資訊安全管理的指導原則

1996 年 12 月 15 日，國際標準組織（ISO）頒布之 ISO/IEC TR 13335：資訊 技術－管理資訊技術安全的指導原則（GMITS），係資訊安全管理系統相關之國 際標準中規劃之基石[6,28,38,43,72]。 2002 年 11 月，英國之已通過驗證稽核員 登錄國際組織（IRCA）公布之 ISMS 第三者稽核中之稽核員（Auditor）/主導稽 核員（Lead Auditor）訓練課程（含測驗）規範，明定 ISO/IEC TR 13335 是其知 識類（Knowledge）賦能目標（Enabling Objectives）之一[38]。有鑑於 ISO/IEC TR 13335 之目的在於提供建立 ISMS 的資訊技術指導原則，亦為如圖 3.2 與表 3.6 所示之 ISMS 實作過程中重要的參考規範，其與前章所述的 ISO/IEC 17799 標準 就九類資訊安全原則上作一比較[28]，其著重的方向有所不同，其差異性比較如 表 3.7 所示。

計畫

行動

檢查 執行

利害相 關團體

資訊安全 要求及期 望

建立ISMS

維持與改進 ISMS

監控與審查ISMS

開發、

維護及 改進循 環

利害相 關團體

管理式 資訊安 全 ISMS實施

與操作

圖 3.2：資訊安全管理系統之處理模式

表 3.6：資訊安全管理系統過程模式在計畫階段實作之示意說明

輸入 輸出

1. 資產 2. 威脅

2.1 威脅等級

2.2 威脅發生的可能性（頻率值）

3. 弱點 4. 脆弱性

5. 衝擊（資產價值）

6. 控制措施標準

1. 安全政策與安全目標之書面聲明 2. ISMS 範疇

3. 風險評鑑報告 4. 風險處理計畫

5. 資訊安全管理系統控制措施 6. 適用性聲明書

表 3.7：ISO/IEC TR 13335 及 ISO/IEC 17799 於資訊安全原則上的差異性比較 資訊安全原則

(Information Security Principles)

ISO/IEC TR 13335 ISO/IEC 17799

法規與合約之遵循 ∨ ∨

使用者的認知與教育 ∨ ∨

惡意程式之預防與偵測 ∨

營運持續規劃 ∨ ∨

系統發展與架構 ∨

風險管理 ∨

人員議題 ∨

委外管理 ∨

事件處理 ∨

管理資訊技術安全的指導原則自 1996 年 12 月 5 日公布第 1 部分起，至 2001 年 11 月 1 日公布第 5 部分方告一段落，其第 1 部分、第 2 部分、第 3 部分、第 4 部分及第 5 部分則分別介紹管理資訊技術安全之概念與模型（第 1 部分：

Concepts and models for IT Security）、資訊安全的管理與規劃（第 2 部分：Managing and planning IT Security）、資訊安全的管理技術（第 3 部分：Techniques for the management of IT Security）、安全防衛的選擇（第 4 部分：Selection of Safeguard）

以及對外部連結的安全防衛（第 5 部分：Safeguard for External Connections）等，

且分別於 1996 年、1997 年、1998 年、2000 年及 2001 年完成整個系列技術性報 告，以作為爾後各個企業組織制訂資訊安全管理程序之主要參考方針。在 ISMS 日益重要的 21 世紀，GMITS 第 1 部分提出之如圖 3.3 所示之安全元件的關係與 圖 3.4 所示之風險管理的關係，使企業組織內的高階管理決策者得以據此擬訂其 資訊安全的主要目標、戰略及相關方針，作為管理資訊技術安全之基石；其中圖 3.3 強調了現行企業組織內存在了許多重要的資訊資產，而一般是以資訊資產的 重要程度來分析風險，各類資產則存在著數種的脆弱性，但若威脅不存在便不需 要保護措施予以因應，是故為了保護資產、降低威脅的影響效果而選擇可行的對 策，若此時仍存在著某些殘餘風險是被企業組織所容許的，則採行的因應對策便 符合企業的需求。另 GMITS 第 2 部分提出如圖 3.5 所示之建立 ISMS 的框架，

依舊是管理 IT 安全企劃工作的藍圖，據以闡述其有關資訊安全之管理與規劃的 各個活動具體內容及組織內對應的職責；如表 3.8 等所示之 GMITS 第 3 部分附 錄 E 提出的風險分析方法，在 ISMS 風險評鑑實作中，目前仍是普遍使用之工具。

環 境

資訊安全風險管理

實作

組織的資訊安全政策

資訊安全概念

資訊安全風險分析策略的選項

基準法 簡式法 詳細的風險

分析 結合法

資訊安全建議

資訊系統安全政策

資訊安全計畫

追蹤

資訊安全保護措施 資訊安全認知

說明：ISO/IEC TR 13335-2:1997(E) 此圖中之資訊係指資訊技術（Information Technology，簡稱 IT）。

圖 3.5：資訊安全安全計畫和管理概要

表 3.8：資訊安全風險分析方法之一

威脅的等級 低 中 高

脆弱性的等級 低 中 高 低 中 高 低 中 高

0 0 1 2 1 2 3 2 3 4

1 1 2 3 2 3 4 3 4 5

2 2 3 4 3 4 5 4 5 6

3 3 4 5 4 5 6 5 6 7

資 產 價 值

4 4 5 6 5 6 7 6 7 8

2000 年 3 月 1 日公布之 GMITS 等第 4 部分探討如何選擇管理資訊技術安 全之保護措施及其選擇方法，同時提供：

1. 資訊技術－資訊安全管理之作業要點（CNS 17799/BS7799-1:1999）。 2. ETSI 基本安全標準特性與機制（法國）。

3. 資訊技術基準保護手冊（德國）。 4. NIST 電腦安全手冊（美國）。

5. 醫療資訊：醫療資訊系統的安全歸責與保護。

6. 銀行及相關金融服務業資訊安全指引（CNS14644/ISO TR 13569）。 7. 保護未在正式機密法規涵蓋之敏感資訊－電腦工作站的建議。

8. 加拿大資訊技術安全工作手冊（加拿大）。

備考：CNS17799（ISO/IEC 17799）[13] 是根據 BS7799-1:1999 修改，唯二者 幾無實質上之差異。

八種各國與業別之 ISMS 參考文件，表 3.9 是行政院「國家資通安全會報」

整合各部會專責單位共同執行「建立我國通資訊基礎建設安全機制計畫」要求遵 循 CNS 17800 [14] / BS7799-2:2002 附錄二中規範性控制目標與控制中識別與鑑 別項目之 CNS17799 與 GMITS 中其他標準於使用時的比較及示意。在另一方面，

如何選擇 ISMS 防護措施的方法 GMITS 亦提出了如圖 3.6 與圖 3.7 所示之決策樹 的選擇方案。

表 3.9：資訊技術之識別和鑑別（Identification & Authentication，簡稱 I&A）

簡單或進階

簡單的方法 的基準法 進階的方法

基本評估 鑑別資訊系統類型 鑑別實體/環境狀況 評估現有/規劃的防護措施

依照資訊安全問題和威脅選擇防護措施 評估安全問題

機密性資料防護措施 鑑別性的防護措施 可用性的防護措施 可歸責性的防護措施 基本方式:依照資訊技術系統類型

選擇防護措施 一般應用的防護措施 資訊技術系統特定防護措施

不可否認性的防護措施

圖 3.7：依照資訊系統類型或依照安全問題與威脅選擇防護措施