第三章、 資訊安全管理系統計畫作業研究
3.1 資訊技術安全保證框架
為因應數位世界安全的要求,世界經濟與發展合作組織(OECD)自 2001 年 9 月 11 日起,由資訊安全及隱私工作委員會(Working Party on Information Security and Privacy,簡稱 WPISP)之工作小組(Working Group) 的專家群們經過 4 次 6 天 的討論後提出草案,再由 WPISP 經過 3 次 6 天的討論送交 OECD 大會(Council) 審議,於 2002 年 7 月 25 日公佈「資訊系統與網路安全指導綱要-朝向安全的文 化(Guidelines for the Security of Information Systems and Networks:Towards a Culture of Security)」;同時宣佈此指導綱要取代 1992 年 11 月 26 日公佈之「資訊 系統安全指導綱要(Guidelines for Security of Information Systems)」。根基於此,
英國標準協會(BSi)在 2002 年 9 月 5 日修訂公佈 BS7799-2:2002 版,並在其前 言中明述遵照 OECD 之原則訂定在規劃(Plan)、執行(Do)、檢查(Check)、行動 (Act)(Plan-Do-Check-Act,簡稱 P-D-C-A)模式建置資訊安全管理系統(Information security management systems-Specification with guidance for use)之規範,經濟部 標準檢驗局亦據以制定 CNS 17800 國家標準:資訊技術-資訊安全管理系統規 範。
綜覽 10 年來 OECD 對數位社會安全機制的觀點除了在標題中增列網路安全 之重要性外,同時將典範轉移至因應、風險管理以及安全設計與實作等如表 3.1 所示;換言之,資訊技術安全保證(Assurance)應為建置資訊安全管理系統的核心 工作 [65]。
表 3.1:OECD 資訊系統安全指導綱要原則比較[58,60] 構支援下,從 ISO 第 97 技術委員會(Technical Committee,簡稱 ISO/TC97)原無 國家機構願意負責之資料加密(Data Encryption)工作小組 1 獨立之次級委員會 (Sub-Committee,簡稱 SC),成為 ISO/TC97/SC20 名稱為資料密碼學技術(Data Cryptographic Techniques),正式展開資訊安全技術國際標準之製訂工作。1989 年,由 ISO 及國際電子技術委員會(the International Electrotechnical Commission,
簡稱 IEC)在 1986 年開始合作,1987 年成立之第 1 聯合技術委員會(Joint Technical Committee,簡稱 JTC1),於 1989 年根基於共同及一般之安全測量標準化已取代 僅為密碼學之特殊標準,JTC1 重組 SC20 次級委員會,成立如圖 3.1 所示之資訊 技術(Information Technology,簡稱 IT)安全技術(Security Techniques)SC27 次級委 員會。ISO/JTC1/SC27 於 1996 年 10 月起開始研訂「資訊技術安全保證框架(A Framework for Information Technology Security Assurance)」國際標準 ISO/IEC 15443(共分 3 部),其工作文件(Working Document)在 2002 年 3 月起分別交付會 員國投票中[46]。根據 ISO/IEC 已交付投票之標準草案,資訊技術安全保證框架
及其建議之標準部分已被接受[35,41]且使用於建置國家級通資訊基礎建設規範 中[53]。
圖 3.1:ISO/IEC JTC1/SC27 組織架構
根基於此,我們將資訊技術安全保證框架國際標準 ISO/IEC 15443 發展的狀 況於表 3.2 中陳述,且在表 3.3 中將資訊技術安全保證框架的內容做一說明,配 合國際標準 ISO/IEC 15433 已公布的技術報告建議書草案(Proposed Draft Technical Report,簡稱 PDTR)之簡介,可以整理成如表 3.4 所示之產品、過程 及環境(在此本論文將資訊技術安全保證方法區分為資訊安全工程、資訊安全管 理與資訊安全稽核等三個部份)宜具備之知識(Knowledge)與技能(Skills)的 說明;而表 3.5 是表 3.4 的比較分析說明[18,19]。
ISO/IEC JTC 1/SC 27 Information
technology-Security techniques
Working Group 1 Requirements, Security services,
Guidelines
Working Group 2 Security techniques
and mechanisms
Working Group 3 Security evaluation
criteria
Cryptographic 、 Non-cryptographic and Information Security
Management System
Security Management Security Assurance
表 3.2:資訊技術安全保證框架國際標準(ISO/IEC TR 15443)簡介 1. 資料來源: ISO/IEC JTC1/SC27(Krystyna Passia)。
2. 1996 年 10 月 29 日~30 日 ISO/IEC JTC1/SC27 批准發展資訊技術安全保證框 架國際標準的計畫。
3. 資訊技術安全保證框架國際標準目前狀況:
3.1 Information Technology─ Security Techniques ─ A Framework for IT Security Assurance:ISO/IEC TR 15443 目前之結構分成:
‧ Part1:Overview and Framework (ISO/IEC TR 15443-1)。
‧ Part2:Assurance Methods (ISO/IEC TR 15443-2)。
‧ Part3:Analysis of Assurance Methods (ISO/IEC TR 15443-3)。
3.2 ISO/IEC 15443 製定狀況:
‧ Part1:DTR(Draft Technical Report)於 2003 年 6 月 11 日公布,即將 公布為國際標準。
‧ Part2:DTR(Draft Technical Report)於 2004 年 2 月 6 日公布,2004 年 5 月 26 日截止投票。
‧ Part3:尚為工作草案 (Working Draft),現為 4th WD:2004 年 4 月 21 日。
表 3.3:資訊技術安全保證框架內容說明 1. 資料來源:ISO/IEC WD 15443: 2004(E)。
2. 保證方法(Approach):
2.1 產品(系統與服務)(例:ISO/IEC 15408)。
2.2 作業(Process)(例:System Security Engineering Capability Maturity Model,簡稱 SSE-CMM)。
2.3 環境(Environment)(人員與組織(Personnel and Organization)) (例:組織部份為 ISO 9000、資訊技術實施部份則為 ISO/IEC 17799)。
3.保證階段(Phase):
3.1 設計與實作(Design and Implementation) (例:ISO/IEC 14598)。
3.2 整合與查證(Integration/Verification) (例: 滲透測試(Penetration Testing,
簡稱 PT)。
3.3 複製(Replication) (例:ISO/IEC 9000)。
3.4 轉換(Transition) (例:SSE-CMM)。
3.5 實施(Operation) (例:ISO/IEC TR 13335)。
表 3.4:資訊技術保證框架相關標準應用範疇
ISO/IEC 15288 ISO/IEC 15408
ISO/IEC 15288
ISO/IEC 21827
ISO/IEC TR 15504
ISO/IEC 21827
ISO/IEC TR 13335 ISO/IEC TR 15504
ISO/IEC 21827
ISO/IEC TR 13335 ISO/IEC TR 15504
ISO/IEC 21827
ISO/IEC TR 13335 ISO/IEC TR 15504
ISO/IEC 17799
表 3.5:資訊安全保證相關標準比較
標準 目的 方法 範疇
ISO/IEC TR13335 改善資訊技術安全 管理的規範
用來達到與維護資 訊與服務適當安全 等級之方法的指引
安全管理組織
ISO/IEC 14598
軟體技術評估的規
ISO/IEC 15288
軟體生命週期的規
ISO/IEC 15408
資訊技術安全評估
ISO/IEC TR15504
軟體程序的改善與 評鑑
軟體程序的改善模
式與評鑑方法 軟體工程組織 ISO/IEC 17799
改善資訊安全管理 (ISO/IEC 21827)
定義、改善和評定