國立交通大學
管理學院碩士在職專班管理科學組
碩 士 論 文
以 ISO 27001 為基礎評估電信業資訊安全管理
- 以第一類電信業者為例
Evaluating Information Security Management Based on
ISO 27001 for Type I Telecom Service Providers
研 究 生:徐弘昌
指導教授:林君信 教授
以 ISO 27001 為基礎評估電信業資訊安全管理
- 以第一類電信業者為例
Evaluating Information Security Management Based on
ISO 27001 for Type I Telecom Service Providers
研 究 生:徐弘昌
Student: Hung-Chang Hsu
指導教授:林君信
Advisor: Dr. Chiun-Sin Lin
國 立 交 通 大 學
管理學院碩士在職專班管理科學組
碩 士 論 文
A Thesis
Submitted to The Master Program of Management Science College of Management
National Chiao Tung University in partial Fulfillment of the Requirements
for the Degree of Master
in
Management Science
June 2009
Hsinchu, Taiwan, Republic of China
以 ISO 27001 為基礎評估電信業資訊安全管理
- 以第一類電信業者為例
研究生:徐弘昌
指導教授:林君信 博士
國立交通大學管理學院碩士在職專班管理科學組
摘 要
科技與網路的發展迅速,增進人類生活的便利與效率,然而日益複雜的資訊安全問 題,對於個人、組織甚至於國家,都已造成嚴重威脅。鑒於此,英國標準協會於 1995 年首先提出 BS 7799 資訊安全管理標準,架構出涵蓋技術面與管理面的全方位資訊安全 管理系統(Information Security Management System,ISMS),而後逐漸演變至今日的 ISO 27001。眾所皆知沒有 100%的資訊安全,只能採取適當的應變措施以及降低風險發生的 機率來將損害減輕至最低,而遵循資訊安全管理的標準便是一個最好的方式。 本研究以 ISO 27001 的 11 大控制要項、39 個控制目標與 133 項控制措施為基礎, 建立符合驗證規範的評核表,以深度訪談與實地查察的方式,評估電信業資訊安全管理 的現況;同時彙整業者的實務經驗與專家意見,發展出適用於電信業的資訊安全管理建 議:ISO 27001 核心版,其內容集合了 ISO 27001 控制措施的重點項目,提供有意自行 導 入 資 訊 安 全 管 理 的 電 信 業 者 參 考 ; 並 運 用 重 要 性 - 表 現 程 度 分 析 法 (Important-Performance Analysis,IPA)說明電信業者對於 133 項控制措施的施行策略。 研究結果顯示,根據 ISO 27001 的控制措施,電信業者的整體符合程度達到 90%, 顯示電信產業的資訊安全管理具有不錯的水準,而在控制要項的執行情況上,表現較佳 的是「資產管理」與「遵循性」,而表現欠佳需要加以改善的是「安全政策」與「資訊 安全組織」;以資訊安全管理的三個面向探討,策略面表現優於管理面,而管理面優於 作業面;針對適用於電信產業的 ISO 27001 核心版,則提出 58 項重要的控制措施作為 資訊安全管理建議。 關鍵字:ISO 27001、資訊安全、ISMS、電信業Evaluating Information Security Management Based on
ISO 27001 for Type I Telecom Service Providers
Student: Hung-Chang Hsu Advisor: Dr. Chiun-Sin Lin
The Master Program of Management Science
College of Management
National Chiao Tung University
Abstract
Rapid growth on science and technology increases life convenience and efficiency, however the emerging information security issues become serious threat to personnel, organizations and countries. BSI released BS 7799, the Information Security Management Standard, on 1995 for building up the comprehensive ISMS, today’s ISO 27001 is evolved from BS 7799. There is no 100% guaranteed information security, follow the international standard is the best way to minimize the damage caused by information security issues.
An ISO 27001 based evaluation form is created to appraisal information security management situation in telecom industry via physical interview and verification. The telecom industry oriented information security management suggestion, ISO 27001 Core Edition, is developed as reference for those who intend to deploy ISMS. IPA (Important-Performance Analysis) is used to illustrate the strategy of performing 133 controls by service providers.
The research result indicates telecom service providers reach 90% of conformance level against ISO 27001 controls, and have good performance on “Asset management” and “Compliance” control sections, but need to improve on “Security policy” and “Organization of information security” control sections. The proposed ISO 27001 Core Edition includes 58 important controls which can be the information security management suggestion for telecom industry.
誌 謝
丁亥歲末思塾堂 勤書卷季餘 登竹塹名校金榜 螢窗腹中學 管院二載會英豪 笑逐知論間 獻章道文迎碩寶 舉觴得意回 冀以此詵「竹鹿」為交通大學兩年的碩士求學歷程畫下完美的句點,在即將完成人 生另一個里程碑的此時此刻,首先要感謝指導教授林君信老師在進行論文研究的過程中 所給予的引領與指導,啟發我獨立思考的能力與嚴謹學習的態度,令我受益良多;同時 也感謝口詴委員姜齊教授、陳台霖教授與張巧真教授所提供的寶貴建議與指正,讓論文 更臻完善;此外,所上其他老師的悉心教導,令我沉浸於管理的無涯領域,亦一併致上 最真誠的謝意。 我的學業與論文得以順利完成,還要感謝朋友、同學、同事對我的關心與鼓勵,感 謝世強、文騰與鵬源分享論文寫作的經驗,感謝海鵬、迪穎、尹貞、力蓉與千慧等同窗 在求學過程中的陪伴與勉勵,感謝淑娟與慧婷在論文撰寫過程中給予的專業意見與幫 忙,感謝受訪者的協助,讓研究得以進行資料收集與分析。 回首這一段難忘的學習旅程,在繁忙的工作與沉重的課業之中努力取得帄衡,雖然 辛苦卻是人生中美好的回憶。最後,謹以此論文獻給我摯愛的家人,父母親與岳父母的 栽培與鼓勵;永遠在背後默默支持的老婆大人佳玲是我精神上的依靠;可愛的雙胞胎寶 貝兒子睿言與睿帄總是在我需要思緒的時候能給予片刻的寧靜,謝謝你們過去兩年的體 諒與包容,讓我無後顧之憂地衝刺事業與學業,在兩年內順利取得碩士學位,我的榮耀 屬於你們!目 錄
摘 要 ... i Abstract ... ii 誌 謝 ... iii 表 目 錄 ... vi 圖 目 錄 ... vii 第一章 緒論 ... 1 1.1 研究背景 ... 1 1.2 研究動機 ... 3 1.3 研究目的 ... 5 1.4 研究架構 ... 6 第二章 文獻探討 ... 8 2.1 資訊安全 ... 8 2.2 國際標準機構 ... 9 2.2.1 國際標準組織(ISO) ... 9 2.2.2 英國標準協會(BSI) ... 10 2.2.3 國際電工技術委員會(IEC) ... 11 2.3 ISO/IEC 27001 ... 11 2.4 風險評鑑 ... 20 2.5 我國資訊安全發展現況 ... 22 2.6 相關研究文獻 ... 25 第三章 研究方法 ... 27 3.1 研究方法的選擇 ... 27 3.2 研究方法設計與程序 ... 28 3.3 個案業者與資料蒐集 ... 31 3.4 建立 ISO 27001 為基礎之評核表 ... 33 3.5 研究範圍與限制 ... 44 第四章 研究分析 ... 46 4.1 評核結果分析 ... 46 4.1.1 評核結果統計分析... 46 4.1.2 11 大控制要項符合狀況分析 ... 47 4.1.3 133 項控制措施符合狀況分析 ... 49 4.2 核心版遴選分析 ... 684.3 IPA 矩陣分析 ... 73 第五章 結論與建議 ... 77 5.1 研究結論 ... 77 5.2 後續研究建議 ... 78 參考文獻 ... 79 附錄 A ... 82
表 目 錄
表 1-1 全球通過 ISO 27001 認證國家組織統計表 ... 2 表 2-1 ISO 27001 控制措施項目統計 ... 17 表 2-2 資訊資產價值等級分類 ... 24 表 2-3 資訊安全系統等級執行工作事項... 24 表 3-1 質性研究法的劃分與研究策略選擇 ... 28 表 3-2 個案研究品質之衡量標準 ... 29 表 3-3 個案研究法的建構程序 ... 30 表 3-4 個案業者之基本資料 ... 31 表 3-5 六種資料蒐集方法之優缺點分析... 32 表 3-6 ISO 27001 資訊安全管理系統評核表 ... 34 表 4-1 個案業者之 ISO 27001 整體符合狀況 ... 47 表 4-2 個案業者於 11 大控制要項之符合狀況 ... 47 表 4-3 個案業者於策略面、管理面與作業面之符合狀況 ... 49 表 4-4 個案業者於安全政策之符合狀況... 50 表 4-5 個案業者於資訊安全組織之符合狀況 ... 51 表 4-6 個案業者於資產管理之符合狀況... 52 表 4-7 個案業者於人力資源安全之符合狀況 ... 53 表 4-8 個案業者於實體與環境安全之符合狀況 ... 55 表 4-9 個案業者於通訊與作業管理之符合狀況 ... 57 表 4-10 個案業者於存取控制之符合狀況 ... 60 表 4-11 個案業者於資訊系統獲得、開發與維護之符合狀況 ... 63 表 4-12 個案業者於資訊安全事件管理之符合狀況 ... 65 表 4-13 個案業者於營運永續管理之符合狀況 ... 66 表 4-14 個案業者於遵循性之符合狀況 ... 67 表 4-15 電信業之 ISO 27001 核心版 ... 69 表 4-16 ISO 27001 控制措施之 IPA 矩陣分析結果 ... 74圖 目 錄
圖 1-1 國內行動電話普及率 ... 3 圖 1-2 研究架構與流程 ... 7 圖 2-1 ISO 27001 發展沿革 ... 12 圖 2-2 ISO 27001 架構與內容 ... 13 圖 2-3 適用於 ISMS 之 PDCA 模型 ... 14 圖 2-4 資訊安全管理系統的建置流程 ... 16 圖 2-5 ISO 27001 控制要項關係圖 ... 18 圖 2-6 ISO 27001 控制要項與控制目標分類 ... 19 圖 2-7 風險程度關係圖 ... 20 圖 2-8 威脅、弱點與風險關係圖 ... 21 圖 2-9 國家資通安全會報組織架構 ... 23 圖 4-1 ISO 27001 控制要項雷達圖 ... 48 圖 4-2 個案業者於安全政策之符合程度... 50 圖 4-3 個案業者於資訊安全組織之符合程度 ... 52 圖 4-4 個案業者於資產管理之符合程度 ... 53 圖 4-5 個案業者於人力資源安全之符合程度 ... 54 圖 4-6 個案業者於實體與環境安全之符合程度 ... 56 圖 4-7 個案業者於通訊與作業管理之符合程度 ... 59 圖 4-8 個案業者於存取控制之符合程度 ... 62 圖 4-9 個案業者於資訊系統獲得、開發與維護之符合程度 ... 64 圖 4-10 個案業者於資訊安全事件管理之符合程度 ... 65 圖 4-11 個案業者於營運永續管理之符合程度 ... 66 圖 4-12 個案業者於遵循性之符合程度 ... 68 圖 4-13 IPA 分析矩陣 ... 73第一章 緒論
本章旨在概述本研究之主題,共分為四節。1.1 節介紹本研究的背景現況;1.2 節說 明選擇本研究主題的動機;1.3 節闡述本研究所期望達成的目標;最後,1.4 節說明本研 究的架構與流程。1.1 研究背景
科技與網路的快速發展,徹底改變了人類的生活型態,不過卻也帶來副作用:資訊 安全問題。回想 15 年前,那個網際網路即將貣飛的年代,當時,沒有所謂的資訊安全 專家,也沒有資訊安全長(Chief Information Security Officer,CISO)這樣的職位,組織最 大的威脅是電腦病毒,然而不過是十年的光景,如今資訊安全事件頻傳,影響層面愈來 愈廣,網路成了黑暗的溫床,說網路改變了罪犯賴以為生的方式也不為過,現今駭客走 向組織化且國際化,其來無影、去無蹤,難以追查的特性,使得企業為了防範客戶資料、 商業機密與智慧財產遭受竊取,進而造就資訊安全產品市場的蓬勃發展,例如:入侵偵 測系統(Intrusion Detection System,IDS)、入侵防護系統(Intrusion Prevention Systems, IPS)、資料遺失防護(Data Loss Prevention,DLP)等。普渡大學的一份研究結果與 McAfee 的報告預估 2008 年全球企業的資料外洩損失可能高達 1 兆美元。 網路也將是未來國家之間的戰場,利用網路攻擊達成軍事機密的竊取以及軍事設施 的癱瘓顛覆,中國「網軍」的成立可說明「網路戰」將成為未來主宰戰爭勝負的重要關 鍵。鑒於資訊安全威脅與日俱增,各國政府也開始意識到資訊安全的重要性,英國標準 協會於 1995 年率先提出 BS 7799 資訊安全標準,其後經過多次的修正與發展,演變為 今日的 ISO 27001 與 ISO 27002,提供資訊安全管理的最佳實踐。 根據統計,85%的資訊安全事件是由於人為疏失所造成,因此資訊安全不僅是「技 術面」的問題,還必頇搭配「管理面」的具體措施,才能降低資訊安全的風險。ISO 27001 標準提供一套全方位的資訊安全管理架構(Jayawickrama, 2006),目前廣為世界各地的國 家或企業所採用,同時這項標準設計得相當彈性,能夠套用在所有類型的組織,而非限 定於特定的產業或企業,如今 ISO 27001 已成為資訊安全管理的通用語言(Humphreys, 2008)。 行政院「國家資通安全會報」於 2001 年實施「建立我國通資訊基礎建設安全機制 計畫」,目的是建立一完整的資通安全整體防護體系,並推動四大工作要項:建立國家 資通安全事件通報及危機應變體系、健全國家資通安全防護能力、強化國家資通安全認 知與訓練推廣作業、確保國家資通安全及促進國際合作等。該計畫將政府機關分為 A、 B、C 與 D 四個等級,其中規定 A 與 B 等級的政府機關,其資訊安全管理系統(InformationSecurity Management System,ISMS)必頇通過 ISO 27001 認證,在政府大力推動之下, 再加上民間企業的努力,截至 2009 年 3 月 8 日為止,我國計有 221 家組織通過 ISO 27001 認證。 全球目前有 5206 家組織通過 ISO 27001 認證,我國排名全世界第四,其中前十名 分別為:1.日本(2997 家)、2.印度(435 家)、3.英國(370 家)、4.台灣(221 家)、5.中國(180 家)、6.德國(112 家)、7.美國(85 家)、8.韓國(82 家)、9.捷克(70 家)、10.匈牙利(64 家), 如表 1-1 所示。 表 1-1 全球通過 ISO 27001 認證國家組織統計表 名次 國 家 數量 名次 國 家 數量 名次 國 家 數量 1 日本 2997 26 冰島 12 51 阿曼 3 2 印度 435 27 巴基斯坦 12 52 祕魯 3 3 英國 370 28 荷蘭 11 53 葡萄牙 3 4 台灣 221 29 新加坡 11 54 越南 3 5 中國 180 30 菲律賓 10 55 孟加拉 2 6 德國 112 31 俄羅斯 10 56 加拿大 2 7 美國 85 32 沙烏地阿拉伯 10 57 曼島 2 8 韓國 82 33 希臘 9 58 摩洛哥 2 9 捷克 70 34 斯洛維尼亞 9 59 葉門 2 10 匈牙利 64 35 瑞典 7 60 亞美尼亞 1 11 義大利 58 36 斯洛伐克 6 61 比利時 1 12 波瀾 35 37 南非 6 62 埃及 1 13 香港 31 38 巴林 5 63 伊朗 1 14 西班牙 30 39 哥倫比亞 5 64 哈薩克 1 15 奧地利 29 40 克羅埃西亞 5 65 卲爾卲斯 1 16 澳洲 28 41 印尼 5 66 黎巴嫩 1 17 愛爾蘭 26 42 科威特 5 67 立陶宛 1 18 馬來西亞 26 43 瑞士 5 68 盧森堡 1 19 巴西 20 44 保加利亞 4 69 馬其頓 1 20 墨西哥 20 45 直布羅陀 4 70 摩爾多瓦 1 21 泰國 20 46 挪威 4 71 紐西蘭 1 22 阿聯 18 47 卡達 4 72 烏克蘭 1 23 土耳其 17 48 斯里蘭卡 4 73 烏拉圭 1 24 羅馬尼亞 15 49 智利 3 25 法國 12 50 澳門 3
普渡大學教授 Spafford 曾說:「唯一真正安全的系統是將電源切斷,送至一個混凝 土建築物並放入一間以鉛密封的房間之中,再加上武裝警衛的看守 – 儘管如此,我還 是懷疑它是安全的」(Freeman, 2007)。資訊安全的重要性已不言可喻,然而要達到滴水 不漏的 100%安全是不可能的事情,我們只能透過適當的應變措施以及降低風險發生的 機率來將損害減輕至最低,而遵循資訊安全管理的標準便是一個最好的方式。
1.2 研究動機
電信服務是國人生活最息息相關的服務之一,每個家庭幾乎都有固接的市內電話, 行動電話普及率長年維持在 100%以上(如圖 1-1),寬頻上網的人口逐年上升,有線電視 普及率也相當高,我國可說是通信密度極高的國家。 圖 1-1 國內行動電話普及率 資料來源:國家通訊傳播委員會,本研究整理根據國家通訊傳播委員會(National Communications Commission,NCC)統計資料, 國內經營電信業務的業者高達 606 家,共計 993 張執照。根據電信法規定,我國電信事 業分為第一類與第二類電信事業。第一類電信事業指設置電信機線設備,連接發信端與 受信端之網路傳輸設備,提供電信服務之業者,執照發給採「特許制」;第二類電信事 業指第一類電信事業以外之電信事業,執照發給採「許可制」。其中第一類電信業者有 95 家,總計 115 張執照,經營業務涵蓋固網通信、有線電視、2G 行動電話、3G 行動通 信、無線寬頻接取行動通信(WiMAX)、數位式低功率無線電話(PHS)、無線電、衛星通 信及國際海纜等;第二類電信業者則有 511 家,總計 878 張執照,主要業務範圍為批發 轉售第一類電信業者提供的語音數據等通信服務。
電信服務與民眾的日常生活如此密不可分,使得電信業者的競爭日趨激烈,許多業 者除了提供良好的通信服務之外,也開始在資訊安全方面下功夫,例如:中華電信 Hinet 除了提供使用者數據上網服務之外,也提供垃圾郵件過濾、防毒防駭、色情守門員及線 上掃毒等加值服務。電信業正從封閉系統(Closed System)走向開放系統(Open System), 同時業者也提供愈來愈多的加值服務,其資訊安全管理就顯得格外重要,一旦系統故障 或是遭受到攻擊而癱瘓,將對客戶造成難以彌補的傷害。 以下幾則國內、外資訊安全案例顯示,電信服務業者未來將在資訊安全領域扮演重 要的守門員角色: 1. 資訊安全軟體廠商賽門鐵克(Symantec Corporation)於 2008 年 4 月 10 日發表的資 訊安全研究報告指出,國內電信龍頭業者中華電信,登上全球最多惡意活動 ISP(Internet Service Provider)排行榜的第七名,在亞太區僅次於排名第二的中國 網通。鑒於客戶可能缺乏專業能力,中華電信表示近年來推動的機房端入侵偵 測防護(IPS)、安全上網等服務,目的就是讓客戶增加多一層保障。
2. 美國三大 ISP 業者(Verizon、Time Warner Cable 與 Sprint)於 2008 年 6 月首次聯 手協助整頓網路兒童色情,未來將攔阻相關新聞群組的網路存取,及關閉相關 的網路代管伺服器,從源頭阻斷相關服務。紐約州檢察長 Andrew M. Cuomo 讚 揚這些業者樹立了新的責任標準,並認為該模式應該延伸到整個產業。
3. 美國兩大 ISP 業者 Global Crossing 及 Hurricane Electric 於 2008 年 11 月 11 日先 後切斷惡名昭彰的垃圾郵件發源地 McColo 的網路流量,根據 IronPort Systems 及 MessageLabs 等資訊安全業者的垃圾郵件偵測機制,發現全球垃圾郵件數量 在隔天 2008 年 11 月 12 日大幅下滑了 41%;資訊安全專家並估計,自 McColo 送出的垃圾郵件約佔全球垃圾郵件總數的 75%。 4. 國家通訊傳播委員會於 2008 年 11 月 24 日在委員會議中通過「濫發商業電子郵 件管理條例草案」,行政院於 2009 年 2 月 26 日於通過該草案,未來可望於立 法院通過,草案第六條第一項明文規定「網際網路接取服務提供者」(Internet Service Provider,ISP)採行必要措施,防止濫發商業電子郵件,同時收到垃圾郵 件的民眾將可向濫發者求償,每封可求償新台幣 500 至 2,000 元。 5. 2009 年 3 月 2 日貣陸續發生「神秘網頁轉址攻擊事件」,CNET、ZDNet 與 MSN 等知名網站的網頁疑遭綁架,之所以稱之為神秘的原因是,經過兩個禮拜的時 間,國內資訊安全專家仍無法確切指出攻擊者的目的及其攻擊手法。部分網友 與同業質疑 CNET 與 MSN 網站遭綁架源自於中華電信的 DNS(Domain Name System)主機遭攻擊,不過對此中華電信澄清未發現任何異常的路由指向發生。
網路上所有的流量都會通過電信業者的網路設備,因此當資訊安全事件的威脅程度 與日俱增,監控、攔截與阻斷相關服務,避免傷害持續擴大,電信業者就有責無旁貸的 責任與義務,也突顯出電信業者的資訊安全管理之重要性,因為如果連電信業者的資訊 安全管理都做不好,如何做好把關的工作?如何確保使用者的資訊安全? 過去國內以 BS 7799 或 ISO 27001 探討相關產業、組織或企業的資訊安全管理之文 獻,大多以醫療體系、政府機關、軍事單位與金融機構為主,尚未見到電信產業方面的 研究,因此本研究冀以 ISO 27001 為基礎探討電信業者的資訊安全管理現況,期盼電信 業者能意識到其在資訊安全領域的角色與重要性,進而建立健全的資訊安全管理系統。
1.3 研究目的
本研究之主要目的在於運用 ISO 27001 的控制項目來評估電信業資訊安全管理的現 況,並提出適合國內電信業之資訊安全管理建議:ISO 27001 核心版,作為相關業者未 來計畫導入資訊安全管理時的參考,同時依據評核分析的結果說明電信業者對於 ISO 27001 控制措施的施行策略。 研究者詳實彙整資訊安全管理系統的發展與應用,以國際認同之資訊安全標準 ISO 27001 的 11 大控制要項、39 個控制目標與 133 項控制措施為基礎,運用李克特(Likert) 的總加量表法,建立四分量表,仿照 ISO 稽核驗證機制,以實地訪查方式評估本研究之 個案業者的資訊安全管理系統。 國內第一類電信事業的規模與業務複雜程度大多高於第二類電信事業,因此本研究 以第一類電信業者為主要研究對象,為使本研究之結果也能適用於其他電信業者,研究 者嘗詴從國內 95 家第一類電信業者中挑選出具代表性的 5 家業者進行個案分析研究, 藉以瞭解國內電信業者之整體資訊安全管理的現況。 對於計畫自行建立資訊安全管理系統的電信業者而言,可能受限於資源不足而無法 全面實施 ISO 27001 所載錄的 133 項控制措施,因此研究者將參考個案業者的資訊安全 管理部門主管或員工的經驗,並採納 ISO 27001 主導稽核員的專家意見,發展出一套適 用於電信業的資訊安全管理建議,稱之為「ISO 27001 核心版」,其內容為 ISO 27001 控制措施的重點項目,提供其他規模較小的電信業者或未來的新進業者導入資訊安全管 理時參考依循。因此,本研究期望能達到以下目的: 探討資訊安全管理之相關議題。 探討 ISO 27001 之內涵與其控制要項。 依據 ISO 27001 的驗證規範,評估電信業的資訊安全管理之現況。 提出符合電信業特性的資訊安全管理建議之「ISO 27001 核心版」。 運用 IPA(Important-Performance Analysis)矩陣分析電信業者對於 133 項控制措 施的施行策略。 促進電信業者之資訊安全管理意識,建立完整的安全防護體系。
1.4 研究架構
本研究之架構,首先根據研究動機與目的來確立本研究的方向與範圍,以探討電信 業的資訊安全管理為主題,透過蒐集國內、外相關文獻與探討 ISO 27001 之內涵,建立 以 ISO 27001 為基礎的評核表,並仿照 ISO 27001 稽核驗證的方式,針對個案電信業者 進行深度訪談與實地查察,藉以瞭解電信業者的資訊安全管理現況,最後依據所蒐集的 資料與訪查結果作彙整分析,提出本研究的結論與相關研究建議。 本研究共分為五章,各章摘要如下: 第一章 緒論 說明本研究之背景、動機與目的,概述研究的方向與範圍,並解釋本研究的架 構與流程。 第二章 文獻探討 定義資訊安全,介紹國際相關標準機構,說明 ISO 27001 的內涵與驗證規範, 闡釋風險評鑑的內涵與應變措施,描述我國資訊安全發展現況與施行計畫,最 後探討國內、外相關文獻。 第三章 研究方法 說明本研究採用個案研究法的理由,介紹質性研究法,並敘述研究方法的設計 及研究程序,說明本研究資料蒐集的方式,建立以「ISO 27001」為基礎的評核 表,最後說明研究範圍與限制。 第四章 研究分析 分析各項文件資料、數據與訪談查察的結果,呈現個案業者在資訊安全管理的 執行狀況,提出具體的資訊安全管理建議予以電信業者參考,並說明電信業者 對 133 項控制措施的施行策略。 第五章 結論與建議 綜合研究分析的結果,簡述本研究之貢獻,並總結電信業之資訊安全管理的評 估報告,最後提出後續研究建議。本研究的研究架構與流程,如圖 1-2 所示。 圖 1-2 研究架構與流程 資料來源:本研究整理 研究動機與目的 確立研究主題 與方向 文獻探討 研究設計 文件資料蒐集 資料檢測審查 建立評核表 訪談與查察 資料分析與歸納 結論與建議
第二章 文獻探討
本章旨在說明本研究主題相關的文獻探討,共分為六節。2.1 節說明資訊安全的定 義、內涵與特性;2.2 節介紹三個國際性的標準機構:國際標準組織(ISO)、英國標準協 會(BSI)與國際電工技術委員會(IEC);2.3 節介紹 ISO 27001 的演變發展與內容;2.4 節 闡釋風險評鑑的過程與因應方式;2.5 節說明我國資訊安全管理的發展狀況與施行計 畫;最後,2.6 節介紹國內、外相關的研究文獻。2.1 資訊安全
資訊是一種資產,與支援過程、系統及網路一樣都是重要的營運資產,對組織營運 是不可或缺的,因此需要妥善保護。在互連性增長的營運環境中,由於資訊暴露在日益 成長與多樣的威脅與脆弱性中,資訊也因此顯得更加重要。資訊存在的形式有許多種, 可以列印或書寫於紙上表示、可以用電子方式儲存、可以用郵寄或是電子方式傳送、也 可以用膠卷展現或在交談中口述。然而,無論資訊的形式為何,以何種方式分享或儲存, 均應加以適當的保護。 資訊安全是使資訊不受各種廣泛的威脅之保護,以降低營運風險,確保營運的持續 性,進而得到豐厚的投資報酬率及商機。資訊安全經由實作一套適當的控制措施達成, 包括政策、過程、程序、組織結構及軟硬體功能,必要時必頇建立、實作、監視、審查 與改進這些控制措施,以確保達成組織的特定安全與營運目標。定義、達成、維持及改 進資訊安全,可能攸關維繫競爭優勢、現金流量、獲利能力、適法性及商業形象。 資訊安全為保存資訊的以下三項特性: 機密性(Confidentiality):資訊不可被未經授權的個人、實體或流程取得或揭露。 完 整 性 (Integrity) : 保 護 資 訊 以 及 資 產 的 準 確 度 (Accuracy) 與 完 全 性 (Completeness)。 可用性(Availability):經授權的個體在需要時可以存取或使用資訊及相關資產。 除 此 之 外 , 資 訊 安 全 亦 同 時 涉 及 資 訊 的 鑑 別 性 (Authenticity) 、 可 歸 責 性 (Accountability)、不可否認性(Non-repudiation)與可靠度(Reliability)。 對於任何造成資產損害的潛在可能性稱為威脅(Threat),威脅利用脆弱性1造成對資 產、組織和系統的傷害和損毀。資訊安全的威脅一般可分為兩大類: 1 脆弱性(Vulnerability)是安全的漏洞或弱點,本身並不會造成傷害,而是可能允許威脅影響資產的情況, 若沒有適當處理將促使威脅形成。例如:未安裝防火牆、權限設定錯誤、缺乏安全意識、不穩定的系統 與安全訓練不足等。 環境威脅(天災):天然災害,例如:火災、颱風和地震等;或是系統故障,例 如:網路設備異常、硬碟故障和線路中斷等。 人為威脅(人禍):又可分為人為疏失與蓄意破壞。人為疏失大多來自於內部人 員,主要為系統操作不慎、不當使用習慣(濫用電子郵件、任意下載檔案)與管 理鬆散等;蓄意破壞則可能來自於內部人員與外部人員,主要為內部人員竊取 公司資料、離職員工挾怨報復、駭客入侵與商業間諜等。 資訊安全是一個管理過程而非技術過程,必頇永無止境的不斷調整與改善,以「資 訊安全管理」為核心加以整合「資訊安全技術」層面,在企業組織裡架構一套專屬且適 用的資訊安全管理機制與策略,因應管理企業所面臨的資訊安全風險,以控制與降低資 訊安全事件所帶來的威脅與衝擊。
2.2 國際標準機構
標準為一致同意並列入正式紀錄的文件化協定(Documented Agreement),範圍涵蓋 技術規格或其他引用為規範特性之規則、指引或定義之準據,標準之運用係為確保物 質、產品、製程以及服務等均能符合使用目的,最顯而易見的標準為信用卡格式的標準 化。詴想如果不同國家或不同區域採行之技術相似但卻缺乏調和標準,勢必對貿易造成 技術性障礙,依賴出口的產業為促使國際貿易程序合理化,因而產生建立全球性標準的 需求,此為國際標準之由來。 2.2.1 國際標準組織(ISO) 國 際 標 準 始 於 1906 年 的 國 際 電 工 技 術 委 員 會 (International Electrotechnical Commission,IEC),專責電子技術標準的研定。其他領域之標準,則由 1926 年設立的 國 際 國 家 標 準 化 協 會 聯 盟 (International Federation of the National Standardizing Associations,ISA)負責,ISA 初始的工作重點在於機械工程。ISA 的活動在 1942 年因第 二次世界大戰而停止,戰後 25 國代表於 1946 年在倫敦開會決議設立新國際組織,以加 速工業標準之國際調和與單一化、促進貨品與服務之國際交換以及發展智慧財產權、科 學 、 技 術 以 及 經 濟 活 動 的 合 作 , 隨 後 於 1947 年 2 月 23 日 成 立 非 政 府 組 織 (Non-governmental organization,NGO)之國際 標準組織(International Organization for Standardization,ISO),組織各成員國和技術委員會進行情報交流,同時與其他國際組織 進行合作,推動國際單一的工業標準,促使全球貿易、學術交流和經濟合作等活動,透 過 ISO 運作達成的國際協定即公布為國際標準。 ISO 標準的形成根據三項原則:第一為共識性,採納所有利害相關團體之意見;第 二為全球工業性,尋求適合全球工業及消費者的解決方案;最後為自願性,基於市場導 向的特性,國際標準之推行是建立在市場內所有關係人自願採行的基礎上。形成 ISO 標準則有三步驟:首先由一國內工業部門基於市場需求提出建立國際標準 的要求,並透過該國國內具有 ISO 會員成員身分的國家標準機構向 ISO 提議新工作項 目;一旦該項提議獲得同意,第一步驟由對該項議題有興趣國家的技術專家代表,組成 工作小組以界定未來新標準的技術範圍;工作小組如就技術議題達成協議後,第二步驟 即為協商標準規格的細節,此為建立共識階段;等到完成國際標準草案後即進入第三步 驟表決,應有三分之二參與本標準討論的會員成員以及四分之三 ISO 會員成員的表決通 過,始得成為國際標準。 由以上標準制定程序可知 ISO 所制訂的國際標準並無強制性的規範,其發展基於所 有關係人的共識並且符合市場導向,為符合科技發展、新方法與新物質以及新品質與安 全等需求,ISO 要求國際標準應至少每五年定期檢討。 ISO 雖然制定標準但不負責監督標準的執行,標準之採行完全由供應商與顧客或將 ISO 標準納為國家標準的主管機關決定。ISO 標準執行的監督評估,則由公正獨立的第 三方實驗機構或審核單位負責稽核,這些提供稽核服務單位的權能,或為政府主管機關 的授權,或為建立供應商及顧客間之互信所產生的商業活動需求。ISO 並不監督稽核服 務的商業活動,惟提供稽核指引(Guide),建立國際認同的自願性審核標準。 從事 ISO 驗證的機構甚多,然而鑒於驗證公司的驗證品質良莠不齊,各國或各區域 均成立國家級的認證機構加以管理,以齊一驗證公司的品質。各認證機構可透過國際合 作簽署多邊相互承認協議,以減少重複的認證程序。我國為因應國際趨勢,經濟部於八 十六年三月訂定「中華民國品質管理及環境管理認證制度實施辦法」及「中華民國品質 管理及環境管理認證委員會設置要點」。
ISO 所公布的各項標準中,較為眾人知悉的 ISO 9000 及 ISO 14000 系列,ISO 9000 系列為規範品質保證方面的標準,ISO 14000 則為規範環境管理方面的標準。
2.2.2 英國標準協會(BSI)
英國標準協會(British Standard Institute,BSI)成立於 1901 年,是全球第一家國際性 標準組織,也是國際標準組織(ISO)的創始會員,除了標準制定之外,目前也是全球最大 的稽核驗證機構,驗證佔有率為世界第一,全世界帄均每八張證書中就有一張由 BSI 頒 發,在全球 100 多個國家中透過 BSI 驗證合格的機構有 60,000 多家。BSI 是全世界驗證 機構中唯一被國際標準組織委託進行標準研發及制定的驗證機構,在資訊安全管理系統 (Information Security Management System,ISMS)領域中,BSI 被全世界公認是目前最為 公正且專業嚴謹的驗證及訓練機構。BSI 制定並頒布了許多首創的商業標準,包括:品 質管理系統、環境管理系統、職業安全衛生管理系統以及相關專案管理,BSI 帄均每年 制定超過 2,000 種標準。世界 500 大企業,其中約有四分之一的公司選擇 BSI 作為他們 通過 ISO 9000、ISO 14000 和歐盟「環境管理與稽核制度」(Eco- Management and Auditing
Scheme,EMAS)等認證的輔導機構。
BSI 至今已發展成為全球頂尖之獨立專業服務企業,BSI 集團主要分為三個事業 群,負責全球的營運:BSI 英國標準、BSI 管理系統與 BSI 產品服務,其中「BSI 英國 標準」發行、推廣並且分享最佳實踐的標準及革新,出版超過 27,000 種英國標準;「BSI 管理系統」則提供管理系統全面性的稽核、驗證與訓練服務;「BSI 產品服務」提供產 品測詴服務作為產品認證程序的一部分,部分測詴有助於認證標誌的核發,而部分測詴 則是為了評估產品的性能及設計。 著名的資訊安全標準 BS 7799 在 1995 年公布之後,國際標準組織於 2005 年通過將 BS 7799-2:2005 發展為 ISO 27001,也是本研究將用以來評估電信業資訊安全管理的標 準;BS 7799-1:2005 則發展為 ISO 17799,而 ISO 17799 於 2007 年 7 月,正式更名為 ISO 27002。
2.2.3 國際電工技術委員會(IEC)
國際電工技術委員會(International Electrotechnical Commission,IEC)是全球成立最 早的非政府性國際電工標準化機構,於 1906 年 6 月 26 日由英國的 IEE 和美國的 IEEE 以及其它相關組織舉行了其成立會議,是聯合國經社理事會(ECOSOC)的甲級諮詢組 織。目前 IEC 成員國包括了絕大多數的工業發達國家及部分發展中國家,這些國家擁有 世界人口的 80%,其生產和消耗的電能占全世界的 95%,製造和使用的電氣、電子產品 占全世界產量的 90%。IEC 的宗旨:促進電工標準的國際統一,電工、電子工程領域中 標準化及有關方面的國際合作,增進國際間的相互瞭解。目的在於為所有電工、電子相 關的技術制定符合政府、商業、社會規範的國際化標準,涵蓋電工和電子方面的詞彙、 標誌、兼容性、測量與評估、設計與發展、安全與環境等基本規範。IEC 與 ISO 是互補 的國際性標準機構。 2.3 ISO/IEC 27001 ISO/IEC 27001 即本研究主題之 ISO 27001,為資訊安全管理的標準,源自於英國國 際標準 BS 7799 Part-2:2002,英國標準協會於 2005 年公布新版之 BS 7799 Part-2:2005, 國際標準組織於 2005 年 10 月 14 日將 BS 7799 Part-2:2005 編納為 ISO 27001,是目前國 際公認最完整的資訊安全管理標準,其規範安全內容涵蓋:建立、實施、操作、監督、 審查、維持與改善資訊安全管理系統(Information Security Management System,ISMS)。 英國標準協會於 1995 年 2 月提出 BS 7799 資訊安全管理規範,並於 1999 年公布 BS 7799 Part-1 與 Part-2,內容涵蓋當前組織所有的安全議題,是一套詳盡且嚴謹的資訊 安全標準。BS 7799 全名為「BS 7799 Code of Practice for Information Security」,從基本 的資訊安全政策制定、資產管理、人員安全責任的歸屬、組織風險的評估、存取控制、
防毒與相關策略、組織業務永續經營計畫以及災難應變計畫,到最後定義組織內部的安 全係數與強化組織資訊安全係數等。
BS 7799 Part-1 是資訊安全管理作業要點,主要是提供組織建置資訊安全管理系統 的指南及一般原則,可作為參考的文件與建議,內容涵蓋廣泛的資訊安全控制措施以及 施行資訊安全的最佳方法(Best Practice),國際標準組織於 2000 年將 BS7799 Part-1 編納 為 ISO 17799「Information Technology - Security Techniques - Code of Practice for Information Security Management」,並於 2007 年 7 月正式更名為 ISO 27002。
BS 7799 Part-2 是資訊安全管理系統要求,依據 BS 7799-1:1999 以及 ISO 17799:2000 的架構,提供資訊安全管理系統的建立、實施、維護與書面化的具體要求,同時 BS 7799 Part-2 也是驗證標準,組織若要取得 BS 7799 的認證,則必頇遵循 BS 7799 Part-2 的要 求。國際標準組織於 2005 年將 BS 7799 Part-2 編納為 ISO 27001「Information Technology - Security Techniques - Information Security Management Systems - Requirements」。
BS 7799 演進至 ISO 17799 及 ISO 27001/ISO 27002 的發展如圖 2-1 所示。
圖 2-1 ISO 27001 發展沿革
資料來源:英國標準協會,本研究整理
ISO 27001 的架構與內容如圖 2-2 所示,分為簡介、適用範圍、引用標準、用語釋 義、資訊安全管理系統、管理階層責任、ISMS 內部稽核、ISMS 之管理階層審查與 ISMS 之改進等九節以及附錄 A~C。 ISO 27002 BS 7799:2-1999 BS 7799:2-2002 ISO 27002 BS 7799:1-1999 ISO 17799:2005 ISO 17799:2000 資訊安全管 理作業要點 資訊安全管 理系統要求 2000 2001 2002 1999 2003 2004 2005 2006 2007 2008 1998
圖 2-2 ISO 27001 架構與內容 資料來源:ISO/IEC 27001:2005,本研究整理 ISO 27001 適用於所有類型的組織(例如,商業企業、政府機構、非營利組織),其採 用「規劃-執行-檢查-行動」(Plan-Do-Check-Act,PDCA)模型於建置所有資訊安全管理 系統,圖 2-3 說明資訊安全管理系統如何採納利害關係人的資訊安全要求與期望作為輸 入,經過各個必要的行動與過程,產生符合此要求與期望的資訊安全輸出結果。同時圖 2-3 也說明 ISO 27001 從第 4 節「資訊安全管理系統」、第 5 節「管理階層責任」、第 6 節「ISMS 內部稽核」、第 7 節「ISMS 之管理階層審查」到第 8 節「ISMS 之改進」如 何 環 環 相 扣 。 PDCA 模 型 也 反 應 經 濟 合 作 暨 發 展 組 織 (Organisation for Economic Co-operation and Development,OECD)指導綱要2內所宣告之治理資訊安全系統與網路安 全的原則,OECD 原則與 PDCA 模型的對應關係如本研究之附錄 A 所示。
2
OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security, OECD Publications, Paris, July 2002, www.oecd.org
0 簡介 0.1 概述 0.2 過程導向 0.3 與其他管理系統 相容性 1 適用範圍 1.1 概述 1.2 應用 2 引用標準 3 用語釋義 4 資訊安全管理系統 4.1 一般要求 4.2 建立與管理 ISMS 4.2.1 建立 ISMS 4.2.2 實作與運作 ISMS 4.2.3 監視與審查 ISMS 4.2.4 維持與改進 ISMS 4.3 文件化要求 4.3.1 概述 4.3.2 文件管制 4.3.3 紀錄管制 5 管理階層責任 5.1 管理階層承諾 5.2 資源管理 5.2.1 資源提供 5.2.2 訓練、認知及能力 6 ISMS 內部稽核 7 ISMS 之管理階層審查 7.1 概述 7.2 審查輸入 7.3 審查輸出 8 ISMS 之改進 8.1 持續改進 8.2 矯正措施 8.3 預防措施 附錄A (規定) 控制目標與控制措施 附錄B (參考) OECD 原則與本標準 附錄C (參考) CNS 12681 (ISO 9001:2000)、 CNS 14001 (ISO 14001:1996) 與本標準間之對照
圖 2-3 適用於 ISMS 之 PDCA 模型 資料來源:ISO/IEC 27001:2005,本研究整理 規劃(建立 ISMS):建立與管理風險及改進資訊安全相關之 ISMS 的政策、目標、 過程及程序以產生與組織整體政策和目標一致的結果。 執行(實作與運作 ISMS):實作與運作 ISMS 的政策、控制措施、過程及程序。 檢查(監視與審查 ISMS):依據 ISMS 政策、目標及實際經驗,評鑑及在適用時 測量過程績效,並將結果回報給管理階層審查。 行動(維持與改善 ISMS):基於 ISMS 內部稽核與管理階層審查結果或其它相關 資訊採取矯正與預防措施,以達成 ISMS 的持續改進。 建立資訊安全管理系統,組織應執行下列事項: 1. 依據營運、組織、其所在位置、資產及技術等特性,界定資訊安全管理系統導 入的範圍。 2. 依據營運、組織、其所在位置、資產及技術等特性,定義資訊安全管理系統政 策3。 3 為 ISO 27001 之目的,資訊安全管理系統政策被視為資訊安全政策的超集合。 4.2.1 建立ISMS 8. ISMS 之改進 4.2.2 實作和操作 ISMS 4.2.3 監視與審查 ISMS 4.2.4 維持與改善 ISMS
Plan
Do
Check
Act
利害關係人 資訊安全 要求與期望 利害關係人 受管理的 資訊安全 5. 管理階層 責任 6. 內部稽核 7. 管理階層審查 Annex A 控制項與控制 目標3. 定義組織的風險評鑑做法。 識別適合的資訊安全管理系統及已識別之營運資訊安全、法律與法規要求 的風險評鑑方法論。 發展風險接受的準則,並識別風險可接受的等級。 所選擇的風險評鑑方法應確保風險評鑑產生可比較以及可再產生的結果。 4. 識別各項風險。 識別資訊安全管理系統範圍內的各項資產及其擁有者4。 識別對該等資產的各項威脅。 識別此等威脅可能利用的各項脆弱性。 識別對此等資產可能造成機密性、完整性及可用性之損失的各項衝擊。 5. 分析與評估各項風險。 評估安全失效時可能對組織造成的營運衝擊,並將資產的機密性、完整性 及可用性之損失的後果納入考量。 根據最常見的威脅、脆弱性及與此等資產有關的衝擊,以及現行實作的控 制措施,來評估此種安全失效發生的實際可能性。 估計各風險之等級。 決定風險是否可接受或使用風險接受準則來處理。 6. 識別並評估風險處理之各種選項做法。 採用適當的控制措施。 若符合組織的政策與風險接受準則,則客觀地接受此等風險。 迴避風險。 轉移相關的營運風險至第三方,例如:保險公司、供應商。 7. 選擇各項風險之處理的控制目標與控制措施。 應選擇並實作控制目標與控制措施,以符合由風險評鑑和風險處理過程所 識別的各項要求,應考量風險接受準則,以及法律、法規與契約的要求。 8. 取得管理階層對所提議之各項剩餘風險的核准。 9. 取得管理階層對實作和運作資訊安全管理系統的授權。 10. 擬定適用性聲明書。 所選擇之各項控制目標與控制措施,以及其選擇的理由。 目前已實作的各項控制目標與控制措施。 所排除的各項控制目標與控制措施及其被排除的衡量理由。 4 「擁有者」指的是負有被認可管理責任的個人或個體,其控制資產的維護、使用及安全,而非指該人員 實際上對該資產有任何財產權。
以上執行程序都必頇符合 ISO 27001 的文件化要求,如圖 2-4 所示,並依循文件管 理與記錄管制的程序。文件化應包括管理階層決策的紀錄,確保各項措施可追溯至管理 階層決策及政策,且所記錄的結果是可再產生的(Reproducible),同時也能夠展示從所選 擇的控制措施回溯到和風險評鑑與風險處理過程之結果間的關係。 資訊安全管理系統文件化應包括如下: 資訊安全管理系統政策與各項目標之已文件化聲明。 資訊安全管理系統之範圍。 支援資訊安全管理系統之各項程序及控制措施。 風險評鑑方法論的描述。 風險評鑑報告與風險處理計畫。 組織為確保有效規劃、運作及控制其資訊安全過程,以及描述如何量測控制措 施的有效性所需之文件化程序。 適用性聲明書。 圖 2-4 資訊安全管理系統的建置流程 資料來源:ISO/IEC 27001:2005,本研究整理 根據相關研究與經驗顯示,組織的資訊安全管理成功與否,常繫於以下幾點關鍵要 素: 能反映營運目標的資訊安全政策、目標及活動。 與組織文化一致的實作、維持、監視及改進資訊安全的做法與架構。 所有層級之管理階層的支持和承諾。 定義ISMS 政策 風險評鑑& 風險管理 擬定適用性 聲明書 管理階層核准 與授權 選擇控制目標 與控制措施 界定ISMS 範圍 風險評鑑 報告&風險 處理計畫 ISMS 政策 文件 ISMS 涵蓋 範圍 ISMS 程序 &控制措施 管理階層 決策紀錄 適用性 聲明書
對資訊安全要求、風險評鑑以及風險管理的充分理解。 向全體人員及其他各方有效推廣資訊安全,分發並宣傳資訊安全政策和各項標 準的指引。 提供適當的認知、訓練及教育。 建立有效的資訊安全事件管理程序。 建置量測系統以評估資訊安全管理的績效及回饋建議,以便改進。 ISO 27001 的驗證規範分成 11 大控制要項、39 個控制目標以及 133 項控制措施, 如表 2-1 所示。 表 2-1 ISO 27001 控制措施項目統計 控制要項 控制目標 控制措施 (項) A.5 安全政策 A.5.1 資訊安全政策 2 A.6 資訊安全組織 A.6.1 內部組織 8 A.6.2 外部團體 3 A.7 資產管理 A.7.1 資產責任 3 A.7.2 資產分類 2 A.8 人力資源安全 A.8.1 聘僱之前 3 A.8.2 聘雇期間 3 A.8.3 聘僱的終止或變更 3 A.9 實體與環境安全 A.9.1 安全區域 6 A.9.2 設備安全 7 A.10 通訊與作業管理 A.10.1 作業程序與責任 4 A.10.2 第三方服務交付管理 3 A.10.3 系統規劃與驗收 2 A.10.4 防範惡意碼與行動碼 2 A.10.5 備份 1 A.10.6 網路安全管理 2 A.10.7 媒體的處置 4 A.10.8 資訊交換 5 A.10.9 電子商務服務 3 A.10.10 監控 6 A.11 存取控制 A.11.1 存取控制的業務需求 1 A.11.2 使用者存取管理 4 A.11.3 使用者責任 3
A.11.4 網路存取控制 7 A.11.5 作業系統存取控制 6 A.11.6 應用程式與資訊存取控制 2 A.11.7 行動運算與遠距工作 2 A.12 資訊系統獲得、開發 與維護 A.12.1 資訊系統的安全需求 1 A.12.2 應用程式的正確處理 4 A.12.3 密碼控制措施 2 A.12.4 系統檔案的安全 3 A.12.5 開發與支援過程的安全 5 A.12.6 技術脆弱性管理 1 A.13 資訊安全事件管理 A.13.1 報告資訊安全事件與弱點 2 A.13.2 資訊安全事件與改善管理 3 A.14 營運永續管理 A.14.1 營運永續管理的資訊安全層面 5 A.15 遵循性 A.15.1 遵循適法性要求 6 A.15.2 遵循安全政策、標準和技術符合 2 A.15.3 資訊系統稽核考量因素 2 ISO 27001 的 11 大控制要項在建置資訊安全管理系統的順序關係上,如圖 2-5 所示。 圖 2-5 ISO 27001 控制要項關係圖 資料來源:BSI 英國標準協會(2007) 安全政策 資訊安全組織 資產管理 實體與環境安全 通訊與作業管理 系統開發與維護 人力資源安全 存取控制 資訊安全事件管理 營運永續管理 遵循性
以 ISO 27001 建立、實施、操作、監督、審查、維持與改善資訊安全管理系統時, 我們可將其控制要項分為「策略面」、「管理面」以及「作業面」,方便組織各負責單 位的執行,如圖 2-6 所示。其中安全政策、營運永續管理及遵循性屬於「策略面」,必 頇符合組織的發展目標;資訊安全組織、資產管理、人力資源管理及資訊安全事件管理 屬於「管理面」,著重於一般日常的營運管理;實體與環境安全、通訊與作業管理、存 取控制及資訊系統開發與維護屬於「作業面」,與資訊安全技術的關聯性較高。 圖 2-6 ISO 27001 控制要項與控制目標分類 資料來源:查士朝(2006) 許多資訊系統並未設計得夠安全,透過技術手段可達成的安全性亦有限,因此應藉 由適當的管理與程序來支援,規劃過程應注意細節以識別有哪些適合的控制措施可供組 織採行。資訊安全管理的最低要求是組織內所有員工的參與,也需要股東、供應商、第 三方、客戶或其他利害關係人的參與,可能也需要外部專家的建議,以共同建構安全的 資訊環境。 A.5 安全政策 A.5.1 資訊安全政策 A.14 營運永續管理 A.14.1 營運永續管理的 資訊安全層面 A.15 遵循性 A.15.1 法規的遵循性 A.15.2 遵循安全政策、 標準和技術符合 A.15.3 資訊系統稽核考 量因素 A.6 資訊安全組織 A.6.1 內部組織 A.6.2 外部團體 A.7 資產管理 A.7.1 資產責任 A.7.2 資產分類 A.8 人力資源安全 A.8.1 聘僱之前 A.8.2 聘雇期間 A.8.3 聘僱的終止或 變更 A.13 資訊安全事件 管理 A.13.1 報告資訊安全 事件與弱點 A.13.2 資訊安全事件 與改善管理 A.9 實體與環境安 全 A.9.1 安全區域 A.9.2 設備安全 A.10 通訊與作業管理 A.10.1 作業程序責任 A.10.2 第三方服務交 付管理 A.10.3 系統規劃驗收 A.10.4 防範惡意碼與 行動碼 A.10.5 備份 A.10.6 網路安全管理 A.10.7 媒體的處置 A.10.8 資訊交換 A.10.9 電子商務服務 A.10.10 監控 A.11 存取控制 A.11.1 存取控制的業 務需求 A.11.2 用戶存取管理 A.11.3 使用者責任 A.11.4 網路存取控制 A.11.5 作業系統存取 控制 A.11.6 應用程式與資 訊存取控制 A.11.7 行動運算與遠 距工作 A.12 資訊系統獲得、 開發與維護 A.12.1 資訊系統的安 全需求 A.12.2 應用程式的正 確處理 A.12.3 密碼控制措施 A.12.4 系統檔案安全 A.12.5 開發與支援過 程的安全 A.12.6 技術脆弱性管 理
策略面
管理面
作業面
2.4 風險評鑑
風險評鑑是建構資訊安全管理系統的重要環節,組織有必要識別其各項安全要求, 各項安全要求皆有三個主要來源: 風險評鑑(Risk Assessment):考量組織整體的營運策略及目標,經由風險評鑑能 識別資產所面臨的各項威脅,並能評估各項脆弱性及其發生的可能性,進而估 計可能造成的衝擊。 法令規章:組織、交易夥伴、承包商及服務供應商必頇滿足法律、法令、法規 及契約的各項要求,並符合社會文化環境的期望。 組織原則:組織為了支持其營運活動而發展的資訊處理原則、目標及營運要求。 各項安全要求透過具體方法的風險評鑑識別,風險評鑑的結果有助於引導及決定適 當的管理行動和優先順序用以管理資訊安全風險,以及用以實作為防範這些風險所選擇 的控制措施,施行控制措施的花費與安全失效後可能造成的營運損失需相稱。 資訊安全風險評鑑的執行效果,對於資訊安全管理系統的建置有決定成敗的影響 性,風險評鑑透過分析組織資訊資產的重要程度、潛在的威脅、弱點發生的機率以及現 有的控制措施來決定組織的各項資訊資產風險值,風險程度關係圖如圖 2-7 所示。 圖 2-7 風險程度關係圖 資料來源:經濟部標準檢驗局(2006) 風險發生的重大性(風險值)及風險發生的可能性評估計算公式如下(李慧蘭,2006): 風險值 = 資產價值 × 破壞事件嚴重程度 資產價值 = 機密性評價 + 完整性評價 + 可用性評價 破壞事件嚴重程度 = 威脅等級 × 脆弱點等級 × 衝擊等級 風險可能性 = 發生機率 / 目前實施狀況減少
避免
移動
通過
中度風險 低度風險 中度風險 高度風險風險發生可能性
風
險
發
生
重
大
性
資產價值在於對資訊資產在「機密性」、「完整性」及「可用性」三方面做出評估, 瞭解各項資訊資產對組織整體的重要性,接著執行組織風險衝擊性分析,對潛在的威脅 作弱點及衝擊性探討,威脅與弱點評估著重於假設情境的模擬,以瞭解風險危機的嚴重 程度,根據分析的結果,可以得知各項資訊資產在意外發生時對組織造成傷害的影響層 面。威脅、弱點與風險的相互關係如圖 2-8 所示。 圖 2-8 威脅、弱點與風險關係圖 資料來源:BSI 英國標準協會(2007) 風險評鑑應依風險接受和與組織相關的目標等準則,識別、量化各項風險,並排定 其優先順序,風險評鑑結果將作為指導與決定用以管理資訊安全風險、實作防止該等風 險所選定的控制措施。評鑑風險與選擇控制措施的過程可能需要履行數次,以涵蓋組織 或個別資訊系統的不同部分。風險評鑑應包括估計風險大小的系統性做法(風險分析), 及將預估風險與風險準則作比較以決定風險的顯著性(風險評估)之過程。 風險評鑑應定期重覆進行,以因應安全要求的變更及風險情況的變化等任何可能影 響風險評鑑結果的改變,例如:資產、威脅、脆弱性、衝擊、風險評估等變更,並於顯 著變更發生時立即執行風險評鑑。風險評鑑應以有條理的方式進行,才能產出可比較與 可重製的結果,資訊安全風險評鑑應有明確界定的範圍以具有效性,同時與其他領域中 風險評鑑保持關連性的關係。 威脅 Threats Vulnerabilities脆弱性 控制措施
Controls 風險 Risks Assets 資產
安全要求 Security Requirement
資產價值 Asset Values
對企業的潛在衝擊 Potential Impact on Business
利用 Exploit 增加 Increase Increase 增加 增加 Increase 顯示 Indicate 預防
Protect against Expose 暴露
符合
Met by Have 具有
降低 Reduce
只要是實用及有幫助的,風險評鑑的範圍可為整個組織、部分組織、個別資訊系統、 特定的系統組件或服務。風險評鑑後識別出的各項風險,均需做風險處理決策,作為組 織決定是否接受風險的判定準則,此決策應加以記錄,例如,若評鑑為低風險或處理風 險的成本對組織不符成本效益時,風險可能被接受。 風險處理的可能選項包括: 採用適當的控制措施以降低各項風險。 若風險滿足組織之政策與風險接受準則,則接受此等風險。 藉由防止風險發生的行動以避免風險。 轉移相關風險至第三方,例如:保險公司或供應商。 對於部分風險根據風險處理決策,採取某些適當控制措施應符合風險評鑑所識別的 要求,控制措施應考量下列因素,確保風險降低至可接受程度: 國家、國際之法律與法規的要求與限制條件。 各項組織目標。 各項運作要求與限制條件。 風險降低的相關運作成本必需根據組織之要求與限制條件。 投入各項控制措施的運作成本和安全失效可能導致的傷害兩者之間需取得均 衡。 資訊安全控制措施應在系統與專案的需求規格與設計階段考量,然而沒有任何一套 控制措施可達到完全的安全,必頇透過額外的管理行動以監控、評估及改進安全控制措 施的效率與有效性,以支援組織的目標。
2.5 我國資訊安全發展現況
中華民國的標準規範 大多依循國際標準組織所公佈的標準作為制定國家標準 (Chinese National Standard,CNS)的範本,CNS 27001 與 CNS 27002 為我國施行資訊安 全管理的國家標準,經濟部標準檢驗局參考國際標準組織的 ISO 27001「Information Technology – Security Techniques – Information Security Management Systems – Requirements」,制定國家標準 CNS 27001「資訊技術-安全技術-資訊安全管理系統-要求事項」;參考 ISO 27002「Information Technology – Security Techniques – Code of Practice for Information Security Management」,制定 CNS 27002「資訊技術-安全技術 -資訊安全管理之作業規範標準」。為建立我國整體資訊安全防護、識別與回復的能力,行政院國家資訊基礎建設 (National Information Infrastructure,NII)專案推動小組於 1995 年成立,負責資訊應用資 料方面的安全相關規劃作業,經審慎的研擬,於 2001 年 1 月 31 日召開「國家資通安全 會報」第一次會議,積極推動資通安全基礎建設工作,正式開啟我國資訊安全發展的新
頁。國家資通安全會報的組織運作架構如圖 2-9 所示,其中標準規範工作組負責訂定規 畫資訊安全相關的標準與規範,主要職掌工作如下: 1. 訂定資通安全技術標準。 2. 訂定各機關辦理資通安全有關作業規範。 3. 規劃建置資通安全驗證方法。 4. 規劃建置資通安全認證程序。 圖 2-9 國家資通安全會報組織架構 資料來源:行政院國家資通安全會報(2009) 行政院國家資通安全會報推動資訊安全基礎建設與建立資訊安全防護體系,為明確 各政府機關的資訊安全責任等級分級作業與流程,特別訂定「政府機關(構)資訊安全 責任等級分級作業施行計畫」與「各政府機關(構)落實資安事件危機處理具體執行方 案」,將全國 3713 個政府機關依「國防體系」、「行政機構」、「學術機構」以及「事 業機構」分組,並就各機關單位區分「A、B、C、D」四等級,賦予不同的資訊安全要 求,期以透過有效的資訊安全管理,進而全面提升國家資通安全防護水準,其中明文規 定 A 與 B 等級的政府機關,其資訊安全管理系統必頇通過 ISO 27001 認證。首先透過評 估資訊資產價值與其潛在影響,明確定義分級的內容,如表 2-2 所示,依機構屬性進行 分級,分級後依據作業施行計畫執行該等級所賦予的工作事項,如表 2-3 所示,同時要 行政院國家資通安全會報 總召集人:科技政務委員 協同召集人:行政院研考會主委 委員:部會及直轄市副首長及學者、專家 執行長:科技顧問組執行秘書 副執行長:主計處電子處理資料中心主任 國防部派員、研考會資訊管理處處長 標準規範組 (經濟部) 稽核服務組 (主計處) 法規偵防組 (法務部) 資料服務組 (國科會) 通報應變組 (研考會) 綜合規劃組 (科顧組) 通 訊 傳 播 分 組 N CC 衛 生 醫 療 分 組 衛 生 署 金 融 服 務 分 組 金 管 會 財 政 事 務 分 組 財 政 部 交 通 事 業 分 組 交 通 部 經 濟 事 業 分 組 經 濟 部 學 術 機 構 分 組 教 育 部 行 政 機 構 分 組 研 考 會 國 防 體 系 分 組 國 防 部 技 術 服 務 中 心 研 考 會 國家資通安全 諮詢小組 研考會、國防部 交通部、財政部 NCC 國防部、交通部 經濟部、財政部 內政部、國防部 交通部、NCC 中科院、工研院 資策會、相關公 協會、民間業者 主計處、內政部 國防部、交通部 財政部、經濟部 教育部、衛生署
求各機關單位建立資訊安全長(Chief Information Security Officer,CISO)責任制度,確實 掌握重點資訊資產,做好資訊安全防護的工作。 表 2-2 資訊資產價值等級分類 級別 分類內容 潛在 影響等級 A 級 (重要核心) 違反資訊安全保護政策,會對國家安全之重要機敏資 訊或系統等造成工作營運停頓或嚴重之損害,影響業 務推動持續一個月(含)以上之損害。 極高度 B 級 (核心) 違反資訊安全保護政策,會對社會秩序、民生體系運 作及民眾隱私之機敏資訊或系統,影響業務推動持續 一星期(含)以上之損害。 高度 C 級 (重要) 違反資訊安全保護政策,會對地方縣市級之社會秩 序、人民生命財產之重要資訊或系統,影響業務推動 持續一天(含)以上之損害。 中度 D 級 (一般) 違反資訊安全保護政策,造成意外的事件不影響業務 工作或營運。 低度 資料來源:國家資通安全會報(2005),本研究整理 表 2-3 資訊安全系統等級執行工作事項 防禦機制 強度 防護深度 ISMS 推動作業 稽核方式 資安教育 訓練(主 官、主管、 技術、一般) 專業證照 A 級 (重要核心) 強度 等級 4 NSOC 防護/ 自建 SOC、 IDS、 防火牆、防毒 2007 年通過 第三者 認證 每年至少 執行二次 內稽 每年至少 (4,6,18,4 小時) 2007 年 資安專業 鑑定二張 B 級 (核心) 強度 等級 3 SOC(Optional) 、IDS、 防火牆、防毒 2008 年通過 第三者 認證 每年至少 執行一次 內稽 每年至少 (4,6,16,4 小時) 2007 年 資安專業 鑑定一張 C 級 (重要) 強度 等級 2 IDS、 防火牆、防毒 各單位自行 成立推動小 組規劃作業 自我檢視 每年至少 (2,6,12,4 小時) 資安專業 訓練 D 級 (一般) 強度 等級 1 防火牆、防毒 推動 ISMS 觀念宣導 自我檢視 每年至少 (1,4,8,2 小時) 資安專業 訓練 資料來源:國家資通安全會報(2005) 等級 內容 作業 名稱
表 2-3 中,資訊安全防禦機制強度等級(Strength Mechanism Level,SML)分類說明 如下: 強度等級 1:經由良好的資訊安全作業可達成的基本強度,用以防衛不複雜的威 脅,應能保護低價的資訊資產。 強度等級 2:中等強度,可以抵抗諸如個人發動之攻擊活動的複雜威脅,能夠保 護中等價值的資訊資產。 強度等級 3:高強度,用以防禦來自駭客組織的威脅,能夠保護高價值的資訊資 產。 強度等級 4:極高強度,用以防禦來自國家級的威脅,能夠保護極高價值的資訊 資產。
2.6 相關研究文獻
資訊安全管理標準的演進從 BS 7799 到 ISO 17799 再到今日的 ISO 27001 與 ISO 27002,國內、外相關文獻亦隨著版本的更新,持續研究探討這項標準所帶來的影響、 成效及運用層面。國外文獻大多著重於論述 ISO 27001 的重要性及其影響力,未見以 ISO 27001 來評估相關產業或企業的案例,而國內論文有不少 BS 7799/ISO 27001 之個案研 究的發表,大多以探討醫療體系、政府機關、軍事單位與金融機構為主。
Ezingeard 與 Birchall 探討「Information Security Standards: Adoption Drivers;What drives organisations to seek accreditation? The case of BS 7799-2:2002」,該研究發現競爭 優勢是驅使企業主動採用資訊安全標準的最主要原因,同時也發現一個很重要的驅使因 素是,組織採用國際標準來執行資訊安全管理的最佳典範,藉此促進外部關係以及與內 部關係人溝通。反倒是法令規章的要求、資訊安全團體的推動、政府及貿易組織等並非 是顯著的驅動因素,有別於一般的認知。
Jayawickrama 探討「Managing Critical Information Infrastructure Security Compliance: A Standard Based Approach Using ISO/IEC 17799 and 27001」,該研究建議流程控制系統 (Process Control System)以 ISO 27001 標準為資訊安全管理系統的架構,以確保此一全面 性且系統性的方法能與業務目標及組織風險管理計畫結合在一貣。
Humphreys 探討「Information security management standards: Compliance, governance and risk management」,該研究說明管理資訊安全(Managing Information Security)相對於 資訊科技安全(IT Security),過去的安全主要是由資訊部門與技術專家所負責的工作,不 過在資訊安全管理標準 BS 7799 出現之後,除了資訊科技之外,安全也關聯到了人、流 程與資訊。
曾淑惠探討「以 BS 7799 為基礎評估銀行業的資訊安全環境」,分析本國銀行及外 商銀行在資訊安全方面的運用現況,該研究發現:本國銀行及外商銀行在資訊安全運用
上最重視的三個控管要點依序為「存取控制」、「實體與環境安全」與「系統開發與維 護」,而最需要加強是「安全組織」、「遵行」、「安全政策」方面的運用。 林曙熙探討「企業資訊安全管理之認知與實施研究」,該研究結論歸納:唯有在組 織管理階層正確之理念下,方能制定出合宜的政策與方針,在目標引導下經由教育訓練 之實施,以提昇組織全體成員安全意識,進而共同參與系統之建置與維護,最終依據階 段式目標,以漸進方式建構符合企業個別需求的安全管理系統。 侯皇熙探討「植基於 BS 7799 探討政府部門的資訊安全管理 ─ 以海關資訊部門為 例」,在 BS 7799 運用現況方面,該研究發現:海關在資訊安全管理運用上比較重視的 三個控制要項依序是「實體與環境安全」、「安全政策」與「組織安全」,而需要加強 的是「資產分類與控制」、「企業永續管理」與「系統開發與維護」等方面的運用。 楊智翔探討「運用 CNS 17799 檢視醫療院所之資訊安全管理-以屏東地區大型醫院 為例」,該研究發現:除了「應付客戶時的安全處理」與「線上交易」之外,CNS 17799 作業要點應可適合用於國內醫療產業檢視其資訊安全管理之作業現況。個案醫院在資訊 安全管理上,比較重視的三個控制要項是「資訊安全管理事故」、「人力資源安全」與 「資產管理」,而「通訊與作業管理」及「存取控制」則是最需要加強改進的兩個要項。 陳兆祺探討「導入 BS 7799 標準對建立資訊安全文化影響之經驗研究-以 Y 公司為 例」,該研究發現:導入 BS 7799 標準對於資訊安全文化的發展有顯著影響,其中以「安 全政策」對於資訊安全文化整體發展的影響最重要;導入 BS 7799 資訊安全管理制度對 於資訊安全認知與責任的建立、反應與應變能力的強化、安全設計與執行上與存取控管 的落實以及資訊倫理的內化等方面,皆有明顯的成效。 李仁暉探討「台灣金融業導入資訊安全管理系統關鍵成功因素研究-以 A 金控為 例」,該研究發現:高階主管的全力支持並參與運作、專責的資訊安全管理單位與顧問 經驗豐富並提供過去導入的經驗法則在所有階段均重要,其他因素僅在部分階段為關鍵 成功因素。另外該研究顯示具有完善的資訊安全防禦設備與具備資訊安全專業技能的資 訊安全人員等技術層面因素,並非導入資訊安全管理系統之關鍵因素。 本研究參考的相關資料眾多,族繁不及備載,上述所列之文獻與本研究主題皆屬資 訊安全管理領域,雖然研究的方向與本研究並不相同,探討的對象也非電信產業,然而 其研究內容與成果提供予研究者對於資訊安全管理有更全面且深入的瞭解,讓研究者在 構思研究架構、設計研究方法、研擬實地訪查與動筆撰寫的過程中,不斷激盪出許多心 得與想法,並持續做深入的思考,使得本研究更臻完善。
