資訊安全管理系統與企業網路安全實作探討

全文

(1)國立交通大學管理學院（資訊管理學程）碩士班碩士論文資訊安全管理系統與企業網路安全實作探討 A study on information security management system and implementation of a secure enterprise network. 研究生：鄭東昇指導教授：羅濟群博士樊國楨博士. 中華民國九十四年七月 1.

(2) 資訊安全管理系統與企業網路安全實作探討 A study on information security management system and implementation of a secure enterprise network. 研究生：鄭東昇指導教授：羅濟群博士指導教授：樊國楨博士. Student：Tung-Sheng Cheng Advisor：Dr. Chi-Chun Lo Advisor：Dr. Kwo-Jean Farn. 國立交通大學管理學院（資訊管理學程）碩士班碩士論文. A Thesis Submitted to Institute of Information Management College of Management National Chiao Tung University In Partial Fulfillment of the Requirements For the Degree of Master of Business Administration in Information Management July 2005 Hsinchu, Taiwan, the Republic of China. 中. 華. 民. 國. 九. 2. 十. 四. 年. 七. 月.

(3) 資訊安全管理系統與企業網路安全實作探討研究生：鄭東昇. 指導教授：羅濟群博士指導教授：樊國楨博士. 國立交通大學資訊管理研究所. 摘要許多組織仰賴 IT 資源，並且相信它們是可靠的。然而，網路安全問題卻會隨著時間變得更加錯綜複雜，影響也將會不斷擴大，一旦公司資產的安全性受到危害而導致災難性後果，停機數天所帶來的損失將會難以估算。今日有關資訊安全宜遵循的策略，都是在不完整之資訊內容下做決定的，標準可以減輕因不完整資訊引發之困難，因為標準可以減少選擇的範圍而簡化資訊之供給與需求決策制定的過程。. 本研究以實例探討方式將評核企業已實施之資訊安全控制措施與我國經濟部標準檢驗局起草修訂之新版國家標準 CNS 17799（ISO/IEC 17799：2005（E））所列出之控制項目進行檢測比對。並以「符合度」指標探討該企業現行資訊安全制度與資訊安全管理規範之符合程度以分析有待改善之控制措施項目與所造成之風險，並且根基於標準相關控制措施提出「企業安全性修補程式之架構設計」是可用以支援可信賴資訊安全使用環境可行之解決方案之一。. 本研究之成果從企業安全性修補程式之架構與相關網路安全偵測實作中比較發現新架構可將伺服器更新比率由 85%提高至 99%(提昇 14%)，並且在完成安全性修補程式更新時間方面，將工作站更新時間從 1394 人/天減少為 32 人/天，對於網路上未受管理之工作站可以採用更強烈的主動偵測方式移除此電腦的網路連線。實作結果可大幅提昇對抗惡意軟體的控制措施之有效性。. 在資訊安全的研究與運用方面，由於電子商務活動的日益頻繁，網路安全勢必成為未來人類交易行為轉型的成功關鍵，而電腦病毒與系統入侵卻是在資訊科技發展中不易消除的障礙。本研究藉由分析企業網路安全宜採用之控制措施並且提出實作成果，希望對於企業之資訊人員從事企業網路安全規劃時，可依本研究結果做基礎進行規劃作業，則可有效減少資訊人員在規劃上進行評估及分析的時程。關鍵字: 資訊安全管理系統（Information Security Management Systems）、缺點修補（Flaw Remediation）、標準（Standard）. 3.

(4) A study on information security management system and implementation of a secure enterprise network Student：Tung-Sheng Cheng. Advisor： Dr. Chi-Chun Lo Dr. Kwo-Jean Farn. Institute of Information Management National Chiao Tung University Hsinchu, Taiwan, Republic of China Abstract A lot of organizations are dependent on IT resources，and believe that they are reliable. However，the online security question will become more intricate、influential and expand constantly with time. Once the security of company's assets will be endangered and caused the calamitous consequence, the losses will be difficult to estimate to shut down for several days. Today all make the decision under the incomplete information that should be followed. The standard can lighten the difficulty caused because of incomplete information. Course that the standard can reduce the range and demand of simplifying information chosen and make policy.. This research is based on draft new national standard CNS 17799（ISO/IEC 17799：2005（E））that enterprises have already implement to analysing control measure project improved to remain in enterprise information security system. And the solution「Architecture design for enterprise security patch management」is proposed in the relevant control measure of the standard and it can be used to support the information security with feasible environment for use. To examine from the new structure can increase the upgrade rate of the server from 85% to 99%, and reduce the update time of workstation from 1394 man-day to 32 man-day. The solution is well approved for malice code protection. Because electronic commercial activity is frequent day by day，the online security certainly will become the successful key that the human trading activity of future make the transition. It is obstacles difficult to dispel in the development in science and technology of information that electronic virus and system are invaded. This research is by analysing the control measure that enterprise's online security should be adopted. While hoping for personal who is engaged in enterprise's online security planning，can make the foundation and plan in accordance with this result of study. Keyword：Information Security Management Systems、Flaw Remediation、Standard. 4.

(5) 誌謝本論文得以順利完成，首先要感謝羅濟群博士及樊國楨博士的教誨與指導，從論文題目的研訂，研究架構的建立以及在撰寫過程中提供許多經驗的引導，使筆者在個案實作上更增進許多理論的基礎。此外也要感謝郭更生博士、蔡銘箴博士擔任本論文的口試委員，並提供筆者改進的建議與方向，使本論文更趨嚴謹。. 有幸能在進入社會工作多年之後，能夠重新回到學校並且參與相關的研究工作，兩年期間雖然背負了工作與課業的雙重壓力，惟想起這段期間所曾參與發表之學術期刊及論文著作，對於自己的付出亦是一種肯定。此外與教授、助教、同學之間無論是課程上的研討或是課餘的參與活動、餐敘…等亦都充滿無盡的回味。. 最後，要感謝我摯愛的妻子與家人。若沒有您們的體諒與支持，使我能在繁忙的工作與課業中取得平衡，則不敢奢望能於兩年內順利取得學位。此外，對於修業期間曾經提供協助的長官、同事與好友，藉此致上我最誠摯的謝意。鄭東昇謹誌中華民國九十四年七月. 5.

(6) 目錄中文摘要…………………………………………………………………………………………….3 英文摘要…………………………………………………………………………………………….4 誌謝………………………………………………………………………………………………….5 目錄………………………………………………………………………………………………….6 圖目錄……………………………………………………………………………………………….7 表目錄……………………………………………………………………………………………….8 第一章緒論 .........................................................................................................................9 1.1. 研究背景與動機........................................................................................................................ 9 1.1.1 資訊安全現況 .................................................................................................................. 9 1.1.2. 資訊安全的迷思............................................................................................................... 9. 1.1.3.. 資訊科技投資走緩 ......................................................................................................... 10. 研究目的及範圍...................................................................................................................... 12 論文架構 ................................................................................................................................ 12. 1.2 1.3. 第二章文獻探討................................................................................................................14 2.1.. 資訊安全管理系統綜述........................................................................................................... 14 2.1.1. 資訊安全管理理論 ......................................................................................................... 14 2.1.2.. 資訊安全管理系統 ......................................................................................................... 15. 2.2.1. 資訊安全管理標準與適用範圍................................................................................................ 17 ISO國際標準 ................................................................................................................. 17. 2.2.2. CNS國家標準 ................................................................................................................ 22. 2.2. 資訊安全管理作業要點－CNS 17799（ISO/IEC 17799）..................................................... 25. 2.3. 第三章企業資訊安全防護能力分析與研究 ........................................................................28 背景說明與文件來源 .............................................................................................................. 28 建立檢測評核要項表 .............................................................................................................. 28 評核結果與問題檢討 .............................................................................................................. 38. 3.1. 3.2. 3.3.. 第四章企業安全性修補程式架構之設計與實作 .................................................................44 4.1. 4.2. 4.3.. 基礎架構環境檢視 .................................................................................................................. 44 目前架構對於網路安全管理上不足處之分析 .......................................................................... 45 企業安全性修補程式之架構設計 ............................................................................................ 47 4.3.1. 企業安全性修補程式之管理需求 ................................................................................... 47 4.3.2.. 企業安全性修補程式之系統架構 ................................................................................... 48. 4.3.2. 成效評估........................................................................................................................ 59. 第五章研究結論與建議 .....................................................................................................62 5.1. 5.2.. 研究結論 ................................................................................................................................ 62 後續研究建議 ......................................................................................................................... 62. 參考文獻 ............................................................................................................................64. 6.

(7) 圖目錄圖 1.1：研究流程圖....................................................……………………………… 圖 2.1：PDCA 過程模式..................................................…………………………. 圖 2.2：建置資訊安全管理系統的過程....................................……………………. 圖 2.3：ISO/IEC JTC1/SC 27 組織架構................................…………………...... 圖 2.4：我國資通安全之組織架構........................................………………………. 圖 2.5：我國資通安全之組織架構........................................………………………. 圖 4.1：企業網路基礎架構圖............................................…………………………. 圖 4.2：伺服器端更新電腦安全性修補程式基礎架構圖......................……………. 圖 4.3：資訊系統組態管理流程設計－以修補程式安裝為例（一）............………. 圖 4.4：資訊系統組態管理流程設計－以修補程式安裝為例（二）............………. 圖 4.5：資訊系統組態管理流程設計－以修補程式安裝為例（三）............………. 圖 4.6：工作站端更新電腦安全性修補程式系統架構圖......................…………….. 圖 4.7：安全性修補程式更新系統之資產管理模組..........................………………. 圖 4.8：安全性修補程式更新系統之軟體派送模組..........................………………. 圖 4.9：DHCP 運作原理..................................................………………………….. 圖 4.10：RFC 2131 DHCP Message 封包格式與各欄位的意義..................……… 圖 4.11：RFC 1533 DHCP Option.........................................……………………… 圖 4.12：未授權工作站網路偵測原理之一.................................…………………… 圖 4.13：未授權工作站網路偵測原理之二.................................…………………… 圖 4.14：對未授權工作站之警告訊息.....................................……………………… 圖 4.15：伺服器端更新電腦安全性修補程式系統架構圖.....................……………. 圖 5.1：未授權工作站自動化缺點修補作業原理之一........................……………… 圖 5.2：未授權工作站自動化缺點修補作業原理之二........................………………. 7. 14 17 18 20 24 25 45 46 50 51 51 53 54 55 56 57 58 58 59 59 60 64 64.

(8) 表目錄表 1.1：電腦應急反應組/協調中心(CERT/CC)公佈重大安全事件分析…………… 表 1.2：企業尋求安全風險與利潤間平衡的計算方式……………………………. … 表 1.3：CERT/CC 公佈近年重大網路攻擊事件及所付出的代價………………….. 表 1.4：資訊科技影響力與投資指導方針..................................…………………… 表 2.1：資訊安全管理理論彙總..........................................………………………… 表 2.2：資訊安全管理系統過程要項......................................……………………… 表 2.3：ISO 組織中與資料安全有關之 TC...................................…………………. 表 2.4：國際標準制定流程..............................................…………………………… 表 2.5：ISO/IEC JTC1/SC27 WG1 已完成與進行中計畫.....................…………. 表 2.6：工作要項與解決各層級資通安全問題關聯性........................……………… 表 2.7：資訊安全管理認證簡史..........................................………………………… 表 2.8：BS7799-1(ISO/IEC 17799)內容增修概述...........................………………. 表 2.9：ISO/IEC 17799:2005(E)之資訊安全用語釋義.......................……………... 表 2.10：ISO/IEC 17799:2005(E)主要安全分類之脈絡......................…………….. 表 3.1：安全政策檢測評核要項表.......................................………………………. 表 3.2：組織資訊安全檢測評核要項表...................................…………………….. 表 3.3：安全政策資產管理檢測評核要項表...............................………………….. 表 3.4：人力資源安全檢測評核要項表...................................……………………. 表 3.5：實體與環境安全檢測評核要項表.................................…………………… 表 3.6：通訊與作業管理檢測評核要項表.................................…………………… 表 3.7：存取控制檢測評核要項表.......................................………………………. 表 3.8：資訊系統取得、開發、及維護檢測評核要項表.....................……………. 表 3.9：資訊安全事件管理檢測評核要項表...............................………………….. 表 3.10：營運持續管理檢測評核要項表..................................……………………. 表 3.11：營運持續管理符合性檢測評核要項表............................………………… 表 3.12：企業檢測未符合項目...........................................…………………………. 表 3.13：企業檢測結果統計.............................................…………………………… 表 4.1：工作站更新電腦安全性修補程式預估時間..........................……………….. 表 4.2：共同準則要求之缺點修補程序的證據內容和表現元件................………… 表 4.3：企業安全性缺點回應策略........................................………………………. 表 4.4：改善後伺服器電腦安全性修補程式更新效益評估表..................………….. 表 4.5：改善後工作站電腦安全性修補程式更新效益評估表..................…………... 8. 10 11 11 12 15 16 19 20 20 25 26 27 28 28 29 29 30 30 30 32 35 36 37 38 38 40 43 47 49 52 60 61.

(9) 第一章緒論 1.1 研究背景與動機 1.1.1 資訊安全現況 2004 年殺手病毒「WORM_SASSER.A」利用微軟視窗系統缺點 LSASS，透過 445 連接埠發動攻擊，感染用戶的電腦將會出現倒數關機畫面，Sasser 病毒侵入電腦後，會開啟程式攻擊其他網路上的用戶，造成網路堵塞，電腦運作緩慢，系統不斷倒數計時，並且重新開機，與 2003 年引起軒然大波的疾風病毒如出一轍。根據微軟發布的修補程式，與相對應攻擊病毒的誕生日比較，如表 1.1 所示 2001 年的娜妲病毒相差 336 天、 2003 年的 Slammer 病毒相隔 185 天、同為 2003 年的疾風病毒距離 26 天，而 2004 年的殺手病毒與修正程式 MS04-011 公佈的日期只有 18 天就爆發災情，已經創下有史以來最快之紀錄。從調查報告公佈的數據和狀況可以看出，各種網路安全漏洞的大量存在和不斷發現仍將是網路安全的最大隱患；漏洞公佈到利用相應漏洞的攻擊代碼出現的時間已經縮短到幾天甚至可能是一天的時間，這使得相關修補程式開發、安裝以及採取防範措施的時間壓力大大增加。網路攻擊行為日趨複雜，各種方法相互融合，使網路安全防禦更加困難，防火牆、入侵監測系統等網路安全設備已不足以完全阻擋網路安全攻擊；駭客攻擊行為組織性更強，攻擊目標從單純的追求“榮耀感＂向獲取多方面實際利益的方向轉移，木馬、間諜程式、惡意網站、僵屍大軍(BotNet)等的出現和日趨氾濫，則是這類趨勢的實證。手機、掌上型電腦等無線終端設備的處理能力和功能通用性提高，使其日趨接近個人電腦，針對這些無線終端設備的網路攻擊已經開始出現，並將進一步發展。總之，網路安全問題變得更加錯綜複雜，影響將不斷擴大，很難在短期內得到全面解決。. 1. 2.. 3.. ▼表 1.1：電腦應急反應組/協調中心(CERT/CC)公佈重大安全事件分析資料來源：http://www.cert.org/ 重大蠕蟲漏洞攻擊週期： 2001 年 Nimda 娜妲病毒從發現缺點到發作，相隔 336 天。 2003 年 Slammer 病毒相隔 185 天。 2003 年 Blaster 疾風病毒距離 26 天。 2004 年 Sasser 殺手病毒，距離缺點公佈日期，只有 18 天。網路攻擊活動趨勢：趨勢 1－自動化，攻擊工具速度快。趨勢 2－攻擊工具愈來愈成熟。趨勢 3－發現漏洞的速度愈來愈快。趨勢 4－防火牆可滲透性增加。趨勢 5－非對稱的威脅增加。趨勢 6－對基礎設施攻擊的威脅增加。. 1.1.2 資訊安全的迷思一般使用者可能對電腦病毒或駭客攻擊具有初淺的瞭解，即使是企業的主管亦可能對一般的數位安全（digital security）未付出太多關注且避免直接參與應付這個問題。一方面是因為數位安全是個極端復雜的問題，要有各種專業化的科技知識才能處理；而另 9.

(10) 一方面大部份的安全入侵實際上源自內部疏忽，若真的要預防得靠不斷的嘮叨叮嚀，而這卻是大多數主管不想做的事。此外，數位安全是無形的，如表 1.2 所示只有遇事不出事的時後才知道在這方面是成功的，所以即使員工在這方面做得好，但個人所獲得的獎勵卻極少【1】。因此，企業的主管通常都是把數位安全的責任丟給技術人員或是外部的安全顧問，這種與安全保持距離的方式極為不智。根據產業的估計，網路攻擊事件每年影響 90%企業，如表 1.3 所示造成的損失達數十億美元，若加上入侵事件則損失可高達上百億美元。防護措施則相當昂貴，企業平均要花資訊科技預算的 5%~10%在安全防護上，甚至更重要的是，資訊安全事件對業務的影響會更為深遠，它使得營運停擺、造成顧客疏遠且有損商譽。. 1. 2.. 3.. ▼表 1.2：企業尋求安全風險與利潤間平衡的計算方式資料來源：哈佛商業評論財務數學估算企業尋求安全風險與利潤間平衡的計算方式： EV＝C×P EV：期望值 C：安全事件的相關成本 P：安全事件發生的機率當安全事件造成損失的機率是 0.01%、0,001%甚至於無法確定時，則花大錢才能避免損失的證明將會變得相當困難。. ▼表 1.3：CERT/CC 公佈近年重大網路攻擊事件及所付出的代價發生年份. 病毒名稱. 損失金額 (以美金計算 ). 2001 2001 2002 2003 2004. 娜妲 (Nimda) 紅色警戒 (Code Red) 求職信 (Klez) SQL警戒 (SQL Slammer) 疾風病毒 (Mblast). 6.35 億美金 26.2億美金 90 億美金 10 億美金 26 億美金. 1.1.3. 資訊科技投資走緩 1968 年英特爾（Intel）發明瞭微處理器，帶動一系列改造商業世界的科技重大突破，例如桌上型電腦、區域網路（LAN）、廣域網路（WAN）和網際網路（Internet）。如今，資訊科技為商業骨幹的說法已是無庸置疑，隨著資訊科技的影響力和普及性不斷擴大，企業開始視之為攸關成敗的重要資源，而且這樣的情形已明顯反映在企業的花費習慣上。依據美國國務部經濟分析局（Bureau of Economic Analysis）所進行的調查，在 1965 年美國企業的資本支出只有不到 5%的比例用於資訊科技。1980 年代初期個人電腦問世之後這個百分比一舉攀升至 15%，到了 1990 年代初期更是超過 30%；及至 1990 年代末期則是逼進 50%。隨著資訊科技的影響力和普及性不斷擴大，但其在策略上的重要性卻逐漸遞減。一項資源之所以具備真正的策略價值即在於具備維持長期競爭優勢之根基的能力，其所憑藉的並非普遍性而是稀有性。唯有擁有或執行競爭對手無法擁有或無能為力的事情，才能取得優勢。科技可區分為專屬科技（proprietary technology）與基礎建設科技（infrastructural technology），前者可以實際為個別公司所有，只要持續受到保護則專屬科技就可以成為 10.

(11) 長期策略優勢的基礎，促使公司獲利高於競爭對手。相形之下基礎建設科技（例如鐵路、電力、網路）在共用時比獨佔使用時更具價值，因為基礎建設科技促成嶄新、更有效率的營運方式並導致廣泛的市場變革。雖然基礎建設科技在初期階段也會以專屬科技的形勢呈現，但是當科技的商業潛能開始廣為人知，勢必會有大量現金擁入而使得科技取得的優勢機會只開啟非常短暫的時間，即使企業可以在基礎建設科技擴建完成後得到成本優勢的好處，但往往也非常難以長期延續。資訊科技是非常容易複製的，而且大部份商業活動和流程都已被建入軟體，因此這些活動和流程也變得可以複製，當網際網路到來時則為應用軟體提供了一個完美的傳送通路，因而加速了資訊科技的商品化。從微軟到 IBM 等大多數商業科技提供商，紛紛試圖把自己定位為資訊科技公用事業（utility），此舉導致資訊科技的同質性更高。如表 1.4 所示由於科技發展的步調快速，因此延遲資訊科技投資或能成為另一個削減成本的有效方法並避免資訊科技迅速淘汰的高額成本【2】。Alinean 顧問公司在 2002 年比較了 7500 家美國大型企業的資訊科技支出和財務表現，結果發現績效最優異的企業往往是荷包掐得最緊的公司；研究機構 Forrester Research 近來進行的一項研究也驗證了相同的假設。隨著取得資訊科技優勢的機會愈來愈小，花費過多的懲罰將只會有增無減。. 1. 2.. 3.. ▼表 1.4：資訊科技影響力與投資指導方針資料來源：哈佛商業評論資訊科技投資已趨緩慢之跡象：網際網路的能力已趕上了需求。資訊科技的影響力逐漸超過它所能滿足的大部份商業需求。基本資訊科技的價格已經降低到幾乎人人負擔得起的程度。資訊科技供應商急於把自己定位為商品供應商，甚至是公用事業。企業投資資訊科技與管理系統之指導方針：減少支出。追隨即可，不要主導。鎖定弱點，而非機會。. 11.

(12) 1.2 研究目的及範圍在第一節的研究中，可以發現網路安全問題會隨著時間變得更加錯綜複雜，影響也將會不斷擴大，但是企業對於資訊科技的投資卻逐漸走緩而形成強大的對比，此舉似乎會加速網路安全事件的發生。事實上對於資訊科技的假設應該為當該項資源已變為競爭不可或缺的要素，但對策略卻不具影響性時，則它所造成的風險就比所提供的優勢更為重要；基礎建設科技雖不再左右個別公司策略，但影響的範圍卻會提昇至國家、國際總體經濟層次。當資訊科技為更多人所取得，基礎建設科技的擴建也會讓使用者採納統一的技術標準，隨著最佳實務漸漸廣為瞭解和模仿，即便是科技的使用也開始標準化。所謂標準就是基於公平、公正、便利等觀點做好統一規範與單純化時之必要條件；而通稱的規格就是這些標準中直接或間接的有關產品或服務品質之技術上的規範事項。今日有關資訊安全宜遵循的策略，都是在不完整之資訊內容下做決定的，標準可以減輕因不完整資訊引發之困難，因為標準可以減少選擇的範圍而簡化資訊之供給與需求決策制定的過程。筆者自 1997 起即進入民間大型企業任職，當中經歷 1998~2000 年網際網路的高成長期與 2002 網路泡沫在最大的時候破滅，對於企業資訊安全所遭遇之困境自是點滴在心頭，所以在本研究中，希望針對資訊安全管理標準應用於企業網路安全宜採用之控制措施進行分析並提出實作成果。對於企業資訊人員而言，在規劃企業網路安全時，可依本研究結果做基礎進行規劃作業，則可有效減少資訊人員在規劃上進行評估及分析的時程。. 1.3 論文架構本論文共分為五章，除了本章緒論外；在第二章文獻探討的部分，我們將探討資訊安全管理系統並列舉資訊安全管理標準與適用範圍；第三章探討企業資訊安全防護能力；第四章則是企業安全性修補程式架構之設計與實作；第五章，也是本論文的最後一章則是本研究的研究結論與建議。如圖 1.1 所示為本論文之研究流程圖。. 12.

(13) 研究動機與目的. 文獻探討與回顧. 資訊安全管理系統相關文獻探討. 資訊安全管理標準相關文獻探討. 企業資訊安全防護能力個案探討. 企業網路安全之控制措施與實作. 研究結論與建議. ▲圖 1.1：研究流程圖. 13.

(14) 第二章文獻探討 2.1. 資訊安全管理系統綜述由於資訊科技的快速進步，計算機的使用從集中式大型主機、個人電腦、區域網路、逐步演進發展到目前的網際網路。資訊系統的使用者也從原本只侷限於組織內部的資訊技術人員，漸漸增加為組織內部的非技術人員與外部的使用者。隨著資訊新科技的不斷推陳出新，使用者的範圍不斷的擴大並且對資訊系統依賴程度與日俱增，這使得資訊安全面臨更大的挑戰。本節由管理理論的探討嘗試為建構資訊安全管理系統可為可信賴資訊作業環境之指引尋找佐證。. 2.1.1. 資訊安全管理理論對於研究者而言，瞭解資訊安全管理理論基礎可以將前人研究所累積的知識進一步整合與連結，以發展更成熟的理論。由於資訊科技的快速進步，使得組織對資訊科技得依賴日深，資訊安全已不只是一項防禦性策略，更成為組織的競爭策略，因此資訊安全管理理論將關係到資訊安全的研究，更影響到資訊安全策略之擬定。如表 2.1 所示利用分析文獻方式【3】可將資訊安全管理理論歸納為安全政策理論、風險管理理論、控制與稽核理論、管理系統理論與權變理論五種。安全政策理論、風險管理理論、控制與稽核理論均由資訊安全的某一環節切入，雖切入點不同但後續的資訊安全管理內涵則是相同的。上述各理論均為資訊安全管理的一個環節或部份所組成，這當中又以管理系統理論較為完整。 ▼表 2.1：資訊安全管理理論彙總理論主要管理活動管理程式特性安全政策理論安全政策制定循序流程以資訊安全政策為主要內涵，忽視風險管理、內部控安全政策實施循環週期制與資訊稽核等安全機制安全政策維護重視循序與結構化，對於環境的應變能力較低循序流程強調資訊安全環境的瞭解與風險管理理論風險評鑑與應變，使控制制度可符合循環週期風險分析組織的需求風險評估忽視安全政策與資訊稽核等風險處理安全機制建立控制制度實施控制制度重視循序與結構化檢討修正控制與稽核理論制定控制制度循序流程以內部控制及資訊稽核為主要內涵，忽視安全政策與風實施控制制度循環週期險評估等安全機制資訊稽核重視內部控制之澈底執行，對於環境應變與需求規劃較為不足管理系統理論制定安全政策循序流程資訊安全風險管理機制較其他理論完整定義風險範圍 14.

(15) 權變理論. 風險管理風險評估風險控制實施政策導向策略風險管理導向策略控制與稽核導向策略管理系統導向策略. 忽視資訊稽核欠缺循環週期與回饋功能. 權變流程. 可充分反應組織內外環境，選擇適當的安全策略欠缺整合性與結構化. 資料來源：資管評論. 2.1.2. 資訊安全管理系統資訊安全管理系統（Information Security Management System，簡稱 ISMS）係指組織應建立及維護一套系統以強調需要被保護的資訊系統資產，並且採用風險管理方法、控制目標、控制方法、以及所需要的安全保證程式。ISMS 分為六大步驟：（1）定義政策；（2）定義範圍；（3）進行風險評估；（4）風險管理；（5）選擇要實行的控制目標及控制方法；（6）準備適用性聲明等，形成一個程式化的安全管理系統。一般熟悉之「計畫-執行-檢查-行動」（Plan-Do-Check-Act，簡稱 PDCA）模式【4】，可應用於資訊安全管理過程，如圖 2.1 所示為資訊安全管理系統如何採用資訊安全要求之輸入及利害相關團體之期望作為輸入端，經由如表 2.2 的措施產生符合所需要及期待的資訊安全輸出結果；圖 2.2 是建置資訊安全管理系統的過程。PDCA 過程模式可描述如下： 1. 計畫（建立 ISMS）：建立安全政策、目標、標的、過程及相關程序以管理風險及改進資訊安全，使結果與組織整體政策與目標相一致。 2. 執行（實施與操作 ISMS）：安全政策、控制措施、過程與流程之實施與操作。 3. 檢查（監控與審查 ISMS）：依據安全政策、目標與實際經驗，以評鑑及測量(適當時)過程績效，並將結果回報給管理階層加以審查。 4. 行動（維持與改進 ISMS）：依據管理階層審查結果採取矯正與預防措施，以達成持續改進資訊安全管理系統。. 過程. 計畫. 執行. 檢查. ▼表 2.2：資訊安全管理系統過程要項實施要項定義資訊安全管理系統的範圍與政策定義風險評鑑的系統化方法鑑別各項風險採用該系統化方法以評鑑風險鑑別並評鑑處理風險的選項作法選擇控制目標及控制措施以處理風險實施既定的管理規畫實施所選的控制措施作業管理管理資源實施作業程序及其他管制過程執行作業程序及其他控制措施定期審查資訊安全管理系統的有效性審查殘餘風險（residual risk）與可接受風險（acceptable risk）之層級 15.

(16) 行動. 執行各項管理作業程序定期執行正式的資訊安全管理系統審查作業記錄與回報所有的措施與事件測量資訊安全管理系統的績效鑑別資訊安全管理系統之可改善處並有效實施採取適當矯正及預防措施與所有相關機構就結果及各項措施進行溝通並徵詢意見必要時修改資訊安全管理系統確認各修改措施已達到預期目標. 計畫建立ISMS. 利害相關團體執行資訊安全要求及期望. ISMS實施與操作. 開發、維護及改進循環. 利害相關團體維持與改進 ISMS. 監控與審查ISMS 檢查. ▲圖 2.1：PDCA 過程模式. 16. 行動管理式資訊安全.

(17) ▲圖 2.2：建置資訊安全管理系統的過程. 2.2 資訊安全管理標準與適用範圍目前國內外系統開發，均已朝向開放系統之方向進行，且由於寬頻網路、無線網路及網際網路之盛行帶來數位社會的商機與風險，而資訊安全已成為數位社會能否進一步發展的關鍵。所謂標準就是基於公平、公正、便利等觀點做好統一規格與單純化時之必要條件；而通稱的規格就是這些標準中直接或間接的有關產品或服務品質之技術上的規範事項。國際上標準化的主要目的在於創造物品交換、技術轉移的貿易環境；例如產品品質及信賴性與價格相符，保障使用者的安全並促進資源的再利用，物品、技術與服務的互運性以及彼此之間的接續性，單純化以減少塑模數。期能擴大生產規模以降低成本，並強化維修保養的便利性與配銷的效率性。資訊安全標準的制定早已在世界各國及若干國際組織行之有年，而我國中央標準檢驗局亦持續進行資訊安全相關國家標準之修訂工作，並且將資訊安全標準之修訂工作列為標準檢驗局重點工作. 2.2.1 ISO 國際標準國際標準組織(International Organization for Standardization，簡稱 ISO)為一世界性組織，其成員是由來自世界約 130 個國家級標準組織代表所組成（均為聯合國成員國），其下設有 2850 個技術委員會（Technical Committee，簡稱 TC）、分組委員會（Subcommittee，簡稱 SC）及工作小組（Working Group，簡稱 WG）負責各項國際標準之制定工作，如表 2.3 所示為 ISO 組織中與資料安全有關之 TC【5】。 1977 年 1 月 5 日，美國頒布聯邦資訊處理標準(Federal Information Processing Standards，簡稱 FIPS)出版品(Publication)第 46 號之資料加密標準(Data Encryption 17.

(18) Standard，簡稱 DES)起，雖著金融交易的需求，至 1987 年 6 月 1 日 ISO 第 68 技術委員會(Technical Committee，簡稱 TC68)根基於 DES，頒布了 ISO 8731，成為第 1 分 ISO 之資訊安全的國際系列標準【6~7】。為制定密碼技術之標準，負責訂頒資訊處理(Information processing)標準之 ISO TC 97 於 1981 年 1 月召開第 1 次之第 1 工作會(Working Part 1，簡稱 WP1)，自 1983 年起， TC 97 WP 1 將此項工作轉交由德國標準機構支援的「資料密碼學技術(Data cryptographic techniques)」的 20 分組(Subcommittee，簡稱 SC20)，SC20 下轄秘密金鑰演算法與應用(Secret key algorithms and applications)之第 1 工作小組(Working Group，簡稱 WG 1)、公開金鑰密碼系統與模的使用(Public key crypto-systems an modes of use)之 WG 2 與在通訊架構中使用加密技術(Use of decipherment techniques in communication architectures)的 WG 3，正式展開資訊安全國際標準的制定工作。 1989 年，由 ISO 與國際電工委員會(International Electro technical Commission，簡稱 IEC)，在根基於共同與一般之安全測量標準已取代僅根基於密碼學應用之特定範圍標準的制定工作，成立如圖 2.3 所示之 ISO/IEC 第 1 聯合技術委員會(Joint Technical Committee，簡稱 JTC 1)的資訊技術(Information Technology，簡稱 IT)安全技術(Security Techniques，簡稱 ST)之第 27 分組委員會(Sub-Committee，簡稱 SC27)。ISO/IEC JTC1/SC 27 下轄 3 個工作組(Working Group，簡稱 WG)分別就資訊安全之「需求、安全服務與指導綱要」、「安全技術與機制」及「安全評估準則」遵循如表 2.4 之流程制定國際標準，如表 2.5 是 ISO/IEC JTC1/SC27 WG1 已頒布和正制定中之國際標準。：. 1.. 2. 3.. ▼表 2.3：ISO 組織中與資料安全有關之 TC TC 68 Banking、securities and other financial services 技術委員會，其下設有： 1.1. SC 2 Security management and general banking operation 分組委員會 1.2. SC 4 Securities and related financial instruments 分組委員會 1.3. SC 6 Retail financial services 分組委員會 1.4. WG 3 Bank-telecommunication messages 分組委員會 1.5. WG 4 Security coordination 分組委員會 TC 154 Processes，data elements and documents in commerce，industry and administration 分組委員會 JTC 1 information technology 分組委員會，設有： 3.1. SC 17 Identification cards and related devices 分組委員會，其下設有： WG 1 Physical characteristics and test methods for ID-cards WG 3 Identification cards－Machine readable travel documents WG 4 Integrated circuit card with contacts WG 5 Registration Management Group（RMG） WG 7 Financial transaction cards WG 8 Integrated circuit cards without contacts WG 9 Optical memory cards and devices 3.2. SC 27 IT Security techniques 分組委員會，其下設有： WG 1 Requirements、security services and guidelines WG 2 Security techniques and mechanisms WG 3 Security evaluation criteria. 18.

(19) ISO/IEC JTC 1/SC 27 Information technologySecurity techniques. Working Group 1 Requirements, Security services, Guidelines. Security Management. Working Group 2 Security techniques and mechanisms. Working Group 3 Security evaluation criteria. Cryptographic 、 Non-cryptographic and Information Security Management System. Security Assurance. ▲圖 2.3：ISO/IEC JTC1/SC 27 組織架構. 1.. 2. 3. 4.. 5.. 6.. 7.. 1. 2.. ▼表 2.4：國際標準制定流程研究階段(Study Period)：就一標準之需求非正式的交由委員會加以研究，將其結果就此需求刪除或提交新工作項目建議書(New work item Proposal，簡稱 NP)進行票決。新工作項目建議書(NP)階段：完成提交 JTC1 秘書處之建議書。工作草案(Working Draft，簡稱 WD)階段：分項委員會(SC)或工作小組(WG)內部文件集。委員會草案(Committee Draft，簡稱 CD)或技術報告草案建議(Proposed Draft Technical Report，簡稱 PDTR)階段：當 WD 考量其穩健性已足夠充分後，由分項委員會向 ISO/IEC 之資訊技術工作組(Information Technology Task Force，簡稱 ITTF)登錄成為 CD，由 SC 國家會員代表在 3 個月內投票並提出評論，相關文件由 JTC1 派送。國際標準草案(Draft International Standard，簡稱 DIS)或技術報告草案(Draft Technical Report，簡稱 DTR)階段：當 CD 或 PDTR 已充分討論，無技術面被期待之修改，SC 向 ITTF 提出票決成為 DIS 或 DTR，由 JTC1 國家會員代表 4 個月內投票並提出評論。國際標準(International Standard，簡稱 IS)或技術報告(Technical Report，簡稱 TR) 階段：遵循 IS 或 TR 出版之程式，就各個國家會員代表發現技術錯誤的瑕疵報告 (Defect Report)，SC 決定此 IS 或 DTR 修正、取銷或頒布 IS 或 TR。審核(Review)階段：每分 IS 或 TR 在 5 年內應重新審核，由 SC 負責提出 IS 或 TR 宜修正、作廢或維持之確認報告後，由 JTC1 決定。. ▼表 2.5：ISO/IEC JTC1/SC27 WG1 已完成與進行中計畫 SC27 目前有 31 個有投票權的成員，11 個無投票權的觀察員。 SC 27 WG1 已完成與進行中之計畫： 2.1. ISO/IEC 9979 (1999-04-01)：Information technology - Security techniques Procedures for the registration of cryptographic algorithms。 2.2. ISO/IEC 11770-1 (1996-12-15)：Information technology - Security techniques 19.

(20) - Key management - Part 1: Framework。 2.3. ISO/IEC 13335-1 (2004-11-15)：Information technology - Security techniques - Management of information and communications technology security (MICTS) - Part 1: Concepts and models for information and communications technology security management。 2.4. ISO/IEC 4th WD 13335-2 (2004-10-23)：Information technology - Security techniques - Management of information and communications technology security (MICTS) - Part 2: Techniques for information and communications technology security risk management。 2.5. ISO/IEC TR 13335-3 (1998-06-15)：Information technology - Security techniques - Guidelines for the management of IT security (GMITS) - Part 3: Techniques for the management of IT security。 2.6. ISO/IEC TR 13335-4 (2000-03-01)：Information technology - Security techniques - Guidelines for the management of IT security (GMITS) - Part 4: Selection of safeguards。 2.7. ISO/IEC TR 13335-5 (2001-11-01)：Information technology - Security techniques - Guidelines for the management of IT security (GMITS) - Part 5: Management guidance on network security。 2.8. ISO/IEC TR 14516 ( 2002-06-15)：Information technology - Security techniques - Guidelines on the use and management of Trusted Third Party services。 2.9. ISO/IEC 15816 (2002-02-01)：Information technology - Security techniques Security information objects for access control。 2.10. ISO/IEC 15945 (2002-02-01)：Information technology - Security techniques - Specification of TTP services to support the application of digital signatures。 2.11. ISO/IEC TR 15947 (2002-10-15)：Information technology - Security techniques - IT intrusion detection framework。 2.12. ISO/IEC 2nd FDIS 17799 (2005-02-11)：Information technology - Security techniques - Code of practice for information security management。 2.13. ISO/IEC 1st CD 18028-1 (2004-12-01)：Information technology - Security techniques - IT network security - Part 1: Network security management。 2.14. ISO/IEC 2nd FCD 18028-2 (2004)：Information technology - Security techniques - IT network security - Part 2: Network security architecture。 2.15. ISO/IEC 2nd FCD 18028-3 (2004)：Information technology - Security techniques - IT network security - Part 3: Securing communications between networks using security gateways。 2.16. ISO/IEC 18028-4 (2005)：Information technology - Security techniques IT network security - Part 4: Remote access。 2.17. ISO/IEC 1st CD 18028-5 (2004-12-03)：Information technology - Security techniques - IT network security - Part 5: Securing communications across networks using Virtual Private Networks。 2.18. ISO/IEC 2nd CD 18043 (2004-12-10)：Information technology - Security techniques - Guidelines for the implementation, operation and management of Intrusion Detection Systems (IDS)。 2.19. ISO/IEC TR 18044 (2004-10-15)：Information technology - Security techniques - Information security incident management。 20.

(21) 2.20.. 2.21.. ISO/IEC 1st WD 24742 (2005-01-10)：Information technology - Security techniques - Information security management metrics and measurements。 ISO/IEC FCD 24743 (2004-12-04)：Information technology - Security techniques - Information security management systems requirements specification。I. 21.

(22) 2.2.2 CNS 國家標準我國有關於資訊安全的標準大部份皆依 ISO 相關標準為制定之依據。1995 年行政院成立國家資訊通信基本建設(National Information Infrastructure，簡稱 NII)專案，「資訊安全」列入主要規劃項目之一，其目的在確保 NII 中各項資訊應用資料的安全使用。自 1996 年起，以 ISO/IEC JTC1/SC 27 WG2 的「實體驗證」與 ISO TC 68 及 ISO/IEC JTC1/SC 27 的「識別卡以及相關裝置(Identification card and related devices)」分組委員會制定之「金融交易卡」等國際標準等以委辦案方式轉訂成我國國家標準(Chinese National Standard，簡稱 CNS)草案，再由 CNS「資料安全技術」的 11 分組(SC 11)負責審議，公佈 CNS 標準【8】。2001 年起，前述委辦之方向，配合「建立我國通資訊基礎安全機制計畫」之工作，從密碼應用的特定範圍標準，轉換成 ISO/IEC JTC1/SC 27 WG1 與 WG3 之「資訊安全管理」及「資訊安全評估」相關國際標準和 ISO/IEC JTC1/SC 27 的「軟體工程過程評鑑」與「軟體產品評估」等相關國際標準等，轉訂成 CNS 草案的現行方向。 2001 年 2 月 5 日，行政院函送「建立我國通資訊基礎建設安全機制計畫」至各所屬機關並要求切實配合辦理，正式開啟了我國資訊安全發展的新頁。近年來世界各國（如美、英等國）皆全力投入推動資訊安全基礎建設，再加上「七二九全台大停電」及「九二一大地震」對台灣社會所造成莫大的衝擊，根基於此，有關單位於 1999 年春季起意識到通資訊基礎建設安全對國家的重要性，隨即著手規劃「我國通資訊基礎建設安全機制」；但由於我國現有之通資訊安全措施均侷限於局部性，並無整體防護、識別及回復能力等，為爭取時效，NII 專案推動小組研討相關規劃作業；經審慎研擬，於 2001 年 1 月 31 日召開「國家資通安全會報」第一次會議，期以 4 年的時間，以圖 2.4 與 2.5 之架構完成「建立我國通資訊基礎建設安全機制計畫」。前述計畫在行政院正式成案之前，動員人數之多、牽涉層面之廣、民間互動之深等各方面，於我國資訊安全領域均屬空前，未來對資訊安全方面之科技專案研發方向，可能亦將產生深遠的影響。國家通資安全會報成立時，是由行政院院長與副院長分別擔任正、副召集人，並由行政院資訊通信發展推動小組(National Information and Communication Initiative Committee，簡稱 NICI)的總召集人擔任執行長，會報下設立綜合業務工作組、危機通報工作組、技術服務中心、網路犯罪工作組、資料蒐集工作組、稽核服務工作組與標準規範工作組等七個組，負責推動國家通資訊安全基礎建設之各項工作，其中標準規範工作組是由經濟部為主要負責單位，而研考會、國防部、交通部、財政部則配合協辦，主要職掌陳述如下： 1 訂定資通安全技術標準。 2 訂定各機關辦理資通安全有關作業規範。 3 規劃建置資通安全檢測技術（備考：此項職掌已於 2004 年 10 月刪除）。 4 規劃建置資通安全驗證方法。 5 規劃建置資通安全認證程式。為達成前述計畫之工作計畫目標，經濟部標準檢驗局已根基於 1994 年公佈之世界貿易組織烏拉圭回合多邊貿易談判協定(The Results of The URUGUAY Round of Multilateral Trade Negotiations)技術性貿易障礙協定(Agreement on Technical Barriers to Trade，簡稱 TBT)附件 1~3(Annex 1~3)之規範，分以下述 4 項為工作方向推動相關工作中： 1. 資訊技術安全評估共同準則(ISO/IEC 15408)系列、資訊安全管理(ISO/IEC 17799)、軟體處理評估(ISO/IEC TR 15504)系列等標準之制定。 2. ISO/IEC 15408 系列標準中針對不同產品(例：存取管制、密碼模組、金鑰憑證 22.

(23) 3.. 4.. 發行及管理)之保護剖繪(Protection Profile)與其之共同性檢測技術之建置。將 BS 7799-2(Information Security Management Systems Part 2： Specification for Information Security Management Systems)轉定為國家標準，建置我國通資訊安全之管理系統驗證作業體系。符合 ISO/IEC Guide 62、ISO/IEC Guide 65 與 ISO/IEC 17025 之要求，分別建置通資訊安全管理系統認證、產品驗證認證以及實驗室認證之認證程式。. 2002 年 12 月 5 日經濟部標準檢驗局分別公佈 CNS 17799 與 CNS 17800，並於 2003 年 5 月 12 日根基於 EA7/03：2000 公佈「資訊安全管理系統驗證／登錄機構之認證指引」，完備資訊安全管理系統驗證作業相關的國家標準。在共同準則方面，經濟部標準檢驗局於 2004 年 1 月 9 日及 4 月 12 日，依序公佈「資訊技術－安全技術－資訊技術安全評估準則」之 CNS 15408 系列標準之第 1 部、第 2 部及第 3 部。前述計畫執行 3 年多來於推動政府機關對於資訊安全之重視，與帶動民間對於資訊安全防護工作的投入不遺餘力，並已具初步成效，唯因資訊安全工作係一需持續推動之重要工作，「行政院國家資通安全會報」於 2004 年 5 月 7 日已正式公佈我國 2005 至 2008 年的第二期「建立我國通資訊基礎建設安全機制計畫」，做為我國擬定資訊安全政策及如表 2.6 所示工作要項以及解決各層級資訊安全問題關連性的依據【9~15】。. 行行政政院院國國家家資資通通安安全全會會報報國家安全會議顧問. 國家資通安全諮詢委員會. 總總召召集集人人：：行行政政院院副副院院長長兼兼委員委員：：相相關關部部會會首首長長及及北北高高市市長長執執行行長長：：行行政政院院N NIC ICI組 I組總總召召集集人人兼兼副副執執行行長長：：國國家家安安全全會會議議派派員員兼兼行行政政院院主主計計處處電電子子處處理理資資料料中中心心主主任任兼兼. 綜. 資訊蒐集工作組國科會中科院工研院資策會相關公協會民間業者. 網路犯罪工作組. 務. 組. 技術服務中心. 法務部內政部國防部交通部. 備考： 3. 國家資通安全諮詢委員會於 2002 年 6 月 6 日成立。 4. 2001 年 1 月 17~2003 年第 2 季由行行政院院長兼召集人，行政院副院長兼副召集人。 5. 2003 年 3 月 17 日院臺經字第 0920083360 號函修正。. 經濟部主計處國防部交通部財政部教育部中科院工研院電信研究所資策會民間業者. 危機通報工作組. 主計處 (電子中心 ) 內政部國防部交通部財政部經濟部教育部衛生署研考會 … … ... ▲圖 2.4：我國資通安全之組織架構(90 年 1 月 17 日~93 年 10 月). 23. 危機通報分組等八組. 稽核服務工作組主計處 (電子中心 ) 國防部交通部經濟部財政部. 業. 國家資通安全應變中心. 標準規範工作組經濟部研考會國防部交通部財政部. 合.

(24) 行政院國家資通安全會報總召集人：林政務委員兼執行長：科技顧問組執行秘書兼協同總召集人:研考會主委兼副執行長：主計處電子中心主任兼委員：部會及直轄市副首長兼國防部派員兼研考會資管處長兼. 國家資通安全諮詢委員會. 標準規範組 (經濟部) 研考會、國防部交通部、財政部. 稽核服務組 (主計處). 法規偵防組 (法務部). 資訊蒐集分析組 (國科會). 國防部、交通部經濟部、財政部. 內政部、國防部交通部. 中科院、工研院、資策會、相關公協會、民間業者. 通報應變組 (研考會). 綜合規劃組 (科顧組). 主計處、內政部、國防部、交通部、財政部、經濟部、教育部、衛生署. 技術服務中心研考會. 國防體系分組國防部. 行政機構分組研考會. 學術機構分組教育部. 事業機構分組一( ) 經濟部. 事業機構分組二( ) 交通部. 事業機構分組三( 一- ) 財政部. 事業機構分組三( 二- ) 金管會. 事業機構分組四( ) 衛生署. 備考： 1. 何全德(2004) 淺論國家資通安全工作推動方向，第六屆 2004 年「網際空間：資訊、法律與社會」學術研究暨實務研討會論文集，頁 15~23，2004 年 10 月 15 日。 2. 2004 年 10 月 21 日院臺科字第 0930090197 號函。. ▲圖 2.5：我國資通安全之組織架構(93 年 10 月~訖今) ▼表 2.6：工作要項與解決各層級資通安全問題關聯性工標. 作. 要. 建立國家資通建全國家資通強化國家資通確保國家資通項. 示. 層. 級. 安全事件通報安全防護能力安全認知與訓安全及促進國練推廣作業. 及危機應變體系. 一級層家庭使用者／小型. ○. 企業二級層大型企業三級層重要產業／基礎建設四級層國家性議題. ○. ○. ○. ○. ○. ○. ○. ○. ○. ○. ○. 五級層全球性議題行動方案. 際合作. ○ 1~10. 11~38. 39~55. 56~59. 資料來源：行政院國家資通安全會報（2004）建立我國通資訊基礎建設安全機制計畫（九十四年至九十七年），頁 18 與頁 51~79。. 24.

(25) 2.3 資訊安全管理作業要點－CNS 17799（ISO/IEC 17799）國際間建立數位社會資訊安全管理認證的工作，可以上溯至 1988 年 11 月，針對資訊安全專業人員應有的基本知識（Common Body of Knowledge，簡稱CBK）專門認證機構：國際資訊系統安全授證公會（International Information Sys tem Security Certification Consortium，簡稱(ISC)2）在英國的索爾斯伯利（Selisbury）正式成立。除了資訊安全專業人員的授證外，資訊系統安全管理規範的國際標準制定工作也在持續推動之中，表 2.7 是其發展簡史，表 2.8 是其增修後正式提交ISO 審議之內容概述。 2005 年 6 月 15 日公布之 ISO/IEC 17799:2005(E)對資訊安全之定義已修正如表 2.9 所示，除於層次之擴充外並擴及歸屬於相依性(Dependability)中的可靠性(Reliability)，其對資訊安全風險評鑑等作業過程產生深遠之影響。在每一個控制措施的陳述結構更分成表 2.10 之「控制」、「實作指引」與「其他資訊」三部分。原 2000 年 12 月 11 日公布之 ISO/IEC 17799:2000(E)的組織安全、人力資源與通信及作業管理三類資訊安全管理控制措施均有相當幅度之修正，在資產管理、存取控制、系統開發及維護等類的控制措施亦有增刪，同時增加「資訊安全事故管理(Information Security Incident Management)」類之控制措施，成為 11 類 133 項控制措施的資訊安全管理作業標準【16】。我國有關於資訊安全的標準大部份皆依 ISO 相關標準為制定之依據，2005 年 6 月經濟部標準檢驗局根基於 ISO/IEC 17799:2005(E)年版起草修訂中華民國國家標準 CNS 17799。 ▼表 2.7：資訊安全管理認證簡史 1. 1990 年：世界經濟合作開發組織（Organization for Economic Cooperation and Development，簡稱 OECD）轄下之資訊、電腦與通訊政策組織開始草擬「資訊系統安全指導方針」。 2. 1992 年：OECD 於 1992 年 11 月 26 日正式通過「資訊系統安全指導方針」。 3. 1993 年：英國工業與貿易部頒布：「資訊安全管理實務準則」。 4. 1995 年：英國訂定國家標準 BS7799 第一部分：「資訊安全管理實務準則」，並提交國際標準組織（International Organization for Standardization，簡稱 ISO）成為 ISO DIS14980。 5. 1996 年：BS7799 第一部分提交國際標準組織（ISO）審議之結果，於 1996 年 2 月 24 日結束 6 個月的審議後，沒有通過成為 ISO 標準之要求。 6. 1997 年： OECD 於 1997 年 3 月 27 日公佈密碼模組指導原則。英國正式開始推動資訊安全管理認證先導計畫。 7. 1998 年：英國公佈 BS7799 第二部分：「資訊安全管理規範」並為資訊安全管理系統認證之依據。歐盟於 1995 年 10 月公佈之「個人資料保護指令，自 1998 年 10 月 25 日起正式生效，要求以「適當標準（Adequacy Standard）」保護個人資料。 8. 1999 年：增修後之 BS7799 再度提交 ISO 審議。 9. 2000 年：增修後之 BS7799 第一部分於 2000 年 12 月 1 日通過 ISO 審議，成為 ISO/IEC17799 國際標準；第二部分未通過審議，將根基於公司治理（Corporate Governance）等原則修正。 10. 2001 年： 2001 年 9 月 OECD 在東京的會議中要求在 ISO/IEC17799 之基礎標準外，應針對個別產業及特性建立適用之資訊安全管理標準。ISO/IEC JTC1/SC27 WG1 於同年著手修訂 ISO/IEC 17799:2000(E)。 25.

(26) 英國於 2001 年 11 月公佈 BS7799-2：2002 草案（Draft），並公開徵求意見，請各個使用者團體在 2002 年 3 月 31 日以前發表看法後，綜理歸納預定於 2002 年 6 月公佈增修後之 BS7799-2 第二部分。 11. 2002 年： 2002 年 7 月 25 日，OECD 公佈「資訊系統與網路安全指導綱要：朝向安全的文化」，並取代 1992 年 11 月 26 日通過之版本。 2002 年 9 月 5 日，BS7799-2：2002 年版遵照 OECD 同年 7 月 25 日頒布之「資訊系統與網路指導綱要－朝向安全的文化」中的原則修正後正式發行。 2002 年 12 月 5 日，我國經濟部標準檢驗局分別根基於 ISO/IEC 17799 與 BS7799-2：2002 年版公佈中華民國國家標準 CNS 17799 及 CNS 17800。 12. 2003 年：資訊安全管理認證正式成為 ISO17799 國際標準。 13. 2005 年： 2005 年 6 月 15 日，OECD 公布 ISO/IEC 17799:2005(E)，我國經濟部標準檢驗局亦根基於 ISO/IEC 17799:2005(E)年版起草修訂中華民國國家標準 CNS 17799。註：目前除英國之外，已有荷蘭、丹麥、挪威、瑞典、波蘭、捷克、德國、瑞士、愛爾蘭、冰島、加拿大、巴西、澳洲、紐西蘭、日本、南韓、新加坡、馬來西亞、印度、阿拉伯聯合大公國、南非等國家同意使用 BS7799。. ▼表 2.8：BS7799-1(ISO/IEC 17799)內容增修概述內容 1999 年增修部分一安全政策強化評估鑑核章節 1.強化第三者存取控管事項二安全組織 2.增加委外安全管理章節三資產分類與控制增加安全標號管理章節四人員安全增加重大事故學習章節加強辦公室與員工安全的注意事項，同時減少強調專用五實體與環境安全電腦房的應注意事項 1.詳細規範開放系統安全事項六電腦與網路管理 2.增加公眾可用系統安全章節 3.改名為通訊與操作管理 1.強化系統監控事項七系統存取控制 2.增加可攜式資訊使用安全章節 1.增加密碼技術控管章節八系統開發與維護 2.增加可信賴資訊系統章節九業務持繼運作規劃詳細規範安全衝擊分析與計畫撰寫方式 1.強化法規事項十遵行 2.增加事件蒐集方式章節 3.增加密碼控管法規章節資料來源：Parkin, R. (1999) BS 7799，in Web Sec'99. 26.

(27) ▼表 2.9：ISO/IEC 17799:2005(E)之資訊安全用語釋義 1. 資訊安全(Information security)：保護資訊之機密性、完整性與可用性；得增加諸如鑑別性、可歸責性、不可否認性與可靠性。 2. 機密性(Confidentiality)：資料不得被未經授權之個人、實體或程序所取得或揭露的特性。 3. 完整性(Integrity)：對資產之精確與完整安全保證的特性。 3.1 可歸責性(Accountability)：確保實體之行為可唯一追溯到該實體的特性。 3.2 鑑別性(Authenticity)：確保一主體或資源之識別就是其所聲明者的特性。鑑別適用於如使用者、程序、系統與資訊等實體。 3.3 不可否認性(Non-repudiation)：對一已發生之行動或事件的證明，使該行動或事件往後不能被否認的能力。 4. 可用性(Availability)：已授權實體在需要時可存取與使用之特性。 5. 可靠性(Reliability)：使終如一預期之行為與結果的特性。 6. 資料來源： 6.1 ISO, (2005), Information technology – Security techniques - Code of practice for information security management, ISO/IEC FDIS 17799:2005-02-11, 2.6 節, 頁 1, ISO。 6.2 ISO, (2004), Information technology - Security techniques – Management of information and communications technology security – Part 1: Concepts and models for information and communications technology security management, ISO/IEC 13335-1:2004, ISO。 6.3 Avizienis, A. et al., (2004), Basic Concepts and Taxonomy of Dependable and Secure Computing, IEEE Transactions on Dependable and Secure Computing, Vol.1, No.1, pp.11~33, IEEE.. ▼表 2.10：ISO/IEC 17799:2005(E)主要安全分類之脈絡 1. 每個主要安全類別包括： 1.1 一個陳述何種目標要被達成的控制措施目標， 1.2 一個或多個可用以達成該控制目標的控制措施。 2. 控制措施結構如下： 2.1 控制(Control)：定義明確的控制陳述以符合該控制目標。 2.2 實作指引(Implementation guidance)：提供更多詳細的資訊以支援該控制的實作，並符合該控制目標。有些指引可能不適用於所有的案例，因此使用其他方法的實作可能更合適。 2.3 其他資訊(Other information)：提供可能須被考量的進一步資訊，例如：法律上的考量及其他標準的參考。. 27.

(28) 第三章企業資訊安全防護能力分析與研究 3.1. 背景說明與文件來源本研究探討實例為總部設於台灣之大型跨國企業，該企業除台灣之外於美國、歐洲、日本、中國均設有分工司，員工總數合計約 3 萬人。該企業自成立至今由於專注於提供最先進的製造技術及最完備的智財、設計工具、及設計流程，目前該企業已是該領域規模最大之專業製造公司。本研究以該大型跨國企業例，收集資訊安全相關文件進行整理、分析與歸納。另一方面以我國經濟部標準檢驗局起草修訂之新版國家標準 CNS 17799（ISO/IEC 17799:2005(E)）第五至第十五節【16~17,22】所列出之控制項目為基礎進行檢測比對。. 3.2. 建立檢測評核要項表 CNS 17799（ISO/IEC 17799:2005(E)）包括十一大管理要項，三十九個執行目標與一百三十三種控制方法。如表 3.1~表 3.11 所示每一個要項「控制項目」的編號方式是依照 CNS 17799（ISO/IEC 17799:2005(E)）之章節編號；「控制措施」會先列出控制措施的標題，然後是評核方式的描述；「評核」的項目分為二級，評核原則如下：符合－文件內容有提到這項控制措施未符合－文件內容沒有提到這項控制措施 ▼表 3.1：安全政策檢測評核要項表項次控制項目控制措施評核一資訊安全政策符合未符合 5.1 資訊安全政策文件： 5.1.1 資訊安全政策文件應由管理階層核准，並傳達給所有受雇 □ □ 人員與相關外部人員。審查與評估： 5.1.2 應定期或有重大變更時審查資訊安全政策，以確保其持續 □ □ 的適當性、充分性、及有效性。. ▼表3.2：組織資訊安全檢測評核要項表項次控制項目控制措施評核二內部組織符合未符合 6.1 管理階層對資訊安全的承諾： 6.1.1 管理階層在組織內應經由清楚的指示、顯示承諾、明顯的 □ □ 指派、及承認資訊安全責任，主動地支持安全有關計畫。資訊安全協調工作： 6.1.2 資訊安全活動應由組織內有相關角色與工作功能的不同 □ □ 部份代表共同協調。資訊安全責任的配置： 6.1.3 應明確劃分所有資訊安全責任。 □ □ 28.

(29) 6.1.4 6.1.5. 6.1.6 6.1.7. 6.1.8. 6.2 6.2.1. 6.2.2. 6.2.3. 資訊處理設施的授權作業：應定義與實施新資訊處理設施的管理人員授權程序。保密協議：應區別與定期審查反映組織對保護資訊需求的機密要求或保密協定要求。與有關當局的聯繫：應與有關當局維持適當聯繫。與特殊利益團體的聯繫：應與特殊利益團體或其他專業人員的安全論壇及專業協會維持適當聯繫。獨立的資訊安全審查：應定期或安全實作發生重大變更時，獨立審查組織管理資訊安全的方法與其實作（例如：資訊安全的控制目標控制措施、政策、過程、及程序）。外部團體識別與外部團體有關的風險：授權外部團體存取之前，應識別涉及外部團體營運過程的組織資訊及資訊處理設施的風險，與實施適當控制措施。應付客戶的安全處理：在給予客戶存取組織的資訊或資產之前，應處理已識別的安全要求。第三方合約的安全處理：涉及存取、處理、通訊或管理組織的資訊或資訊處理設施，或對資訊處理設施增加產品或服務的第三方合約，應涵蓋所有相關安全要求。. □. □. □. □. □. □. □. □. □. □. □. □. □. □. □. □. ▼表3.3：安全政策資產管理檢測評核要項表項次控制項目控制措施評核三資產責任符合未符合 7.1 資產清冊： 7.1.1 應清楚地鑑別所有資產，並製作與維護所有的重要資產之 □ □ 清冊。資產的擁有： 7.1.2 與資訊處理設施相關的所有資訊及資產應由組織指定的 □ □ 部份所“擁有＂。資產的可接受使用： 7.1.3 與資訊處理設施相關的資訊及資產，其可接受使用的規則應予以識別、記錄、及實施。資產分類 7.2 分類指導綱要： 7.2.1 資訊應以其對組織的價值、法律要求、敏感性、及重要性 □ □ 加以分類。資訊標示與處理： 7.2.2 29.

(30) 應依照組織所採用的分類概要，發展與實施一套適當的資訊標示與處理的程序。. □. □. ▼表3.4：人力資源安全檢測評核要項表項次控制項目控制措施評核四聘雇之前符合未符合 8.1 角色與職務： 8.1.1 受雇人員、承包商及第三方使用者的安全角色與職務，應 □ □ 依照組織的資訊安全政策定義與文件化。篩選： 8.1.2 應依照相關法律、規章與倫理，並對照營運要求、將會存取的資訊分類、及所認知的風險，實施對受雇人員、承包 □ □ 商及第三方使用者所有應徵者的背景查證核對。聘用條件與限制： 8.1.3 受雇人員、承包商及第三方使用者應將聘用條件與限制視為契約合約的一部份，同意與簽訂陳述本身與組織對資訊 □ □ 安全之責任的聘雇合約。聘雇期間 8.2 管理責任： 8.2.1 管理當局應要求受雇人員、承包商及第三方使用者依照組 □ □ 織已建立的政策及程序應用安全。資訊安全認知教育與訓練： 8.2.2 組織所有受雇人員及相關的承包商及第三方使用者應接受與其工作功能相關，適當的認知訓練，與組織政策及程 □ □ 序的定期更新。懲罰程序： 8.2.3 對違反安全的受雇人員，應有正式的懲罰程序。 □ □ 聘雇終止或變更 8.3 聘雇終止： 8.3.1 執行聘雇終止或變更的職責應清楚的定義及指派。 □ □ 資產歸還： 8.3.2 所有受雇人員、承包商及第三方使用者在終止其聘雇、合 □ □ 約或協議時應歸還其擁有的所有組織的資產。移除存取權限： 8.3.3 受雇人員、承包商及第三方使用者對資訊及資訊處理設施的存取權限，在終止其聘雇、合約、協議、或因變更而調 □ □ 整時應予以移除。. ▼表3.5：實體與環境安全檢測評核要項表項次控制項目控制措施五安全區域 9.1 實體安全邊界： 9.1.1. 30. 評核符合未符合.

(31) 9.1.2. 9.1.3 9.1.4. 9.1.5 9.1.6. 9.2 9.2.1. 9.2.2. 9.2.3. 9.2.4 9.2.5. 9.2.6. 9.2.7. 應使用安全邊界（例如牆、刷卡控制的進入大門、或人力接待處等阻礙）以保護存放資訊及資訊處理設施的區域。實體進入控制措施：安全區域應有適當進入控制措施，確保只有授權人員方可進出。保護辦公處所及設施：應設計與應用辦公室、房間及設施的實體安全。不受外在及環境的威脅：應設計與應用實體保護，不受火災、洪水。、地震、爆炸、民間暴動、及其它自然或人為災難的損害。在保全區域內工作：應設計與應用在保全區域內工作的實體保護及指導綱要。公共存取、收發、及裝卸區應控制收發裝卸區及其它未經授權人員可進入邊界點等存取點，若可能，隔離資訊處理設施以防止未經授權的存取。設備安全設備安置及保護：應安置或保護設備，以降低來自環境之威脅及危險，以及未經授權存取之機會。公用設施支援：應保護設備不受電力失效及其他公用設施失效導致的中斷。纜線的安全：應保護傳送資料或支援資訊服務之電源與通訊纜線，以防止竊聽或損害。設備維護：應正確地維護設備，確保其持續的可用性與完整性。場外設備之安全：場外設備的適用安全，應考慮在組織邊界外工作的不同風險。設備之安全報廢或再使用：在報廢前應核對所有包含儲存媒體的設備，確保任何敏感性資料及授權的軟體已被移除或安全地覆寫。攜出財產未經事前授權，設備、資訊或軟體不應帶至場外。. □. □. □. □. □. □. □. □. □. □. □. □. □. □. □. □. □. □. □. □. □. □. □. □. □. □. ▼表3.6：通訊與作業管理檢測評核要項表項次控制項目控制措施評核六安全區域作業程序與責任符合 10.1 書面的作業程序： 10.1.1 作業程序應製作文件、維護、及使有需要的所有使用者均 □ 可取得。變更管理： 10.1.2 31. 未符合. □.

(32) 10.1.3. 10.1.4. 10.2 10.2.1. 10.2.2.. 10.2.3. 10.3 10.3.1. 10.3.2. 10.4 10.4.1. 10.4.2. 10.5 10.5.1. 10.6 10.6.1. 10.6.2. 10.7 10.7.1. 應控制資訊處理設施與系統的變更。職責區隔：應區分職務與責任範圍，以降低組織資產遭未經授權或非故意的修改之機會。分隔開發、測試、及作業設施：應分隔開發、測試、及作業設施，以降低對作業系統未經授權存取或變更的風險。第三方服務遞送管理服務遞送：應確保第三方實施、執行、及維護包含於第三方服務遞送協議內的安全控制措施、服務定義及遞送等級。監控與審查第三方服務：應定期監控與審查由第三方提供的服務、報告、及記錄，並定期實行監視。管理第三方服務的變更：考慮牽涉到營運系統及過程的重要性與重新評鑑的風險，應管理服務條款的變更，包括維護及改善現存的資訊安全政策、程序、及控制措施。系統規劃與驗收容量規劃：資源的使用應監控、調校、及預估未來容量需求，以確保所需的系統執行績效。系統驗收：應建立對新資訊系統、系統升級、及新版本的驗收標準，且開發期間與驗收前應完成適當之系統測試。防範惡意碼與行動碼對抗惡意碼的控制措施：應實施防範惡意碼的偵測、預防、及復原控制措施與適當之使用者認知程序。對抗行動碼的控制措施：授權使用行動碼時，其組態應確保授權的行動碼依據清楚定義的安全政策作業，並應阻止執行未經授權的行動碼。備份資訊備份：應依據協議的備份政策定期備份與測試資訊與軟體的拷貝。網路安全管理網路控制措施：應充分地管理與控制網路，使不受威脅，並且維護使用網路的系統與應用，包括傳輸中的資訊之安全。網路服務安全：應識別所有網路服務的安全特性、服務等級、及管理需求，並納入不論是內部或外包的任何網路服務協議。處理媒體可攜式媒體的管理： 32. □. □. □. □. □. □. □. □. □. □. □. □. □. □. □. □. □. □. □. □. □. □. □. □. □. □.