第二章 文獻探討
2.2 資訊安全管理標準與適用範圍
2.2.2 CNS國家標準
我國有關於資訊安全的標準大部份皆依 ISO 相關標準為制定之依據。1995 年行政 院成立國家資訊通信基本建設(National Information Infrastructure,簡稱 NII)專案,「資 訊安全」列入主要規劃項目之一,其目的在確保 NII 中各項資訊應用資料的安全使用。
自 1996 年起,以 ISO/IEC JTC1/SC 27 WG2 的「實體驗證」與 ISO TC 68 及 ISO/IEC JTC1/SC 27 的「識別卡以及相關裝置(Identification card and related devices)」分組委 員會制定之「金融交易卡」等國際標準等以委辦案方式轉訂成我國國家標準(Chinese National Standard,簡稱 CNS)草案,再由 CNS「資料安全技術」的 11 分組(SC 11)負 責審議,公佈 CNS 標準【8】。2001 年起,前述委辦之方向,配合「建立我國通資訊基 礎安全機制計畫」之工作,從密碼應用的特定範圍標準,轉換成 ISO/IEC JTC1/SC 27 WG1 與 WG3 之「資訊安全管理」及「資訊安全評估」相關國際標準和 ISO/IEC JTC1/SC 27 的「軟體工程過程評鑑」與「軟體產品評估」等相關國際標準等,轉訂成 CNS 草案 的現行方向。
2001 年 2 月 5 日,行政院函送「建立我國通資訊基礎建設安全機制計畫」至各所屬 機關並要求切實配合辦理,正式開啟了我國資訊安全發展的新頁。近年來世界各國(如 美、英等國)皆全力投入推動資訊安全基礎建設,再加上「七二九全台大停電」及「九 二一大地震」對台灣社會所造成莫大的衝擊,根基於此,有關單位於 1999 年春季起意 識到通資訊基礎建設安全對國家的重要性,隨即著手規劃「我國通資訊基礎建設安全機 制」;但由於我國現有之通資訊安全措施均侷限於局部性,並無整體防護、識別及回復能 力等,為爭取時效,NII 專案推動小組研討相關規劃作業;經審慎研擬,於 2001 年 1 月 31 日召開「國家資通安全會報」第一次會議,期以 4 年的時間,以圖 2.4 與 2.5 之架構 完成「建立我國通資訊基礎建設安全機制計畫」。
前述計畫在行政院正式成案之前,動員人數之多、牽涉層面之廣、民間互動之深等 各方面,於我國資訊安全領域均屬空前,未來對資訊安全方面之科技專案研發方向,可 能亦將產生深遠的影響。國家通資安全會報成立時,是由行政院院長與副院長分別擔任 正、副召集人,並由行政院資訊通信發展推動小組(National Information and
Communication Initiative Committee,簡稱 NICI)的總召集人擔任執行長,會報下設立綜 合業務工作組、危機通報工作組、技術服務中心、網路犯罪工作組、資料蒐集工作組、
稽核服務工作組與標準規範工作組等七個組,負責推動國家通資訊安全基礎建設之各項 工作,其中標準規範工作組是由經濟部為主要負責單位,而研考會、國防部、交通部、
財政部則配合協辦,主要職掌陳述如下:
1 訂定資通安全技術標準。
2 訂定各機關辦理資通安全有關作業規範。
3 規劃建置資通安全檢測技術(備考:此項職掌已於 2004 年 10 月刪除)。
4 規劃建置資通安全驗證方法。
5 規劃建置資通安全認證程式。
為達成前述計畫之工作計畫目標,經濟部標準檢驗局已根基於 1994 年公佈之世界 貿易組織烏拉圭回合多邊貿易談判協定(The Results of The URUGUAY Round of Multilateral Trade Negotiations)技術性貿易障礙協定(Agreement on Technical Barriers to Trade,簡稱 TBT)附件 1~3(Annex 1~3)之規範,分以下述 4 項為工作方向推動相關工 作中:
1. 資訊技術安全評估共同準則(ISO/IEC 15408)系列、資訊安全管理(ISO/IEC 17799)、軟體處理評估(ISO/IEC TR 15504)系列等標準之制定。
發行及管理)之保護剖繪(Protection Profile)與其之共同性檢測技術之建置。
3. 將 BS 7799-2(Information Security Management Systems Part 2:
Specification for Information Security Management Systems)轉定為國家標 準,建置我國通資訊安全之管理系統驗證作業體系。
4. 符合 ISO/IEC Guide 62、ISO/IEC Guide 65 與 ISO/IEC 17025 之要求,分別 建置通資訊安全管理系統認證、產品驗證認證以及實驗室認證之認證程式。
▲圖 2.5:我國資通安全之組織架構(93 年 10 月~訖今)