整合資訊安全管理的指導原則

在 2002 年 12 月 5 日公布之 ISMS（驗證）規範 CNS17800（BS7799-2: 2002）， 於文件要求中規定應包括文件要求之一般要求：

1. 安全政策與安全目標之書面聲明。

2. 資訊安全管理系統之範圍及支援資訊安全管理系統之各程序及控制措施。

3. 風險評鑑報告。

4. 風險處理計畫。

5. 組織為確保有效規劃、操作與控制資訊安全過程所需之書面程序。

6. CNS17800 (BS 7799-2: 2002)要求之各記錄。

7. 適用性聲明書。

所 有 文 件 應 依 據 資 訊 安 全 管 理 系 統 之 政 策 要 求 隨 時 可 供 取 用 。 備 考 1：CNS17800(BS7799-2: 2002)所 言 之「 書 面 程 序 」係 指 已 建 立 、

文 件 化 、 實 施 及 維 持 的 程 序 。

備 考 2： 每 個 組 織 可 能 有 不 同 之 資 訊 安 全 管 理 系 統 文 件 化 ， 因 為 ： ---組 織 規 模 及 其 活 動 型 式 。

---安 全 要 求 及 系 統 管 理 之 範 圍 與 複 雜 程 度 。 備 考 3： 文 件 及 紀 錄 可 為 任 何 形 式 或 型 態 之 媒 介 物 。

其中 1~5 是建立 ISMS 規劃（Plan）階段應完成的工作，圖 3.8 是前述規劃 階段中風險評鑑與風險處理等在風險管理中之關係，GMITS 是建立 ISMS 規劃 階段風險評鑑工作之指導原則。

一般而言，風險評鑑文件應解釋選用何種風險評鑑方法，以及何以該方法對 安全要求與企業環境是合適的。所採用之方法，其目的應以最經濟、有效率之方 式集中安全力量及資源。文件亦應包含所選用之工具及技術，及何以適合所定之 範圍及風險，以及如何正確使用而得出有效結果，且並將風險評鑑細節應予文件 化：

1. 資訊安全管理系統內資產之評估，包括所用評估標準之資訊。

2. 威脅及脆弱性之識別。

3. 威脅利用脆弱性之評鑑，以及該事件可能造成之衝擊。

4. 根據評鑑結果計算風險，以及識別殘餘風險（Residual risk）。

GMITS 分別在其第 3 部分與第 4 部分提供如圖 3.9 所示風險管理中之風險 分析及風險評估的指導原則[15]，其第 5 部分是根基於 GMITS 第 4 部分對網路 安全（Network Security）管理 IT 之指導原則。GMITS 之第 1 部分與第 2 部分，

則分別對資訊安全政策、目標及其範圍，提供建立 ISMS 的指導原則。除此之外，

GMITS 第 4 部分如圖 3.10 與表 3.11 所示，對建立 ISMS 之控制措施亦提供了如 表 3.9 所示之 CNS17799 (BS7799-1:1999)等 8 種規劃時可供參考之已有的資訊安 全規範、準則等之比較資訊，供不同類型之資訊技術系統選擇防護措施時的參 考；而針對各個資訊技術系統所要求之安全等級有不同需求之考量，宜參考如圖 3.11 的方式訂定面對不同風險須建立不同基準等級之防護措施，使得整個系統獲 得最適切妥善的保護。在表 3.4 中，已清楚的說明 GMITS 與 BS7799-2：2002 及 ISO/IEC 17799 的互補角色；質言之，GMITS 是建立 ISMS 計畫階段中，一份重 要之指導原則的國際標準。

風險管理

風險評鑑

風險分析

來源識別 風險估計 風險評估

風險處理

風險規避 風險最佳化 風險轉移 風險保留 風險承受

風險溝通

圖 3.9：風險管理標準使用指引示意

在現今高度 e 化的政府與企業組織皆相當倚賴利用資訊處理各類作業及活 動，一旦喪失了資訊與服務的機密性(Confidentiality)、完整性(Integrity)、可用性 (Availability)、不可否認性(Non-repudiation)、可歸責性(Accountability)、可信賴 性(Authenticity)與可靠性(Reliability)，對組織的運作會有甚為不良的影響。因此，

需要一個準則保護資訊及管理組織內的 IT 系統的安全，而 GMITS 正是在此背景 下產生的準則。

防護措施目錄 情況1的防護措施 情況2的防護措施 情況n的防護措施 對於一特定範圍

--組織，

--業務系列，或 --維修等 依照資訊技術系統類型選擇

(最簡單的方法)

基準法

依照安全問題和威脅選擇 (更精確的方法)

在每一案例應用 相關基本防護措施 依照詳細評估選擇

(量身訂做的方法)

單機工作站 連接到內部網

路的伺服器 機密性處理(考量未經授權 的使用者使用軟體的威脅) 範例:

...

圖 3.10：選擇防護措施方式

基準

網路管理

操作程序 X

系統規劃 X

網路組態 X

網路隔離 X

網路監測 X

入侵偵測 X

密碼學

資料機密性保護 (X) (X) (X)

資料完整性保護 (X) (X) (X)

不可否認性 (X) (X)

資料確實性 (X) (X) (X)

金鑰管理 (X) (X) (X)

說明：

1. X 表示在正常使用環境下必須實施之控制措施。

2. (X)表示在某些使用環境下宜實施之控制抴施。

GMITS 提出之資訊安全分類、分級的概念與圖 2.8 之 OECD 揭櫫的安全指 導原則相符合。英國之 IRCA 要求 ISMS 第三者稽核員/主導稽核員訓練課程(含 測驗)規範，明定必須包含 ISO/IEC TR 13335 是否代表英國對於 ISMS 的驗證，

宜就不同安全等級有各別之要求，是推動 ISMS 須面對的課題，值得更進一步做 深入的探討。