄 A 提供了詳細的控制目標及措施的列表，機構可基 於個別需要而增減內容。

如同美國資訊「安全規則」中所要求的行政、物理與科技三方面 的安全措施，在附錄 A 中針對資訊安全的行政保障、物理保障與科技 保障亦有相關的建議措施。如資訊存取與資訊處理的設備與空間的限 制；確認存取的授權，預防未獲授權者使用系統與服務。加強密碼管 理，要求密碼設定的方式以確保密碼品質。訂定安全區域，並對於該 區域採取空間管理，限制未有授權者之進入。對於設備安全及可能之 失效，例如電源故障、傳輸網路或纜線之干擾或毀損或竊取資料等採 取管理措施。對於外來之威脅如惡意軟體之攻擊，必須有適當的檢測、

預防與恢復的控制措施。此外，對於網路安全管理、資訊傳輸安全、

資料備份等也列於該附錄中。由於 ISO 27001:2005 可以協助企業建 立資訊管理制度，並透過資訊風險評估與 PDCA 循環的管理方式踐 行資訊安全的需求，是相當值得導入的資訊安全標準，因此我國於 2006 年也將該標準翻譯轉訂為國家標準 CNS 27001，提供國內機構 參考使用。

ISO 27001 建構了安全管理系統的標準，在執行面上 ISO 27002 提供了廣泛複雜的指導標準，而且有部分國家也採此通則標準做為該 國之醫療照護資訊安全的規範，但通則性標準並非完全適用於醫療照 護資訊，因此在累積經驗後，適用於醫療照護資訊安全管理的 ISO 27799 標準也應運而生。ISO 27799：2008 是將 ISO 27002 使用於健 康資訊安全管理的標準專章，依循該標準不僅可保持資料的機密性與 完整性，而且仍可維持醫療資訊系統的運用。目前有許多國家已將 ISO 27002 做為健康資訊科技安全管理的指引，例如澳洲、加拿大、

法國及英國等。而 ISO 27799 就是蒐集利用這些國家在處理個人健康 資訊安全所獲得的經驗，作為 ISO 27001 的配套文件。ISO 27799 並

107 參閱英國標準協會網站 http://www.bsigroup.com/，最後瀏覽日：2015 年 9 月 13 日

77

非取代 ISO 27002，而是作為這些較通則性標準的補充。

ISO 27799 對於建構醫療資訊管理系統的 PDCA 程序提出下列建 議：

一、 計畫(P)：建立資訊管理系統(ISMS)

建立 ISMS 首先須界定實施的範疇，實施範圍除了內部考量外，

尚須包含可能牽涉的第三方；服務層級協議(Service Level Agreement，

SLAs)以及契約也可協助建立範圍，以求在服務提供者與使用者間能 達到平衡，減少雙方認知差異，若以醫療服務為例，就是建立以病人 為中心思維的資訊管理系統。建立範圍後，接著必須進行缺口分析 (Gap analysis)，作為初始的改善依據。在 ISMS 的中心，必須建立適 當的"資訊安全管理論壇"(Information Security Management Forum，

ISMF)來監督指導資訊安全。在 ISMS 的運作中必須依賴風險評估與 風險處理來改善；風險值是與威脅、弱點與資產值相關，經由風險評 估選擇適當的安全防護來降低風險，使風險減少至可接受的程度，這 就是風險處理的目的。在文件化的部分，實施的資訊安全政策包含施 行範圍以及所有的評估處理，都需要作成文件，以利於依循以及稽核 管理。

二、 執行(D)：履行資訊管理系統及運作

ISMS 的實行涉及數個步驟，包括建立風險處理計畫、資源分配、

選擇並執行安全管控、教育訓練、作業管理、資源管理以及資安事件 的處理等實際執行面的各項作業。

三、 查核(C)：監控與審視資訊管理系統

確認系統持續良好運作，在遵循度的評估方面，可進行內部稽核、

同儕檢視或由公正第三方進行稽核，或是進行國際標準認證 ISO 27001 的查核。

四、 行動(A)：維持並改善資訊管理系統

建立、執行運作所訂定的系統，經由持續性的監測管理，將所得 到的風險評估或風險處理的經驗，來進行不斷的改善系統效能，以求 能達到標準化所設定的資訊安全保護目標，提升系統品質。

78

79

上述所例舉的標誌可能單一項目即可清楚的進行個人辨識，例如 社會安全號碼、護照號碼、銀行帳戶、電話號碼等或是資料中可連結 至這些項目而進行辨識；有些則可經由數個項目的組合而進行個人辨 識。藉由 ISO 29100 所提的個人可辨識資料的標誌，可提供機構或主 管機關或法院來判斷個人資料保護是否完備，是否有隱私洩漏之虞，

或是去連結程序是否完備達到匿名的效果。

ISO 29100 標準的核心內容有二，包括第 4 條的隱私權框架與第 5 條的隱私原則：

一、 隱私權框架

ISO 29100 隱私權框架包含有六個部分(如圖十一)：

(一)、 人員及角色：包括定義 PII 當事人，在資料蒐集、處理及利用 的程序中之管理者、處理者以及第三方。

(二)、 資訊流通：個人資料在前款所定義之機構或人員間的傳輸利用。

(三)、 辨識 PII：可以直接或間接連結來辨識特定個人之識別資料。

(四)、 隱私安全防護需求：隱私安全防護需求與個人資訊處理的流程 有關，如資料蒐集、保存、交付給第三方、契約關係或是跨國 傳輸等等。至於在建構資訊安全管理系統時，最重要的是進行 廣泛的資訊風險管理。建構適當的穩私安全防護所考量的因素 很多，可分為四大面向包括法規、契約、產業類型、以及其他，

例如資料主體偏好、機構所採取的內控系統或是技術標準等。

(五)、 隱私政策：需文件化，可分為內部(目的、規範、義務、限制、

管控)與外部(提供外部人員了解機構隱私保護執行以及其他 相關資訊如資料管控者官方住址，資料主體可取得之聯繫對口 等)政策。

殘疾 就醫帳單

薪資及人資文件 財務報告

性別 GPS 定位 GPS 軌跡

自然人之可辨識影音資料 產品及服務偏好

種族

宗教或哲學信仰 性傾向

公會會員

公用事業費用帳單

80

81

2. 關於敏感性資料的蒐集處理，必須得到資料主體選擇加入的同 意才可進行。

3. 在取得同意前，先進行說明。

4. 在取得同意前，依公開、透明、以及告知原則，提供給資料主 體資訊。

5. 向資料主體解釋授權同意或拒絕同意的意涵。

對於資訊控制者，所謂的選擇原則包括：

1. 在進行資料蒐集或第一次使用以及之後可能使用資料時，提供 資料主體清楚、明顯、容易理解、容易取得而且可負擔的方式 進行選擇以及授予同意。

2. 依資料主體偏好來表達他們的同意。

(二)、 目的的合法性和闡明

要確定使用目的合法，並在蒐集或第一次使用前以清楚、適當 的語言向資料主體傳達此目的；若是敏感性資料，必須更加嚴 格，以充分的說明來解釋處理利用資料的必要。

(三)、 蒐集的限制

資料蒐集必須在合法的範圍內，絕對符合特定目的需求，無論 是蒐集的量或類別都必須是在合法目的下所必需的，否則必須 另外取得資料主體同意。

(四)、 資料最小化：

與蒐集限制原則密切相關，蒐集限制是指資訊蒐集必須與特定

與蒐集限制原則密切相關，蒐集限制是指資訊蒐集必須與特定