資訊安全管理系統稽核教育與訓練

在英國之已驗證稽核員登錄國際組織（IRCA）公布之 ISMS 主導稽核員訓 練課程驗證規範中[38]，分為知識（Knowledge）與技能（Skills）2 類訂定不同 之賦能目標（Enabling Objectives），表 4.3 是其最少上課 5 天每天 8 小時的訓練 標的之示意說明；在第 2 天的賦能目標中明定必須將 ISO/IEC TR 13335-3 資訊技 術（IT）－管理 IT 安全之指導綱要（Guidelines for the management of IT Security ）

（註：ISO/IEC TR13335 之簡稱為 GMITS）中之第 3 部分：管理資訊技術（IT）

安全的技術（Techniques for the Management of IT Security）與第 4 部分選擇保護 措施（Selection of Safeguards）納入。

整理我國現行採行的英國認證服務（United Kingdom Accreditation Service，

簡稱 UKAS）規範與 IRCA 對 ISMS 第三者稽核／主導稽核員訓練課程之主要差 異如表 5.7 所示，其中 ISO 19011 是新版稽核品質系統之指導綱要[39]；表 5.8 是 IRCA 公布之 ISMS 第三者稽核訓練課程內容引用之標準與學員持續評鑑紀 綠，表 5.9 是其測驗之要求示意。台灣地區自 2000 年 9 月 25~29 日起開始，至 2003 年 5 月所舉辦的資訊安全管理系統主導稽核員訓練課程均遵循表 5.7 中 UKAS 之要求，唯無論是在課程內容還是上課時間各方面與 IRCA 公布之規範均 有明顯的落差。由於 GMITS 是資訊技術安全風險管理中著名之國際標準，資訊 安全風險管理是 BS 7799-2:2002 的基石，IRCA 之要求宜做為我國 ISMS 第三者 稽核訓練課程規範的參考藍本之一；於涉及資訊基礎建設時，如執行如表 2.13 中之分級 3 以上的 ISMS，表 4.7 中提及的 ISMS 稽核訓練課程將可作為據以討 論之芻議。

表 5.7：UKAS 與 IRCA 對 ISMS 第三者稽核訓練課程主要差異

UKAS（目前） IRCA

授課內容應包含 之標準與法規

1.BS7799-2:2002(CNS 17800) 2.ISO/IEC17799(CNS 17799) 3.ISO19011

4.EA7/03

5.資訊安全相關法規（電腦處理 個人資料保護法、智慧財產 權法、電子簽章法等）

1. ISO/IEC TR 13335 (all parts) 2. ISO/IEC 21827

3. ISO/IEC 17799 (CNS 17799) 4. BS 7799-2：2002 (CNS 17800) 5. ISO 19011

6. ISO/IEC 15408 (all parts) 7. ISO/IEC TR 15504 (all parts) 8. ISO 13491 (all parts)

/主導稽核員（Lead Auditor）訓練課程驗證準則（IRCA/2106）」整理而得。

5.USKS 之全名為「英國認證服務（United Kingdom Accreditation Service）」，

IRCA 之全名為「已驗證稽核員登錄國際組織（International Register of Certificated Auditors，簡稱 IRCA）」。

表 5.8：IRCA BS7799-2:2002 稽核員／主導稽核員訓練課程學員持續評鑑紀錄

說明：

1. IRCA: International Register of Certificated Auditors。

2. IRCA/2016: Certification Security Management Systems。

3. IRCA/2000:Requirements of Training Organization Approval。

表 5.9：IRCA BS7799-2:2002 稽核／主導稽核員訓練課程測驗配分與時間 1. 單選題：15 題，每題 1 分。

2. 簡答題：5 題，每題 5 分。

3. 申論題：3 題，每題 10 分。

4. 不符合報告（Non-Conformity Report，簡稱 NCR）：1 題，至少包含 3 個情境，

每題 30 分。

5. 測驗時間最多不得超過 2 小時，70 分（含）以上及格。

資訊安全管理系統（ISMS）第三者稽核之訓練課程未通過 IRCA 之驗證，

上完課且考試及格之稽核員無法至 IRCA 登錄[39]，經其稽核過之 ISMS 的驗證 合格證書在國際上自然不被認同；在國家資通安全會報的要求下，政府機關即將 開始 ISMS 之驗證，如何規範 ISMS 資訊安全管理系統第三者稽核之訓練課程及 其登錄機制已是必須面對之國際接軌的問題[12]。在另一方面，除了 ISMS 第三 者稽核外，ISMS 第一者與第二者稽核之訓練課程亦宜早做規範，謹慎區分期待 性思考（Wishful Thinking）與事實判斷之差異，方不致重蹈 ISO9000 品質管理 驗證在我國推動之初時，「稽核報告不實，人員素質不佳」與 ISO14000 環境管 理驗證啟動時，「知易行難」等傳言覆轍。根基於此，在圖 4.15 所示資訊系統 安全驗證機制運作中，稽核工作宜具備之知識與技能的議題，在論文的第四章已 提出如表 4.7 所示之 ISMS 稽核訓練課程芻議做為討論的基礎。

資訊安全稽核的工作環境與其所需扮演角色之多樣化，再加上全球性的資訊 安全人才缺乏問題[63]，使得資訊安全稽核工作者在學校主修的學域幾乎無所不 有，因之使資訊安全稽核工作專業訓練與人力資源規劃的複雜性更為突顯。資訊 安全稽核工作生涯階段及其常扮演的工作角色如表 5.10 所示[16]；一般而言，在

ISMS 系統製作、訓練者與商議者的角色上需要具備資訊安全技術與管理、組織

同僚(Colleague) 指揮與咨議者 (Mentor)

表 5.11：美國 NIACAP 驗證稽核一般性能量(Capabilities)要求 1. 行政管理安全 (Administrative security)。

2. 人員安全 (Personnel security)。

3. 通訊安全 (Communication security)。

4. 網路安全 (Network security)。

5. 伺服器安全 (Server security)。

6. 終端機/工作站安全 (Client/Workstation security)。

7. 資料庫安全 (Database security)。

8. 資訊安全 (INFOSEC)。

9. 應用安全 (Application security)。

10. 密碼學之金鑰管理 (Cryptographic key management)。

11. 作業安全 (OPSEC)。

12. 電磁洩露與防護 (TEMPEST)。

13. 商業背景 (Business background)。

14. 資訊科學背景 (Computer science background)。

15. 工程背景 (Engineering background)。

16. 稽核能量 (Audit Capabilities)。

表 5.12：北京郵電大學信息工程學院信息安全學士課程剖繪 1. 公共基礎課程：數學、物理、英語等。

2. 主要課程：離散數學、信號與系統、通信原理、軟體工程、編碼理論、信息 安全概論、信息論、數據結構、作業系統、微處理機原理與介面技術、通信網 理論基礎、計算機網路基礎、資訊系統工程、現代密碼學、網路安全、藏密學、

入侵偵測、電腦病毒及其防治等。

3. 專題：大型軟件設計等。

表 5.13：上海交通大學信息安全工程學院碩士課程剖繪 1. 網路安全技術導引 (2 學分)。

2. 通信安全保密技術 (2 學分)。

3. 密碼理論與實踐 (2 學分)。

4. 公開金鑰基礎建設及其應用 (2 學分)。

5. 量子密碼理論 (2 學分)。

6. 電腦病毒 (2 學分)。

7. 高級計算機網路 (3 學分)。

8. 嵌入式系統原理與應用 (2 學分)。

9. 信息安全的數學基礎 (3 學分)。

10. 資料庫理論 (3 學分)。

11. 影像通訊 (3 學分)。

12. 分散式操作系統 (2 學分)。

表 5.14 ： 海 峽 對 岸 註 冊 信 息 安 全 專 業 人 員 (Certified Information Security Professional ， 簡 稱 CISP) 中 之 註 冊 信 息 安 全 審 核 員 (Certified Information Security Auditor，簡稱 CISA)考試內容

1. 培訓基本能力要求：

1.1 了解水平：培養對安全信息系統的威脅和脆弱性的敏感性，識別需要保護 的數據、信息及其相應的保護方法，學習掌握有關信息系統安全的法則和 條例的知識庫。

1.2 應用水平：培養有能力對信息安全過程進行設計、執行或者評估的人員，

以保證他們在執行任務的時候，可以完整地應用安全概念。

2. 安全體系與模型：

2.1 多級安全模型：

2.1.1 引言

2.1.2 Bell-LaPadula 模型 2.1.3 Clark-Wilson 2.1.4 Biba 模型 2.2 多邊安全模型：

2.2.1 引言

2.2.3 Chinese Wall 模型 2.2.4 BMA 模型

2.3 安全體系結構：

2.3.1 OSI 參考模型

2.3.2 開放系統互連安全體系結構 2.4 Internet 安全體系架構：

2.4.1 ISO 安全體系到 TCP/IP 映射 2.4.2 IPSec 協議

2.4.3 IPSec 安全體系結構 2.4.4 安全協議

2.4.5 IKE 概述及 IPSec 的應用 2.5 信息安全技術測評認證：

2.5.1 IT 評估通用準則 2.5.2 IT 評估通用方法 2.5.3 信息安全國內外情況 3. 安全技術：

3.1 密碼技術及其應用：

3.1.1 加密基本概念 3.1.2 對稱加密算法 3.1.3 非對稱加密算法

3.1.4 鏈路層加密技術(L2TP) 3.1.5 網絡層加密技術(IPSEC) 3.1.6 VPN 虛擬專網

3.1.7 IKE 概述及 IPSec 的應用 3.1.8 SSL/TLS 與 SSH

3.1.9 PKI 3.2 訪問控制 3.3 標識和鑑別 3.4 審計及監控

3.4.1 安全審計 3.4.2 安全監控 3.4.3 入侵監測 3.4.4 實際應用 3.5 網絡安全

3.5.1 網絡基礎(網絡組建、管理與安全) 3.5.2 網絡安全

3.5.3 安全邊界及邊界間安全策略 3.5.4 網絡攻擊與對策

3.6 系統安全

3.6.1 操作系統安全 3.6.2 數據庫系統安全 3.7 應用安全

3.7.1 計算機病毒 3.7.2 Web 安全 3.7.3 安全編程 4. 工程過程

4.1 風險評估 4.1.1 安全威脅 4.1.2 安全風險 4.1.3 評估過程 4.2 安全策略

4.2.1 組織安全策略 4.2.2 系統安全策略 4.2.3 安全策略示例 4.3 安全工程

5. 安全管理

5.1 安全管理基本原則 5.2 安全組織保障

5.2.1 政府計算機網絡安全管理機構的職責 5.2.2 中國信息安全產品測評認證中心 5.2.3 國家計算機病毒應急處理中心

5.2.4 中國計算機網絡安全應急處理協調中心 5.2.5 企業信息安全管理機構職責和工作制度 5.3 物理安全

5.3.1 設施安全

5.3.2 物理安全技術控制 5.3.3 環境安全

5.3.4 電磁洩漏

5.4 運行管理

5.4.1 網絡設備採購 5.4.2 網絡管理平台選擇 5.4.3 網絡產品安全檢測 5.4.4 網絡配置管理 5.4.5 網絡安全管理 5.4.6 網絡故障分析管理 5.4.7 網絡性能管理 5.4.8 網絡計費管理

5.4.9 網絡訪問控制與路由選擇 5.4.10 網絡管理的協議

5.5 硬件安全管理 5.5.1 設備選型 5.5.2 安全檢測

5.5.3 設備購置與安裝 5.5.4 設備登記與使用 5.5.5 設備維護

5.5.6 設備保管 5.5.7 質量控制 5.6 軟件安全管理

5.6.1 概述

5.6.2 軟件的選型與購置 5.6.3 軟件安全檢測與驗收 5.6.4 軟件安全跟蹤與報告 5.6.5 軟件版本控制

5.6.6 軟件安全審查

5.6.7 軟件使用與維護制度 5.7 數據安全管理

5.7.1 數據安全的基本概念 5.7.2 安全管理目標

5.7.3 數據載體安全管理 5.7.4 數據密級標籤管理 5.7.5 數據存儲實現管理 5.7.6 數據訪問控制管理

5.7.7 數據備份管理 5.7.8 數據完整性管理 5.7.9 數據可用性管理 5.7.10 不良信息監控管理 5.7.11 可疑信息跟蹤審計 5.8 人員安全管理

5.8.1 建立安全組織 5.8.2 安全職能獨立 5.8.3 人員安全審查 5.8.4 崗位安全考核 5.8.5 人員安全培訓 5.8.6 安全保密契約管理 5.8.7 離職人員安全管理 5.9 應用系統管理

5.9.1 系統自動安全審查管理 5.9.2 應用軟件監控管理 5.9.3 應用軟件版本安裝管理 5.9.4 應用軟件更改安裝管理 5.9.5 應用軟件備份管理 5.9.6 應用軟件維護安全管理 5.10 操作安全管理

5.10.1 操作權限管理 5.10.2 操作規範管理 5.10.3 操作責任管理 5.10.4 操作監控管理 5.10.5 讓操作恢復管理 5.11 技術文檔安全管理

5.11.1 文檔密級管理 5.11.2 文檔借閱管理 5.11.3 文檔登記和保管 5.11.4 文檔銷毀和監毀 5.11.5 電子文檔安全管理 5.11.6 技術文檔備份 5.12 災難恢復計畫

5.12.1 災難恢復的概念 5.12.2 災難恢復技術概述 5.12.3 災難恢復計畫 5.13 安全應急響應

5.13.1 安全應急響應的現狀

5.13.2 安全應急響應管理系統的建立 5.13.3 安全應急響應的過程

6. 信息安全標準 7. 法律法規

7.1 國家法律 7.2 行政法規

7.3 各部委有關規章及規範性文件

人才為 ISMS 稽核工作推動的根本，為奠定如圖 5.6 所示[44]的 ISMS 稽核工 作能力(Competence)之教育基礎，參照如表 5.12、表 5.13 與英國等相關教育與訓 練課程[2,29,33,69]，為培育 ISMS 稽核工作等之資訊安全專業人才，宜結合國內 相關資源，開設類似國外已逾 10 年的資訊安全教育課程[69]，在此提出如表 5.15 與表 5.16 所示之資訊安全碩士課程芻議[17]，做為討論上的參考。

教育 工作經驗 稽核訓練 稽核經驗

人格屬性 資訊安全技術

知識與技能

安全品質管理 知識與技能 共通性

知識與技能

圖 5.6：ISMS 稽核能力概念

表 5.15：資訊安全課程內容芻議 1. 資訊安全管理(Information Security Management)(必)。

2. 密碼學與安全機制(Introduction to Cryptography and Security Mechanisms)(必)。

3. 網路安全(Network Security)(必)。

4. 電腦安全(Computer Security)(必)。

5. 電子商務安全與其應用(Secure Electronic Commerce and other Application)(必)。

6. 安全評估準則(Security Evaluation Criteria)(必)。

7. 資料庫安全(Database Security)。

8. 高等密碼學(Advanced Cryptography)。

9. 程式安全(Secure Programming)。

10. 入侵偵測(Intrusion Detection)。

11. 電腦犯罪與鑑識(Computer Crime and Forensics)。

11. 電腦犯罪與鑑識(Computer Crime and Forensics)。

在文檔中 資訊安全管理系統驗證作業之研究 (頁 104-125)