國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
50
3.3. 進行多面向整合工作
本章節從種種論點,進行多面向整合工作,包含運作模型部分、作業流程分析部分、
風險評鑑部分、主條文部分、控制領域部分、四階文件部分去進行整合。
3.3.1 運作模型部分
本研究試著運用新版 MSS 運作模型整合 ISMS 與 PIMS 之 PDCA 運作模型,將資 安暨個資管理系統規劃、建置與執行,以遵循「ISO27001 國際標準」及「個人資料保 護法」相關規範要求,並輔以 Plan(規劃)、Do(執行)、Check(檢查)、Action(行動)管理循 環模式(如圖 3-3),以企業組織中,所有個人資料蒐集、處理、儲存、使用、銷毀等作業 活動與資訊作業流程產生、使用、儲存、傳輸、銷毀作業活動控制點相結合,併同 ISMS 一同進行資訊資產清查時,將個資盤點納入項目之一,進入管理循環模式,評估作業活 動中,資訊資產與個人資料之控管風險,建立符合「ISO27001 國際標準」及「個人資 料保護法」相關規範之資安暨個資管理制度及文件體系。
圖 3-3:運用新版 MSS 整合 ISMS 與 PIMS 模型 資料來源:本研究自行整理
‧
‧
‧
表 3-3:個資法必要措施、個資法、ISO27001、BS10012 對映關係 安全(維護)
5.1 Leadership and
commitment 3.5
Responsibility and
accountability 5.3
Organizational roles, responsibilities and authorities
3.6 Provision of resources 7.1 Resources 4.1 Key
appointments A.6.1.
1
Information security roles and
responsibilities
4.1.
1
Senior management
4.1.
2
Day-to-day responsibility for compliance with the policy 4.1.
3
Data protection representatives
二、
Understanding the organization and its context
3.2
Scope and objectives of the PIMS
4.2
Understanding the needs and expectations of interested parties
3.3
Personal information management policy
4.3 Determining the scope 3.4 Policy content
‧
of the information security management system
5.2 Policy A.5.1.
1
Policies for
information security
三、 6.1.2 Information security
risk assessment 4.13 Security issues 6.1.3 Information security
risk treatment
4.13 .1
Security controls
6.2
Information security objectives and
planning to achieve them
8.1 Operational planning and control
8.2 Information security risk assessment 8.3 Information security
risk treatment ISO27005
Responsibilities and procedures
4.13 .6
Managing security incidents A.16.1
.2
Reporting information security events
A.16.1
.3
Reporting information security weaknesses A.16.1
.4
Assessment of and decision on
information security events
A.16.1 Response to
‧
.5 information security incidents
A.16.1 .6
Learning from
information security incidents
A.17.1 .1
Planning information security continuity A.17.1
.2
Implementing
information security continuity
A.17.1 .3
Verify, review and evaluate information security continuity
五、
1 Mobile device policy 4.7.
1
Collection and processing of personal information
A.6.2.
2 Teleworking 4.8
Processing personal
information for specified
purposes A.8.1.
1 Inventory of assets 4.8.
1
Grounds for processing A.8.1.
2 Ownership of assets 4.13 .2
Storage and handling A.8.1.
3
Acceptable use of assets
4.13
.3 Transmission A.8.2.
1
Classification of information
4.13
.4 Access controls A.8.2.
2
Labelling of information A.8.2.
3 Handling of assets
‧
Management of removable media A.8.3.
2 Disposal of media A.8.3.
3
Physical media transfer
A.9.2.
1
User registration and de-registration
A.9.2.
2
User access provisioning A.9.2.
3
Management of privileged access rights
A.9.2.
4
Management of secret authentication
information of users A.9.2.
5
Review of user access rights
A.9.2.
6
Removal or adjustment of access rights A.10.1
.1
Policy on the use of cryptographic
controls A.13.2
.1
Information transfer policies and
procedures A.13.2
.2
Agreements on
information transfer A.13.2
.3 Electronic messaging A.14.1
.2
Securing application services on public networks
A.14.1 Protecting
‧
.3 application services transactions
A.15.1 .1
Information security policy for supplier relationships
A.15.1 .2
Addressing security within supplier agreements A.15.1
.3
Information and communication technology supply chain
A.18.1 .1
Identification of applicable
legislation and contractual requirements
六、
Terms and conditions of employment
A.7.2.
1
Management
responsibilities A.7.2.
2
Information security awareness, education and training
A.7.2.
3 Disciplinary process A.7.3.
1
Termination or change of employment
responsibilities A.8.1.
4 Return of assets A.9.3. Use of secret
‧
1 authentication information A.11.1
.2
Physical entry controls
A.11.1 .5
Working in secure areas
A.12.2 .1
Controls against malware
A.12.3
.1 Information backup A.13.1
.3 Segregation in neworks A.13.2
.4
Confidentiality or non- disclosure agreements A.18.1
.3 Protection of records
七、
認知宣導及 教育訓練。
無
7.2 Competence 4.3 Training and awareness 7.3 Awareness
A.7.2.
2
Information security awareness, education and training
八、
Equipment siting and protection
無 A.11.2
.2 Supporting utilities A.11.2
.3 Cabling security A.11.2
.4 Equipment maintenance A.11.2
.5 Removal of assets A.11.2 Security of equipment
‧
off-premises A.11.2.7
Secure disposal or re-use of equipment A.11.2
.8
Unattended user equipment
A.11.2 .9
Clear desk and clear screen policy
A.12.1
.3 Capacity management A.12.1
.4
Separation of
development, testing and operational environments A.12.6
.1
Management of technical
vulnerabilities A.12.6
.2
Restrictions on
software installation A.13.1
.1 Network controls A.13.1
.3 Segregation in neworks
九、
資料安全稽 核機制。
無
9.1
Monitoring,
measurement, analysis and evaluation
無 A.12.7
.1
Information systems audit controls A.15.2
.1
Monitoring and review of supplier services 十、
必要之使用 紀錄、軌跡資 料及證據之
無
7.5.3 Control of documented information
A.12.4 無
.1 Event logging
‧
Protection of log information
A.12.4 .3
Administrator and operator logs A.12.4
.4 Clock synchronisation A.16.1
.7 Collection of evidence
十一、
個人資料安 全維護之整 體持續改善。
無
9.2 Internal audit 5.1 Internal audit 9.3 Management review 5.2 Management
review 10.1 Nonconformity and
corrective action 6.1
Preventive and corrective actions 10.2 Continual improvement 6.2 Continual
improvement A.5.1.
2
Review of the policies for information
security A.18.2
.1
Independent review of information security A.18.2
.2
Compliance with
security policies and standards
資料來源:本研究自行整理
3.3.5 控制領域部分
前章節以明確得知,ISO27001 涵蓋個資法對應條文,不足部分,在法規遵循性也 可涵蓋。本研究試著將 ISO 27001:2013 之 14 大控制領域擴大解釋,形成包含個資法之 控制領域(如圖 3-4),藉由此控制領域下之控制措施可以確保組織之資訊安全與個資安 全。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
61
圖 3-4:ISO 27001:2013 包含個資法控制領域 資料來源:本研究自行整理
3.3.6 四階文件部分
在前章節已明顯分析出,ISO27001 標準已涵蓋個資法中 11 項安全維護必要措施,
只要在最後 A.18 對法律及契約要求事項之遵循中,納入個資法要求事項。實務工作上,
在 ISMS 運作最後輸出須產出 ISO27001 適用性聲明,如表 3-4;相同地,在 ISMS 與 PIMS 整合後運作輸出必須產出對個人資料保護法適用性聲明,如表 3-5,代表所有文件建立、
作業流程、資安管控均符合 ISO27001 及個資法各項要求。
表 3-4:整合後 ISO27001 適用性聲明
ISO/IEC 27001:2013 要求 對應文件
適用性 適 用
不適 用
4 Context of the organization
4.1 Understanding the organization and its context
資訊安全風險管理程
序 ˇ
4.2 Understanding the needs and expectations of interested parties
資訊安全風險管理程
序 ˇ
‧
Determining the scope of the information security management system
資訊安全手冊 ˇ
4.4 Information security management
system 資訊安全手冊 ˇ
5 Leadership
5.1 Leadership and commitment 資訊安全指導委員會 ˇ
5.2 Policy 資訊安全手冊 ˇ
5.3 Organizational roles, responsibilities and authorities
資訊安全指導委員會 各 SOP 之權責要求 職務說明書
ˇ
6 Planning
6.1 Actions to address risks and
opportunities
6.1.2 Information security risk assessment
資訊安全風險管理程 序
資訊資產風險評鑑辦 法
ˇ
6.1.3 Information security risk treatment
資訊安全風險管理程 序
資訊資產風險評鑑辦 法
ˇ
6.2 Information security objectives and planning to achieve them
管理階層審查辦法
‧
8.2 Information security risk assessment
資訊安全風險管理程 序
資訊資產風險評鑑辦 法
ˇ
8.3 Information security risk treatment
資訊安全風險管理程
9.1 Monitoring, measurement, analysis and evaluation
日常資安工作匯總表
A.5.1 Management direction for information
security
A.5.1.1 Policies for information security 管理階層審查辦法 ˇ A.5.1.2 Review of the policies for information
security 管理階層審查辦法 ˇ
A.6 Organization of information security
A.6.1 Internal organization
A.6.1.1 Information security roles and responsibilities
資訊安全指導委員會 各 SOP 之權責要求 職務說明書
ˇ
A.6.1.2 Segregation of duties 職務說明書 ˇ
A.6.1.3 Contact with authorities 業務持續運作管理程
序 ˇ
‧
A.6.1.4 Contact with special interest groups
行政院資安會報 資安人雜誌 PChome
ˇ
A.6.1.5 Information security in project management
資訊安全風險管理程
A.6.2.1 Mobile device policy
存取控制規範
A.6.2.2 Teleworking
存取控制規範
A.7.1.1 Screening
員工面談紀錄 承包商及第三方使用 者之資料
ˇ
A.7.1.2 Terms and conditions of employment 員工任用相關文件
委外合約 ˇ
A.7.2 During employment
A.7.2.1 Management responsibilities 人事管理規則
各 SOP 中的權責說明 ˇ A.7.2.2 Information security awareness,
education and training 教育訓練管理程序 ˇ
A.7.2.3 Disciplinary process 人事管理規則 ˇ
A.7.3 Termination and change of employment A.7.3.1 Termination or change of employment
responsibilities 人事管理規則 ˇ
A.8 Asset management
A.8.1 Responsibility for assets
‧
A.8.1.1 Inventory of assets 資訊資產風險評鑑辦
法 ˇ
A.8.1.2 Ownership of assets 資訊資產風險評鑑辦
法 ˇ
A.8.1.3 Acceptable use of assets
軟/硬體及應用系統之 購置、使用及維護控制 辦法
ˇ
A.8.1.4 Return of assets
使用者註冊管理辦法 A.8.2.3 Handling of assets
資訊處理管理辦法 軟體使用與管理辦法 硬體使用與管理辦法
ˇ
A.8.3 Media handling
A.8.3.1 Management of removable media 資訊處理管理辦法
辦公室安全管理辦法 ˇ
A.8.3.2 Disposal of media 硬體使用與管理辦法
辦公室安全管理辦法 ˇ A.8.3.3 Physical media transfer
資訊處理管理辦法
A.9.1.2 Access to networks and network
services 存取控制規範 ˇ
A.9.2 User access management
A.9.2.1 User registration and de-registration
使用者註冊管理辦法 程式及資料之存取控 制辦法
ˇ
A.9.2.2 User access provisioning 程式及資料之存取控
制辦法 ˇ
‧
A.9.2.4 Management of secret authenticationinformation of users 使用者註冊管理辦法 ˇ
A.9.2.5 Review of user access rights 使用者註冊管理辦法 ˇ A.9.2.6 Removal or adjustment of access rights
使用者註冊管理辦法 A.9.4.1 Information access restriction
使用者註冊管理辦法 A.9.4.4 Use of privileged utility programs
使用者註冊管理辦法 程式及資料之存取控 制辦法
ˇ
A.9.4.5 Access control to program source code 程式及資料之存取控
制辦法 ˇ
A.10 Cryptography
A.10.1 Cryptographic controls
A.10.1.1 Policy on the use of cryptographic
controls 資訊處理管理辦法 ˇ
A.10.1.2 Key management ˇ
A.11 Physical and environmental security
A.11.1 Secure areas
A.11.1.1 Physical security perimeter 辦公室及機房 Layout
圖 ˇ
A.11.1.2 Physical entry controls 實體與環境安全管理
辦法 ˇ
A.11.1.3 Securing offices, rooms and facilities 辦公室、機房 Layout
圖 ˇ
A.11.1.4 Protecting against external and
environmental threats 辦公室及機房設計圖 ˇ
‧
A.11.1.5 Working in secure areas 實體與環境安全管理
辦法 ˇ
A.11.1.6 Delivery and loading areas 實體與環境安全管理
辦法 ˇ
A.11.2 Equipment
A.11.2.1 Equipment siting and protection
實體與環境安全管理 辦法
辦公室、機房 Layout 圖
ˇ
A.11.2.2 Supporting utilities 檔案及設備之安全控
制辦法 ˇ
A.11.2.3 Cabling security 檔案及設備之安全控
制辦法 ˇ
A.11.2.4 Equipment maintenance 檔案及設備之安全控
制辦法 ˇ
A.11.2.5 Removal of assets
實體與環境安全管理 辦法
資訊處理管理辦法
ˇ
A.11.2.6 Security of equipment and assets
off-premises 存取控制規範 ˇ
A.11.2.7 Secure disposal or re-use of equipment 硬體使用與管理辦法 ˇ A.11.2.8 Unattended user equipment 使用者登入管理辦法 ˇ A.11.2.9 Clear desk and clear screen policy 資訊處理管理辦法 ˇ
A.12 Operations security
A.12.1 Operational procedures and
responsibilities
A.12.1.1 Documented operating procedures
軟/硬體及應用系統之 購置、使用及維護控制 辦法
ˇ
A.12.1.2 Change management
軟/硬體及應用系統之 購置、使用及維護控制 辦法
ˇ
A.12.1.3 Capacity management
軟/硬體及應用系統之 購置、使用及維護控制 辦法
ˇ
‧
A.12.1.4 Separation of development, testing and operational environments
系統開發作業管理程
序 ˇ
A.12.2 Protection from malware
A.12.2.1 Controls against malware 惡意軟體控制辦法 ˇ
A.12.3 Backup
A.12.3.1 Information backup 檔案及設備之安全控
制辦法 ˇ
A.12.4 Logging and monitoring
A.12.4.1 Event logging
程式及資料之存取控 制辦法
使用者登入管理辦法
ˇ
A.12.4.2 Protection of log information 程式及資料之存取控
制辦法 ˇ
A.12.4.3 Administrator and operator logs
檔案及設備之安全控 制辦法
實體與環境安全管理 辦法
ˇ
A.12.4.4 Clock synchronisation
監督系統使用狀況辦 法(調整各系統之時 間)
ˇ A.12.5 Control of operational software A.12.5.1 Installation of software on operational
systems
系統開發作業管理程
序 ˇ
A.12.6 Technical vulnerability management
A.12.6.1 Management of technical vulnerabilities
監督系統使用狀況管 A.12.7 Information systems audit
considerations
A.12.7.1 Information systems audit controls 智慧財產使用管理辦
法 ˇ
A.13 Communications security
‧
A.13.1.1 Network controls 網路通訊作業管理辦
法 ˇ
A.13.1.2 Security of network services
網路通訊作業管理辦 法
電信公司之服務合約
ˇ
A.13.1.3 Segregation in neworks 網路通訊作業管理辦
法 ˇ
A.13.2 Information transfer
A.13.2.1 Information transfer policies and
procedures 資訊處理管理辦法 ˇ
A.13.2.2 Agreements on information transfer 資訊處理管理辦法 ˇ
A.13.2.3 Electronic messaging 資訊處理管理辦法 ˇ
A.13.2.4 Confidentiality or non- disclosure
agreements 保密協議書 ˇ
A.14 System acquisition, development and
maintenance
A.14.1 Security requirements of information
systems
A.14.1.1 Information security requirements analysis and specification
系統開發作業管理程
序 ˇ
A.14.1.2 Securing application services on public
networks 網站管理辦法 ˇ
A.14.1.3 Protecting application services
transactions SSL ˇ
A.14.2 Security in development and support
processes
A.14.2.1 Secure development policy 系統開發作業管理程
序 ˇ
A.14.2.2 System change control procedures
應用系統變更作業辦 法
網站管理辦法
ˇ
A.14.2.3 Technical review of applications after operating platform changes
軟/硬體及應用系統之 購置、使用及維護控制 辦法
ˇ
‧
A.14.2.4 Restrictions on changes to software packages
軟/硬體及應用系統之 購置、使用及維護控制 辦法
ˇ
A.14.2.5 Secure system engineering principles 系統開發作業管理程
序 ˇ
A.14.2.6 Secure development environment
實體與環境安全管理 辦公室 Layout 圖 資料輸出入之控制
ˇ
A.14.2.7 Outsourced development
系統開發作業管理程
A.14.2.8 System security testing 系統開發作業管理程
序 ˇ
A.14.2.9 System acceptance testing
系統開發作業管理程
A.14.3.1 Protection of test data
軟/硬體及應用系統之 購置、使用及維護控制 辦法
ˇ
A.15 Supplier relationships
A.15.1 Information security in supplier
relationships
A.15.1.1 Information security policy for supplier relationships
資訊資產風險評鑑辦
法 ˇ
A.15.1.2 Addressing security within supplier agreements
軟/硬體及應用系統之 購置、使用及維護控制 辦法
委外合約
ˇ
‧
A.15.1.3 Information and communication technology supply chain
資訊資產風險評鑑辦 法
委外合約
ˇ A.15.2 Supplier service delivery management A.15.2.1 Monitoring and review of supplier
services
(承包商及第三方使用
者之資料、委外合約) ˇ A.15.2.2 Managing changes to supplier services 資訊資產風險評鑑辦
法 ˇ
A.16 Information security incident
management
A.16.1 Management of information security
incidents and improvements
A.16.1.1 Responsibilities and procedures 資訊安全事件管理程
序 ˇ
A.16.1.2 Reporting information security events 資訊安全事件管理程
序 ˇ
A.16.1.3 Reporting information security weaknesses
資訊安全事件管理程
序 ˇ
A.16.1.4 Assessment of and decision on information security events
資訊安全事件管理程
序 ˇ
A.16.1.5 Response to information security incidents
資訊安全事件管理程
序 ˇ
A.16.1.6 Learning from information security
A.16.1.6 Learning from information security