資訊安全管理作業要點－CNS 17799（ISO/IEC 17799）

國際間建立數位社會資訊安全管理認證的工作，可以上溯至 1988 年 11 月，針對 資訊安全專業人員應有的基本知識（Common Body of Knowledge，簡稱CBK）專門認 證機構：國際資訊系統安全授證公會（International Information Sys tem Security Certification Consortium，簡稱(ISC)²）在英國的索爾斯伯利（Selisbury）正式成立。除 了資訊安全專業人員的授證外，資訊系統安全管理規範的國際標準制定工作也在持續推 動之中，表 2.7 是其發展簡史，表 2.8 是其增修後正式提交ISO 審議之內容概述。

2005 年 6 月 15 日公布之 ISO/IEC 17799:2005(E)對資訊安全之定義已修正如表 2.9 所示，除於層次之擴充外並擴及歸屬於相依性(Dependability)中的可靠性(Reliability)，

其對資訊安全風險評鑑等作業過程產生深遠之影響。在每一個控制措施的陳述結構更分 成表 2.10 之「控制」、「實作指引」與「其他資訊」三部分。原 2000 年 12 月 11 日公布 之 ISO/IEC 17799:2000(E)的組織安全、人力資源與通信及作業管理三類資訊安全管理 控制措施均有相當幅度之修正，在資產管理、存取控制、系統開發及維護等類的控制措 施亦有增刪，同時增加「資訊安全事故管理(Information Security Incident Management)」

類之控制措施，成為 11 類 133 項控制措施的資訊安全管理作業標準【16】。我國有關於 資訊安全的標準大部份皆依 ISO 相關標準為制定之依據，2005 年 6 月經濟部標準檢驗 局根基於 ISO/IEC 17799:2005(E)年版起草修訂中華民國國家標準 CNS 17799。

▼表 2.7：資訊安全管理認證簡史

1. 1990 年：世界經濟合作開發組織（Organization for Economic Cooperation and Development，簡稱 OECD）轄下之資訊、電腦與通訊政策組織開始草擬「資訊系 統安全指導方針」。

2. 1992 年：OECD 於 1992 年 11 月 26 日正式通過「資訊系統安全指導方針」。

3. 1993 年：英國工業與貿易部頒布：「資訊安全管理實務準則」。

4. 1995 年：英國訂定國家標準 BS7799 第一部分：「資訊安全管理實務準則」，並提 交國際標準組織（International Organization for Standardization，簡稱 ISO）成為 ISO DIS14980。

5. 1996 年：BS7799 第一部分提交國際標準組織（ISO）審議之結果，於 1996 年 2 月 24 日結束 6 個月的審議後，沒有通過成為 ISO 標準之要求。

6. 1997 年：

OECD 於 1997 年 3 月 27 日公佈密碼模組指導原則。

英國正式開始推動資訊安全管理認證先導計畫。

7. 1998 年：

英國公佈 BS7799 第二部分：「資訊安全管理規範」並為資訊安全管理系統認 證之依據。

歐盟於 1995 年 10 月公佈之「個人資料保護指令，自 1998 年 10 月 25 日 起正式生效，要求以「適當標準（Adequacy Standard）」保護個人資料。

8. 1999 年：增修後之 BS7799 再度提交 ISO 審議。

9. 2000 年：增修後之 BS7799 第一部分於 2000 年 12 月 1 日通過 ISO 審議，成 為 ISO/IEC17799 國際標準；第二部分未通過審議，將根基於公司治理（Corporate Governance）等原則修正。

10. 2001 年：

2001 年 9 月 OECD 在東京的會議中要求在 ISO/IEC17799 之基礎標準外，

應針對個別產業及特性建立適用之資訊安全管理標準。ISO/IEC JTC1/SC27 WG1 於同年著手修訂 ISO/IEC 17799:2000(E)。

英國於 2001 年 11 月公佈 BS7799-2：2002 草案（Draft），並公開徵求意見，

請各個使用者團體在 2002 年 3 月 31 日以前發表看法後，綜理歸納預定於 2002 年 6 月公佈增修後之 BS7799-2 第二部分。

11. 2002 年：

2002 年 7 月 25 日，OECD 公佈「資訊系統與網路安全指導綱要：朝向安全 的文化」，並取代 1992 年 11 月 26 日通過之版本。

2002 年 9 月 5 日，BS7799-2：2002 年版遵照 OECD 同年 7 月 25 日頒 布之「資訊系統與網路指導綱要－ 朝向安全的文化」中的原則修正後正式發 行。

2002 年 12 月 5 日，我國經濟部標準檢驗局分別根基於 ISO/IEC 17799 與 BS7799-2：2002 年版公佈中華民國國家標準 CNS 17799 及 CNS 17800。

12. 2003 年：資訊安全管理認證正式成為 ISO17799 國際標準。

13. 2005 年：

2005 年 6 月 15 日，OECD 公布 ISO/IEC 17799:2005(E)，我國經濟部標準檢 驗局亦根基於 ISO/IEC 17799:2005(E)年版起草修訂中華民國國家標準 CNS 17799。

註：目前除英國之外，已有荷蘭、丹麥、挪威、瑞典、波蘭、捷克、德國、瑞士、愛爾 蘭、冰島、加拿大、巴西、澳洲、紐西蘭、日本、南韓、新加坡、馬來西亞、印度、

阿拉伯聯合大公國、南非等國家同意使用 BS7799。

▼表 2.8：BS7799-1(ISO/IEC 17799)內容增修概述 內容 1999 年增修部分 一 安全政策 強化評估鑑核章節

二 安全組織 1.強化第三者存取控管事項 2.增加委外安全管理章節 三 資產分類與控制 增加安全標號管理章節 四 人員安全 增加重大事故學習章節

五 實體與環境安全 加強辦公室與員工安全的注意事項，同時減少強調專用 電腦房的應注意事項

六 電腦與網路管理

1.詳細規範開放系統安全事項 2.增加公眾可用系統安全章節 3.改名為通訊與操作管理 七 系統存取控制 1.強化系統監控事項

2.增加可攜式資訊使用安全章節 八 系統開發與維護 1.增加密碼技術控管章節

2.增加可信賴資訊系統章節

九 業務持繼運作規劃 詳細規範安全衝擊分析與計畫撰寫方式 十 遵行

1.強化法規事項

2.增加事件蒐集方式章節 3.增加密碼控管法規章節 資料來源：Parkin, R. (1999) BS 7799，in Web Sec'99

▼表 2.9：ISO/IEC 17799:2005(E)之資訊安全用語釋義

1. 資訊安全(Information security)：保護資訊之機密性、完整性與可用性；得增加諸如 鑑別性、可歸責性、不可否認性與可靠性。

2. 機密性(Confidentiality)：資料不得被未經授權之個人、實體或程序所取得或揭露的 特性。

3. 完整性(Integrity)：對資產之精確與完整安全保證的特性。

3.1 可歸責性(Accountability)：

確保實體之行為可唯一追溯到該實體的特性。

3.2 鑑別性(Authenticity)：

確保一主體或資源之識別就是其所聲明者的特性。

鑑別適用於如使用者、程序、系統與資訊等實體。

3.3 不可否認性(Non-repudiation)：

對一已發生之行動或事件的證明，使該行動或事件往後不能被否認的能力。

4. 可用性(Availability)：已授權實體在需要時可存取與使用之特性。

5. 可靠性(Reliability)：使終如一預期之行為與結果的特性。

6. 資料來源：

6.1 ISO, (2005), Information technology – Security techniques - Code of practice for information security management, ISO/IEC FDIS 17799:2005-02-11, 2.6 節, 頁 1, ISO。

6.2 ISO, (2004), Information technology - Security techniques – Management of information and communications technology security – Part 1: Concepts and models for information and communications technology security management, ISO/IEC 13335-1:2004, ISO。

6.3 Avizienis, A. et al., (2004), Basic Concepts and Taxonomy of Dependable and Secure Computing, IEEE Transactions on Dependable and Secure Computing, Vol.1, No.1, pp.11~33, IEEE.

▼表 2.10：ISO/IEC 17799:2005(E)主要安全分類之脈絡 1. 每個主要安全類別包括：

1.1 一個陳述何種目標要被達成的控制措施目標，

1.2 一個或多個可用以達成該控制目標的控制措施。

2. 控制措施結構如下：

2.1 控制(Control)：定義明確的控制陳述以符合該控制目標。

2.2 實作指引(Implementation guidance)：提供更多詳細的資訊以支援該控制的實 作，並符合該控制目標。有些指引可能不適用於所有的案例，因此使用其他方 法的實作可能更合適。

2.3 其他資訊(Other information)：提供可能須被考量的進一步資訊，例如：法律上 的考量及其他標準的參考。