第一節 研究背景與動機
資訊是一種資產,和其他重要的營運資產一樣,對組織營運是不可或缺的,
此在日益互連的營運環境中特別重要。由於此互連性增長之結果,資訊也暴露 在日益成長與多樣的威脅及脆弱中包括電腦輔助的詐欺行為、間諜行為、蓄意 破壞、惡意毀損、火災或水災等,導致的損害也愈來愈嚴重。科技帶來了新型 態的犯罪,入侵手法與工具更是日新月異、防不勝防,伴隨而起的將是網路上 種種越權存取、入侵、電腦犯罪的新挑戰,屢見不鮮的網路攻擊事件,更突顯 使用者及系統管理者安全防護觀念與措施的不足。
表 1-1 弱點記載統計表
年份 2001 2002 2003 2004 2005 2006 2007 2008(Q1-Q3) total 數量 2437 4129 3784 3780 5990 8064 7236 6058 41478 資料來源:Carnegie Mellon University, SEI,(2009,april). Cataloged vulnerabilities.
Retrieved April 5,2009,from the cert web site:
http://www.cert.org/stats/cert_stats.html
觀察台灣電腦網路危機處理暨協調中心公布入侵事件求助統計表可發現非 法網路攻擊事件,有升高的趨勢。行政院於 2004 年通過「建立我國通資訊基礎 建設安全機制計畫」,其管理政策參酌國際標準組織(International organization for standardization,ISO)通過發行的 ISO27001 標準為基礎,經過翻譯及調整後,
制定適用於我國之 CNS 27001 標準,來規範組織建構資訊安全管理系統之標 準,包含安全政策、資訊安全組織、資產管理、人力資源安全、實體與環境安 全、通訊與安全作業、存取控制、資訊系統獲取、開發與維護、資訊安全事故 管理、營運持續管理及遵循等 11 大控制要項,主要任務是積推動資通訊安全基 礎建設工作、建構資安應變中心及建立資安防護體系。對象是國內 3713 個重要 政府機構(行政院國家資通安全會報,民 90),將資通安全等級分為四級,評估 公式為如下:
安全等級=遭受在因素破壞可能性*機關對通訊設備依賴度----(1)
表 1-2 行政院所屬機關安全等級分類
安全等級分類 影響層面 單位數(個)
A 級 影響公共安全、社會秩序、人民生命財 產安全
126
B 級 系統停頓、業務無法運作 399
C 級 業務中斷、影響系統效率 999
D 級 業務短暫停頓,可立即修復 2189
資料來源: “非營利單位資訊災難備援機制建置之研究”,謝昆霖、呂易儒民95, 資訊管理研究,6,82-100。
在行政院資通安全會報訂定行動方案執行要點與績效指標中,為落實資訊 安全責任等級分級制度,依各資安等級應行事項完成一定時數教育訓練及通過 專業鑑定,B 級機關應於 97 年底前通過第三者驗證(行政院國家資通安全會報,
民 94),以期在有限的資源下,能全面做好資通安全防護工作。
98 年參酌 2008 資通安全政策白皮書,研訂「國家資通安全發展方案(98 年至 101 年)」,包含「強化整體回應能力」、「提供可信賴的資訊服務」、「優質 化企業競爭力」、「建構資安環境」四大政策目標,以『安全信賴的資訊化社會,
安心優質的數位化生活』為願景。其中,為提升政府機關資訊服務的可信賴性,
積極推動資安治理,訂定 B 級機關的資安治理比例:99 年達 30%;100 年 70%;
101 年 100%,機關應自訂資安治理成熟度提升比例(行政院國家資通安全會報,
民 98)。
第二節 研究目的
由於資訊通訊科技蓬勃發展,網際網路的訊速擴張,以及資訊社會對其依 賴程度的深,導致生活型態與商業模式產生變革,資通安全風險隨之提高,諸 如人為疏失操作不當、駭客攻擊與公務機密外洩等問題,悠關社會安定或國家 安全,考量在有限的預算資源下,著手建置組織資訊安全管理流程,有效達成 資訊安全管理目標。
對於組織資訊安全管理系統導入的探討,通常侷限於導入規範的各段落,
缺乏全盤性的程序引導。許多組織面臨完成驗證全部程序的盲點;同時,基於 組織資料之機密性,大部份的組織仍期望由內部同仁自行建置資訊安全管理系 統,以確保組織擁有安全、可信賴的資訊通訊環境。
本論文為實務規劃研究,依據國際安全規範 ISO27001 對組織建置資訊安 全管理系統的要求事項,以個案組織的情境和需求,循序建置資訊安全管理系 統,達成 CNS27001 規範要求並完成驗證。在實作程序上,透過實務流程參考,
建構組織計畫、執行、檢查及修正作業程序,持續不斷的調整安全性控制,提 供實務建議供其它組織參考,共同連結安全管理的資通訊網路。
能力成熟度整合模式(Capability Maturity Model Integration ,以下簡稱 CMMI),整合了資訊系統發展與維護活動等知識體系,且已列入中華民國國家
標準(Chinese National Standards,縮寫為 CNS )CNS15190。為促進公務機關資訊 部門更有效率的流程改善,引用軟體科技創新管理模式,支援組織核心業務發 展,進行 CNS27001 要求事項與 CMMI 需求管理、專案監控及支援等相關連續 流程比對,分析資訊部門人員認知與實際執行的符合程度及其相關性,期能循 序建置資訊安全管理系統及選擇適合的 CMMI 相關領域,提升公務部門資訊安 全的能力度等級及建構組織發展創新的管理流程,以符合政府資通訊安全要求。
第三節 研究範圍
本論文依據 CNS27001 及 CNS27002 資訊技術、安全技術與資訊安全管理 作業規範,進行實務導入,包含組織的安全政策、資訊安全的組織、資產管理、
人力資源安全、實體與環境安全、通訊與作業管理、存取控制、資訊系統獲取、
開發與維護、資訊安全事故管理、營運持續管理、遵循性等十一大項,經由適 當的控制措施達成資訊安全,必須建立、實作、監視、審查與改進這些控制措 施,以確保達成組織特定安全與營運目標,兼與其他營運管理過程一起達成。
本研究的個案單位是公務部門,屬 B 級單位部門組織,認證導入參酌資深 顧問建議,依組織特性進行風險評鑑及處理,發展適合組織的指導綱要;相關 CMMI 流程領域能力度層級,則是以各流程領域中部份一般目標為分析範圍。
研究標的組織,為目前可能參與 ISO27001 驗證或計畫申請驗證的業務屬性相 關的 B 級公務機關,資訊部門人員為調查對象,專注於組織資訊安全流程改善 及 CMMI 相關能力度部份一般目標執行程度。
第四節 研究流程
本論文透過個案實際操作,並依據國際安全規範 ISO27001 對組織建置資 訊安全管理系統的建議,循序建置資訊安全管理系統,達成 CNS27001 規範要 求並完成驗證,並以 CMMI 流程管理的連續表述的成熟度層級模式,進行內部 自我檢測,分析組織資訊安全管理系統作業能力度,選擇可以同時進行的相關 流程領域,作為組織資訊安全管理持續改進的參考,研究流程如圖 1-3 所示。
圖 1-1 研究流程 資料來源:本研究整理
ISO27001 規範規範規範規範 組織業務性質組織業務性質 組織業務性質組織業務性質
規劃與建置 規劃與建置 規劃與建置 規劃與建置
ISO27001 認證認證認證認證導入導入導入導入
CMMI 模式模式模式模式 能力能力
能力能力度評量度評量度評量度評量
資訊安全 資訊安全資訊安全 資訊安全系統系統系統系統
能力 能力能力
能力度展現度展現度展現 度展現 與未來方 與未來方與未來方
與未來方向參考向參考向參考向參考