英國現行的安全認證

英國和美國同樣相當重視安全認證，不過在用詞上略有不同，比方說 美 國 在 詞 彙 上 使 用 了 security clearance ， 但 是 英 國 則 是 使 用 security vetting。但是即使使用詞彙不同，在目的以及作法上大致還是相同的。

壹、 現行執行安全認證的機構

目前在英國 執行安 全認證的主 要機構 乃是英國的 「國防 調查局」

（Defense Vetting Agency, DVA），這個機構每年負責 14 萬件左右的查核與 認證，也可以說是英國政府目前最大的政府安全認證機構。

目前英國國防調查局主要針對那些在各軍種單位及國防部擔任文職 的人員、以及在某些特定政府部門、或者是國防工業任職的人員進行安全 認證。該部門負責確認這些人適不適任，確認後並給予認證，使受認證人 員得以接觸政府的各項設施、有價資產或者是敏感性的資料。

貳、 資料的保密分級

與其他國家不同的是，在英國對於機密文件的資要保密並沒有等級的 分類。根據英國公務機密法的規定，所謂的「機密或情報」，泛指所有或 任何部份機密或情報單位本身之工作；或支援該單位之工作；而所指有關 機密及情報之資訊，包括該類機構或支援該機構之人士所留置或傳送所有 或部份之資訊。換言之，就英國對機密保護之特色而論，英國所採用的標 準係以一般性、涵蓋面較廣的方式來函蓋所有應受保護的機密資料，而不 採用等級之區分。

參、 人員的安全認證

在英國國內，所謂的人員安全認證（或稱人員查核）指的是清查執行 某些特殊任務或者那些在工作職務上有需要獲得安全認證的人員，這些任 務或工作橫跨國防部以及各軍種單位。當然，那些在企業中服務，但是其

工作範圍與國防密切相關的人士也必須獲得安全認證。此外，政府某些特 定部門也會委託安全認證單位來進行調查任務。

簡單來說，執行人員安全認證的主要目的在於確保受查核人員在得到 認證許可之後，可以接觸機密資料而不致發生濫用資料並導致機密外洩的 情況。不過即使如此，查核過程還是無法百分之百保證這些受查核人員的 可靠性，這是因為進行人員查核後所得的簡要結果只有在調查的當時可以 算是正確的，在那之後，人員的可靠性就有賴安全認證人員不斷的監督和 判斷，並持續評估與認證。

安全認證程序有時候確實可以看出一個人個性上的缺陷，也可以讓政 府部門了解哪些人在某些特定環境下可能或有安全上的顧慮。這些人當 中，有些可能因此無法獲得工作，另外一些人則將被持續的監督或者被轉 調到從事比較不敏感的工作職位上。簡單地說，安全認證查核目的就是希 望那些背景有問題、或者人格有缺陷的人自動打消申請從事與國防相關工 作的念頭。

至於安全認證的查核項目則包括以下：

一、 反恐調查（Counter-Terrorist Check, CTC）－通過這項調查的人 士將可獲得接近那些可能遭受恐怖主義攻擊的政府建物或政府 機構，但不包括那些受保護的機密文件。

二、 安全調查（Security Check, SC）－這項調查是最常進行的一項 調查。那些從事長期性工作，或者經常可以無限制接觸機密，

抑或有可能接觸最高機密檔案或資料的人必須通過這項調查。

一般來說，這項調查每十年重複進行一次。而如果是約聘人員 則每五年必須重新調查一次。

三、 進階調查（Developed Vetting）－從事那些最敏感任務或工作的 人，包括可以無限制接觸最高機密資料的專任人員必須通過這 項更高階的查核。進階調查乃是定期性的執行。

四、 基本調查（Basic Check, BC）－DVA 也會執行一些少量的基本 調查，以確保人員與身份資料的吻合。不過一般來說，各機關

單位的人事部門或者與國防相關的企業會自行進行這些查核。

這項調查乃是上述三項查核程序的最基本前提。

除了執行並檢視認證之外，DVA 有時也會做負責跟進的工作，一旦對 人員安全認證情形有疑問可以隨時在認證過程中、或者在認證結束後提 出。這種事後的調查工作又通稱為「事後輔導」（Aftercare），此種工作跟 其他階層的安全認證也或多或少有一些關聯性存在。

肆、 資訊的安全認證

資訊安全（Information security）乃是為了確保資訊之閱聽、改變、傳 播和其他使用情形均在獲得授權的情況下進行。資訊安全一旦遭到破壞，

被竊取的資訊可能會用來施行詐欺、非法的個人資料調查、商業間諜行為 或恐怖活動等。因此，資訊安全是保障國家安全極為重要的一環。

在一般的觀念中，都認為保障資訊安全需要昂貴的設備與高超的技 術。然而，保障資訊安全最重要的支柱卻是在於建立一套有效的管理辦 法，以及使用者的安全概念。為了與政府單位和作，各機關法人團體應該 嘗試建立一套實際與有效的政策與標準，同時負責執行資訊安全政策的人 員必須有充分資訊、訓練紮實，並具備適當的警覺性。

就英國現行規範資訊安全的標準而論，其內容共有六大項，簡介如下：

一、 英國標準局7799 號規定（British Standards Institution BS7799）

BS 7799 是有關資訊安全規定中最重要，也最為人所熟知的一項。

BS7799 經過貿易與工業部（DTI）的發展、以及各公私機關的施行之後，

已 經 演 化 成 兩 個 版 本 ：BS7799 和 ISO17799 （ International Standards Organisation）。這兩項標準中的規定涵蓋絕大部分有關資訊系統的使用情 形 。BS7799 分 為 兩 大 部 ， 第 一 部 係 指 導 原 則 ， 亦 即 前 面 所 提 及 之 ISO17799，第二部為施行細節。

二、 BSI 資訊科技安全基本規則（BSI IT Security Baselines）

BSI 本為德國負責制訂資訊科技安全的機構，全名為 Bundesamt fur

Sicherheit in der Informationstechnik，之所以會出現在規範當中主要是由於 由於英國乃是歐盟的一員，因此德國所制定的規範也為英國政府所採納。

本規則的目的在於迅速處理一般安全問題、提高IT 系統的安全性，以及簡 化IT 安全政策的制訂過程。這是一項超過 1600 頁的詳盡指南，內容極為 豐富專業。

三、 資訊科技管理項目（The Control Objectives for IT, COBIT）

本 規 則 係 由 內 部 專 業 審 查 代 表 （ Internal Audit Professional Representative body, ISACA）彙編而成，其目的在於建立一套規範架構，

適用於大型法人的IT 安全管理項目和相關的支援工具等。其中包含管理指 南、管理項目和其他補充文件等。

四、 資訊系統安全通則（The Generally Accepted System Security Principles, GASSP）

GASSP 是為了配合美國政府的電腦安全標準而制訂。其所根據的參考 資料包括經濟合作發展組織（OECD）的相關規定和前述的 BS7799 等。

五、 資訊科技管理指南（Guidelines for the management of IT Security, GMITS）

GMITS 又稱為 ISO/IEC TR 13335 1-4, 這是一套資訊安全管理的詳盡 指南，主要是為專業安全人員所編定。其中包含一系列有關管理概念、管 理與計畫、技術。

六、 資訊科技基礎建設文庫 （Information Technology Infrastructure Library, ITIL）

ITIL 係由中央電腦與通訊局 （Central Computer & Telecommunications Agency, CCTA）彙編推廣而成。這一套文件資料庫提供 IT 基礎建設的管 理基礎與安全管理方式。

在上述所有資訊安全的規定中，最重要，也最具代表性的是BS7799。

BS7799 係一套最具影響力、也是廣被全球承認的資訊安全管理標準。其

目 的 在 於 建 立 一 套 有 效 的 資 訊 安 全 管 理 系 統 （ Information Security Management System, ISMS）。BS7799 內容共分為有兩大部分，第一部為指 導原則和相關解釋，第二部為一套模型，教導其他機關法人單位如何建 立、管理ISMS。BS7799 不但可增加法人的工作效率，更可減少操作時的 風險、確保資訊安全。

英國的資訊與通訊安全認證即為BS7799 認證，獲得 BS7799 認證的機 關法人單位法人，即代表其資訊安全系統符合國家標準。也唯有獲得 BS7799 認證的法人才能承攬英國政府的業務。不過由於第 BS7799 二部分 為不公開之機密資訊，故僅能就第一部份進行討論。以下將逐一簡介之：

一、 安全政策（如何獲得BS7799 認證）

（一） 認證單位：英國認證局（UK Accreditation Service, UKAS）。

（二） BS7799 認證程序與需求：

專業審查員將會對申請認證的法人進行完整的調查，確認該法 人之資訊安全系統是否有效且適當運作。審查項目包括：

1. 完整性：該法人的資訊安全系統是否符合 BS7799 之所有 規定；

2. 適用性：BS7799 的規定是否適用於該法人；

3. 執行狀況：該法人的資訊安全系統是否有完善的管理。申 請認證的法人應繳交執行報告（Statement of Applicability, SOA），其中列明 BS7799 第二部之所有需求，以及該法 人執行BS7799 第二部之措施、矯正錯誤的方式。

一旦通過審查，該法人即可獲得BS7799 認證。官方認證單位 每六個月會再進行複查，以確保該法人確實遵守相關規定。

獲得認證之後，還必須遵守下列規定，才能保持認證的資格：

1. 定期對資訊安全系統進行內部檢查：檢查項目包括負責人 員是否持續監管該系統、也要提供紀錄以茲證明。此項檢 查通常有一套標準的檢查表，執行檢查的人員為該法人內

部人員。一旦在檢查過程中發現任何違反安全規定的情 形，執行人員必須呈交報告。此項規定的目的在於要求法 人具備迅速處理問題的能力。

2. 更新資訊安全系統之執行報告（SOA）：SOA 應該反映出 系統的最新狀況，因此必須每日更新。

二、 組織安全

內容為如何建構組織資訊安全管理方式。包括：

（一） 法人如何管理資訊安全；

（二） 相關人員、組織之責任。負責資訊安全的最高層級應為該法 人之董事會或同等管理階層。安全規範必須適用於所有員

（二） 相關人員、組織之責任。負責資訊安全的最高層級應為該法 人之董事會或同等管理階層。安全規範必須適用於所有員