資訊安全管理系統驗證作業的研究
A Study on the Certification of Information Security
Management Systems
樊國楨
鈺松國際資訊股
份有限公司顧問
北市敦化南路2 段38 號 4 樓之 1[email protected]
方仁威
交通大學資訊管
理研究所博士研
究生
新竹市大學路 1001 號管理二館u8834811@cc.
nctu.edu.tw
林勤經
國防部通信電子
資訊局 局長
台北郵政
90019
號信箱
abelin01@yahoo
.com
黃景彰
交通大學資訊管
理研究所 教授
新竹市大學路 1001 號管理二館jjhwang@spring.
iim.nctu.edu.tw
摘要
今日有關資訊安全可信賴性的策略, 均是在不完整的資訊內容下做決定的,標準 可以減輕因不完整資訊所引發的困難,因為 標準可以減少選擇的範圍而簡化可信賴性供 給與需求決策的過程。本文植基於經濟部標 準檢驗局依據國際標準及其相關組織已頒佈 之規範,於資訊安全管理系統及其驗證作業 加以探討,並研提可作為我國與國際接軌之 資訊安全管理系統不同 等級之驗證要求構 想。關鍵詞:
1.驗證(Certification) 2.符 合 性 評 鑑 程 序 (Conformity Assessment Procedure) 3.資 訊 安 全 管 理 系 統 (Information Security Management System) 4.標準(Standard) 5.信賴(Trust)一、前言
2001 年 2 月 5 日,行政院以「台九十 經字第00 七四三一號函」,函送「建立我國 資通訊基礎建設安全機制計畫」至行政院各 部會行處局署暨省市政府、各縣市政府,請 切實配合辦理[3],正式開啟我國資訊安全發 展的新頁。 1999 年春季,有關單位鑑於通資訊基礎 建設安全對國家的重要性,著手規劃「我國 通資訊基礎建設安全機制」中,並於去(2000) 年3 月 27、28、30、31 日舉辦 4 天之討論會 [9]。由於我國現有之通資訊安全措施均侷限 於局部性,並無整體防護、識別及回復能力 等,國家安全會議於去年5 月奉 總統指示研 提「建立我國通資訊基礎建設安全機制」建 議書,並經 總統於同年8 月 30 日核定。2000 年9 月 15 日,行政院以「台九十科字第二七 一七九號函」,函請行政院國家資訊通信基本 建設專案推動(簡稱 NII(National Information Infrastructure))小組規劃辦理;經審慎研擬, 於今(2001)年 1 月 2 日面報行政院院長後,1 月9 日經行政院院長核定同意辦理,1 月 17 日並經行政院第 2718 次院會通過,1 月 31 日召開「國家資通安全會報」第一次會議, 期以4 年的時間,完成「建立我國通資訊基 礎建設安全機制計畫」[4~ 6]。 前述計畫在行政院正式成案之前,動員 人數之多、牽涉層面之廣、民間互動之深等 各 方 面 , 於 我 國 資 訊 安 全 領 域 均 屬 空 前 [1][4][8],未來對資訊安全方面之科技專案研 發方向,可能亦將產生深遠的影響。根據今 (2001)年 4 月 24 日奉行政院院會核定修訂辦 理之前述計畫版本[4]國家通資安全會報組織 運作架構如圖 1.1 所示,其中標準工作規範 組由經濟部主責、研考會、國防部、交通部、 財政部配合協辦,職掌如下: 1. 訂定資通安全技術標準。 2. 訂定各機關辦理資通安全有關作業規 範。 3. 規劃建置資通安全檢測技術。 4 規劃建置資通安全驗證方法。 5. 規劃建置資通安全認證程序。NICI:行政院資訊通信發展推動小組(National Information and Communication Initiative)。
圖1.1:國家資通安全會報組織運作架構
為達成前述計畫之工作計畫目標,標準 檢驗局已根基於世界貿易組織烏拉圭回合多 邊 貿 易 談 判 協 定 (The Results of The URUGUAY Round of Multilateral Trade Negotiations) 技 術 性 貿 易 障 礙 協 定 (Agreement of Technical Barriers to Trade,簡 稱TBT)附件 1~3(Annex 1~3)之規範,分以: 1. 資 訊 技 術 安 全 評 估 共 通 規 範 (ISO/IEC 15408) 系 列 、 資 訊 安 全 管 理 (ISO/IEC 17799)、軟體處理評估(ISO/IEC TR 15504) 等標準之制定。 2. ISO/IEC 15408 系列標準中針對不同產品 (例:存取管制、密碼模組、金鑰憑證發行 及管理)之保護剖繪(Protection Profile)與 其之共通性檢測技術之建置。 3. 將 BS7799-2(Information Security Management Part 2 : Specification for Information Security Management)轉定為 國家標準,建置我國通資訊安全之管理系 統驗證作業體系。
4. 符合 ISO/IEC Guide 62、ISO/IEC Guide 65 與ISO/IEC 17025 之要求,分別建置通資 訊安全管理系統認證、產品驗證認證以及 實驗室認證之認證程序。 推動相關工作中。 本文植基於資訊安全管理系統驗證作 業,分別在第二節與第三節簡析其與諸如品 質管理系統、環境管理系統的異同以及於我 國相關認驗證作業之準備工作並提出風險分 級之驗證基準構想,第四節是本文的結論。
二、資訊安全管理相關規範簡述
國際間建立數位社會資訊安全管理認 證的工作,可以上溯至1988 年 11 月,針對 資訊安全專業人員應有的基本知識(Common Body of Knowledge,簡稱CBK)如何認證呢? 專門認證資訊安全專業人員的機構:國際資 訊 系 統 安 全 授 證 公 會 (International Information System Security Certification Consortium,簡稱(ISC)2)在英國的索爾斯伯利 (Selisbury)正式成立了,通過(ISC)2包含如表 2.1 所示十大類 CBK 的測驗(通常是 6 小時的 時間對250 題選擇題作答)[6],答對70%常模 分配且已從事三年以上之資訊安全相關工作 的 人 , 方 取 得 資 訊 安 全 師 (Certified Information Systems Security Professionals,簡 稱CISSP)的資格。CISSP 的頭銜並非終身擁 有,每三年必須重新評核,通過後方再授證。 CIPS(Canadian Information Processing國 家 資 通 安 全 會 報 召 集 人:行政院 院長兼 副召集 人: 行政 院 副院長兼 委 員:相關部會首長及北高市長 執 行 長:行政院NICI小組總召集人兼 副 執 行 長:國家安全會議派員兼 行政院主計處電子處理資料中心主任兼 標 準 規 範 工 作 組 稽 核 服 務 工 作 組 資 訊 蒐 集 工 作 組 網 路 犯 罪 工 作 組 危 機 通 報 工 作 組 經 濟 部 主 計 處 國 防 部 交 通 部 財 政 部 教 育 部 中 科 院 工 研 院 電 信 研 究 所 資 策 會 民 間 業 者 經 濟 部 研 考 會 國 防 部 交 通 部 財 政 部 主 計 處 ( 電 子 中 心 ) 國 防 部 交 通 部 經 濟 部 財 政 部 國 科 會 中 科 院 工 研 院 資 策 會 相 關 公 協 會 民 間 業 者 法 務 部 內 政 部 國 防 部 交 通 部 主 計 處 ( 電 子 中 心 ) 內 政 部 國 防 部 交 通 部 財 政 部 經 濟 部 教 育 部 衛 生 署 研 考 會 … … .. 國 家 資 通 安 全 應 變 中 心 國家安全會議顧問 危機通報分組等六組 技 術 服 務 中 心 綜 合 業 務 組(NICI小組)
Society)、CSI(Computer Security Institute)、 ISSA(Information Systems Security Association)等機構均承認 CISSP 的證書。 (ISC)2之外,SANS 等機構針對資訊安全專業
技 術( 例 : UNIX Security 、 Instrusion Detection Systems 等)亦有系列認證測試;除
了資訊安全專業人員的授證外,資訊系統安 全管理規範的國際標準制定工作也在持續推 動之中[10][14],表 2.2 是其發展簡史,表 2.3 是其增修後正式提交ISO 審議之內容概述。
表2.1:美國(ISC)2 International Information Systems Security Certification Consortium 舉辦之資訊安全師證照認證考試範疇
1. 執權控制(Access control)。
2. 應用程式安全(Application Program Security)。 3. 通訊安全(Communications Security)。
4. 電腦結構與系統安全(Computer Architecture and System Security)。 5. (電腦)操作安全([Computer] Operations Security)。
6. 密碼學(Cryptography)。
7. 法律、調查與倫理(Law, Investigations and Ethics)。 8. 實體安全(Physical Security)。
9. 政策、標準與組織(Policy, Standards and Organization)。
10.風險管理與業務持續運作規範(Risk Management and Business Continuity Planning)。
表2.2:資訊安全管理認證簡史
1. 1990年:世界經濟合作開發組織(Organization for Economic Cooperation and Development ,簡稱OECD)轄下之資訊、電腦與通訊政策組織開始草擬「資訊系統安全指導方針」。 2. 1992年:OECD於1992年11月26日正式通過「資訊系統安全指導方針。
3. 1993年:英國工業與貿易部頒布:「資訊安全管理實務準則」。
4. 1995年:英國訂定「資訊安全管理實務準則」之國家標準BS 7799第一部分,並提交國 際標準組織(International Organization for Standardization,簡稱ISO)成為ISO DIS 14980 。 5. 1996年:BS 7799第一部分提交國際標準組織(ISO)審議之結果,於1996年2月24日結束6 個月的審議後,參與投票之會員國未超過三分之二。 6. 1997年: 6.1 OECD於1997年3月27日公布密碼模組指導原則。 6.2 英國正式開始推動資訊安全管理認證先導計畫。 7. 1998年: 7.1 英國公布BS 7799第二部分:「資訊安全管理規範」並為資訊安全管理認證之依據。 7.2 歐盟於1995年10月公布之「個人資料保護指令,自1998年10月25日起正式生效,要 求以「適當標準(Adequacy Standard)」保護個人資料。 8. 1999年:增修後之BS 7799再度提交ISO審議。 9. 2000年:增修後之BS 7799第一部分於2000年12月1日通過ISO審議,成為ISO/IEC 17799 國際標準。。 10. 2001年(?):資訊安全管理認證正式成為ISO 17799國際標準。 註:目前英國之外,已有荷蘭、丹麥、挪威、瑞典、芬蘭、澳洲、紐西蘭、南非同意使用 BS 7799,日本、瑞士、盧森堡等表示對BS 7799的興趣。
表2.3:BS7799 內容增修概述
資訊安全管理驗證規範之理念與架構 和 ISO 14001 等相同,均秉持如圖 2.1 所示 之。重點要求、目標管理、風險預防、法規 遵循、持續改善之制度化安全理念,執行如 圖 2.2 所 示 之 P-D-C-A(Plan -Do- Check- Action)的工作循環,唯其風險鑑別因涵蓋所 有組織,所有部門、地區、人員與活動且其 評估的合理性與一致性仍是研究的課題[7], 相較於ISO 14001 較為困難,圖 2.3 是資訊安 全管理風險評估過程之圖示與說明,圖 2.4 是風險分析、風險鑑別與風險管理關係之示 意說明[11~12]。
圖2.1:制度化的安全管理 內容 安全政策 安全組織 資產分類與控制 人員安全 實體與環境安全 電腦與網路管理 系統存取控制 系統開發與維護 業務持繼運作規劃 遵行 1999年增修部分 強化評估鑑核章節。 1.強化第三者存取控管事項。2.增加委外安全管理章節。 增加安全標號管理章節。 增加重大事故學習章節。 加強辦公室與員工安全的注意事項,同時減少強調專用電腦房的應注意事項。 1.詳細規範開放系統安全事項。2.增加公眾可用系統安全章節。 3.改名為通訊與操作管理。 1.強化系統監控事項。2.增加可攜式資訊使用安全章節。 1.增加密碼技術控管章節。2.增加可信賴資訊系統章節。 詳細規範安全衝擊分析與計畫撰寫方式。 1.強化法規事項。2.增加事件蒐集方式章節。3.增加密碼控管法規章節。 一 二 三 四 五 六 七 八 九 十
資料來源:Parkin, R. (1999) BS 7799, in Web Sec'99
相關標準:
1. BS7799-2 1999(E) 2. ISO/IEC 9001 :2000(E) 3. ISO/IEC 14001 :1996(E) 4. ISO/IEC 15408 :1999(E) 5. NIST FIPS 140-2 :2001(E) 6. OHSAS 18001 :1999(E) 識別風險 Identify Risk 評估風險 Assess Risk 建立控制措施 Develop Controls 運作控制措施 Implement Controls 監督與維續 Monitor & Maintain
規劃
檢討
執行
圖 2.2:資訊安全管理系統風險管理步驟示意說明 威脅:與任何營運機能、過程及活動有關的資訊安全性可從許多方式受到威脅。銀行業已辨識出其發生將會損 弱對一營運機能產品服務之信心或其整體性,或是驚擾營運永續性的4 個特定威脅。 下表針對這4 個威脅逐一說明。 威脅 說明 資訊遭未經授權的外洩、變更或損毀 此威脅為人於正常職責執行中存取或未存取工作過程而使 資訊遭意外或故意釋出及遭故意之添補、變更或損毀。 資訊因粗心而遭變更或損毀 此威脅為資訊因不小心、疏忽或意外而遭漏失、添補、變更 或損毀。此威脅的發生可能來自人們的行為或不行為、硬 體、軟體或通訊故障及天災。 資訊未被傳遞或傳遞不當 此威脅為紙張或電子格式的資訊遭意外刪除及不當傳遞。此 包括硬體、軟體及通訊故障與天災。 服務被阻絕或退步 此威脅為整個工作過程或某工作部份發生了出乎計畫外的 短期或長期退步表現或可用性不足。 圖 2.3:風險評估過程圖示及其說明 下面任何一個威脅會透過右邊的脆弱性發生嗎? 所透過之脆弱性 人事 設施及設備 應用 通訊 環境軟體及作業系統 資訊遭未經授權的外洩、變更或損毀 資訊因粗心而遭變更損毀 資訊未被傳遞或傳遞不當 服務被阻絕或退步 產生下面任何一個風險嗎? 金錢損失 生產力損失 困窘 作業區分 風險分析 頻率分析 嚴重度分析 風險評估 1 2 3 可接受 風險 ? 改善計畫或 管理控制 頻率分析 No Yes 檢查控制有效性 控制績效審查 5 6 7 4 PLAN ACTION CHECK DO
持續改善
風險減少 與控制脆弱性:脆弱性為威脅發生所透過之方法。 下表逐一說明這些脆弱性。 脆弱性 說明 人事 此脆弱性說明員工、廠商及約聘人員。此處理了員工訓練及 對部門運作程序及控制之瞭解與遵守度。 設施及設備 此脆弱性說明工作區域及設備的實體安全,及對工作區域及 設備的存取。 應用 此脆弱性說明一事業機能所用的資訊處理方法。應用牽涉到 對輸入的處理以產生輸出。 通訊 此脆弱性說明資訊在兩個端點之間的電子移動。 環境軟體及作業系統 此脆弱性說明應用程式被研發及執行所在的作業系統軟體 及子系統。 風險分類:在進行風險評估時,有三個主要風險一定要被考慮。 下表逐一說明這些風險分類。 風險分類 說明 金錢損失 金錢損失的定義為有價值物損失或成本、支出增加。金錢損 失風險越高或損失的潛在價值越高,事業機能風險的分類也 越高。 舉例: 有價值物-現金 -債券 -資金轉移 增加成本:-發行債券 -遭竊 -不利的法律判決等 生產力損失 當 職 員 無 法 繼 續 執 行 其 指 定 職 責 或 當 職 責 執 行 須 被 重 複 時,生產力損失就會發生。當事業機能無法可用或當結果不 正確時,就會發生工作中斷或努力重複。 對機構的困窘 此風險分類考慮影響公信度的情況。機密性、精確性及一致 性應亦被考慮。 圖 2.3:風險評估過程圖示及其說明(續)
圖 2.4:風險分析、風險評鑑與風險管理關連示意說明
風險分析
1.
界定範圍 2.風險識別 3.風險推估(Estimation)風險評估(Evaluation)
1.可容忍(Tolerability)風險決策 2.對策分析風險減少與控制
1.
方案決策 2.建置 3.稽核 風險 評鑑 (Assessment) 風險管理 (Management)
三、資訊安全管理系統認、驗證機制
鑑於我國品質管理及環境管理方面之 驗證發展迅速,蔚為風潮,唯發證品質良莠不 齊,易對貿易產生負面影響,經濟部特於1997 年3 月 5 日以經濟部商檢字第 86350708 號令 訂定發布「中華民國品質管理及環境管理認證 制度實施辦法」,並於同年3 月 26 日以經濟部 商檢字第86260244 號令訂定發布「中華民國 品質管理及環境管理認證委員會設置要點」, 設置中華民國品質管理及環境管理認證委員 會專責辦理相關認證業務,並自1998 年 7 月 30 日起正式受理相關驗證機構與稽核員訓練 機構之認證申請。根基於前述辦法第四條之用 詞定義: 1. 認證:指主管機關給予書面正式承認驗證 或訓練機構有能力執行規定工作 之過程或活動。 2. 驗證:指驗證機構授予書面保證稽核員、 產品、程序或服務符合規定要求 之過程或活動。 為因應諸如職業安全衛生、消防安全設備、資 訊安全管理系統等驗證作業之需求,於 2001 年 3 月 14 日 以 經 濟 部 經 (90) 認 字 第 0900460122 號令訂定發布「中華民國認證辦 法」,除原有之品質管理及環境管理外,一般 性之驗證機構(例:資訊安全管理系統驗證機 構等)以及產品驗證、檢驗(Inspection)機構之 認證工作均由中華民國認證委員會(Chinese National Accreditation Board,簡稱 CNAB)負 責;並於中華民國90 年 3 月 2 日以經濟部經 (90)認字第 09003504120 號函修正下達:「中 華民國認證委員會設置要點」,公佈周知。換 言之,如圖3.1 所示,自關稅暨貿易總協定(General Agreement on Tariff and Trade,簡稱 GATT)體系之技術性貿易障礙協定中要求各 國為安全、衛生、環保或保護消費者等因素, 而訂定之技術法規或標準,以及證明相關產品 符合這些技術法規或標準之符合性評鑑程序 (Conformity Assessment Procedure , 簡 稱 CAP),不應對國際貿易造成沒有必要的障礙 後。鑑於沒有真確性(Integrity)等安全可靠性質 的資訊,電子商務與電子化/網路化政府等均 將遙不可及,虛擬世界仍將跳不出文娛和廣告 的格局;國際間建立電子化/網路化社會資訊 安全機制之認、驗證、檢驗之業務已於今年3 月2 日起,由「中華民國認證委員會」主管; 根據標準檢驗局的規劃,預定於2002 年 1 月 正式起動如圖3.2 所示之資訊安全管理系統認 驗證作業。 資訊系統常因作業形態之不同而對相關 安全的要求也不同,譬如:美國聯邦存款保險 公司(Federal Deposit Insurance Corporation,簡 稱FDIC)之監理部門(Division of Supervision, 簡稱DOS)提出之「電子銀行安全與穩健檢查 程序」(Electronic Banking Safety and Soundness Examination Procedures,簡稱 S&S Exam.)中, 針對金融機構所提供電子銀行業務性質及所 面臨風險程度之不同,明定分成如表列所示之 三種不同等級,根基於「風險分級管理」管理 之概念與參照其他國家的辦法[13][15~16],在 我們推動資訊安全管理系統驗證工作時,可以 分成如表3.2 所示之四級,第三級以上與國際 BS7799-2 之驗證接軌,第四級則除 BS7799-2 之要求外,尚需考慮資訊安全管理系統與品質 管理系統、環境管理系統等之整合性。 圖3.1:通資訊安全評估作業示意說明 通資訊安全評估作業 技術 處理 作業準則 內部 外部 標準規範 評估基準 自訂標準 ( 內部 ) ISO/IEC 15408 : 1999(E) 等 (外部) 自訂規範 ( 內部 ) ISO/IEC 15026 : 1998(E) 等 (外部) 作業準則 自我評估 ( 內部 ) 驗證作業 ( 外部 ) 標準規範 評估基準 自訂標準 ( 內部 ) 法律命令│電腦處理個人 資料保護法等 ISO/IEC 17799 :2000(E) 等 (外部) 自訂規範 ( 內部 ) ISO/IEC TR 15504 : 1998(E) 等 (外部)
表3.1:美國聯邦存款保險公司監理部門「電子銀行安全與穩健(Safety and Soundness)檢查程序」 分級示意說明
級 別 電 子 銀 行 功 能 說 明 1 單純提供資訊的系統(Information-only Systems)
2 電子資訊轉移系統(Electronic Information Transfer Systems) 3 完全交易資訊系統(Fully Transactional Information Systems)
資料來源:U.S.A. Federal Deposit Insurance Corporation, Division of Supervision(1998) Electronic Banking:Safety and Soundness Examination Procedures, June 1998。
資訊安全管理系統之一般性要求事項: 4.1 資訊安全政策。 4.2 資訊安全組織。 4.3 資訊資產分類管理。 4.9 業務持續性管理。 4.10 遵循法律要求。 人員的要求事項: 4.4 人員安全。 4.5 實體與環境的安全。 4.8 開發與支援過程的安全。 實體與環境的要求事項: 4.5 實體與環境的安全。 資訊技術的要求事項: 4.6 通信與操作管理。 4.7 存取控制的管理。 4.8 開發與支援過程的安全。 圖3.2:資訊安全管理系統驗證(BS7799-2)要求事項 表3.2:資訊安全管理系統驗證分級要求構想 級 別 驗 證 要 求 1 1. 法律之遵循(BS 7799-2:1999, 4.10.1)。 2. 資訊安全政策(BS 7799-2:1999, 4.1)。 2. 資訊資產分類管理(BS 7799-2:1999, 4.3)。 3. 惡意軟體的控制(BS 7799-2:1999, 4.6.3)。 4. 開發與支援過程的安全(BS 7799-2:1999, 4.8.5)。 2 1. 第一級的要求。 2. 資訊安全之遵循性(BS 7799-2:1999, 4.10)。 3. 資訊安全組織(BS 7799-2:1999, 4.2)。 4. 資訊安全的教育與訓練(BS 7799-2:1999, 4.4.2)。 5. 資訊安全事件與故障的處理(BS 7799-2:1999, 4.4.3)。 6. 業務持續性管理(BS 7799-2:1999, 4.9)。 3 BS 7799-2:1999 之要求。
4 全面品質(含 BS 7799-2)經營(Total Quality Management,簡稱 TQM)之要求。
四、結論
國際上標準化的主要目的在於創造下列 各項能促進物品交換、技術移轉的貿易環境: 1. 產品品質及信賴性與價格相符。 2. 保障使用者的安全並促進資源的再利用。 3. 物品、技術與服務的互運性以及彼此之間 的接續性。 4. 單純化以減少塑模數,期能擴大生產規模 以降低成本。 5. 強化維修保養的便利性與配銷的效率性。 自 1906 年起由電氣技術開始,至 1946 年10 月 14 日在英國倫敦召開以「促進工業 標準的國際統一和調整」為主要宗旨之國際性 會 議 正 式 成 立 國 際 標 準 組 織(International Organization for Standardization,簡稱 ISO), ISO 於 1947 年 2 月 23 日正式開始運作;因此, 10 月 14 日又稱為世界標準日[2]。 所謂標準就是基於公平、公正、便利等觀 點做好統一規範、單純化時之必要條件,對於 物件、性能、配置、狀態、動作、操作手續、 使用方法、工作程序、責任義務、權限概念等 均應有一測度判斷的基準;而通稱的規格就是 這些標準中直接或間接的有關產品或服務品 質之技術上的規範事項。一般而言,規格或標 準常因不同組織層級而有不同的要求,圖 4.1 是其示意說明。圖 4.1:標準化層次示意
在第三節中,本文提出了資訊安全管理 系統我國(1~4 級)能與國際(3~4 級)接軌之驗 證規範,符合圖4.1 之層次要求,在不同層次 中有關資訊技術驗證規範之要求等尚待進一 步的研究。 九 十 年 代 全 球 文 明 歷 經 了 重 大 的 轉 變,品質、環境和安全衛生管理逐漸朝向一致 化與標準化,而相關的國際標準也影響了許多 國家經濟的發展和組織管理與經營的方式, ISO 9000 品質管理和 ISO 14000 環境管理系 列標準的遵從,是最佳的佐證。二十世紀最後 一個月,資訊安全管理的國際標準已正式頒 佈,成為創建可信賴資訊作業環境的指引,若 善加運用,不僅可以提昇資訊系統的安全性, 亦有助於品質文化之塑造。 誌謝詞: 本文作者謹在此對 BSi 大中國區資訊安 全產品鄧永基經理對表3.3 之建議致謝。國際標準
區域標準
國家標準
團體(公、協會等)標準
機構(公司、法人等)標準
參考文獻
[1] 中華民國電腦稽核協會(2001)經濟部標準 檢驗局九十年度委託計畫書,中華民國電 腦稽核協會。 [2] 朱樹德(1990)國家標準國際化之研究,經 濟部中央標準局。 [3] 行政院(2001)中華民國九十年二月五日, 台九十經字第ΟΟ七四三一號函。 [4] 行政院(2001)建立我國資通訊基礎建設安 全機制計畫,行政院(目前已有奉九十年一 月九日行政院院長核定同意辦理及奉九 十年四月二十四日行政院院長核定修訂 辦理等兩個版本)。 [5] 行 政 院 資 訊 與 通 信 基 本 建 設 專 案 推 動 (National Information Infrastructure,簡稱 NII)小組(2001)國家資通安全會報第一次 會議(會議資料),行政院資訊與通信基本 建設專案推動小組。 [6] 國家安全局(2000)建立我國通資訊基礎建 設安全機制(本文與參考資料)國家安全 局。 [7] 經濟部標準檢驗局(2001)APEC-SBS 研討 會論文集,2001 年 9 月 22 日,台北市, 經濟部標準檢驗局。 [8] 樊國楨(2001)資訊安全工作初始方向芻 議,電腦與通訊,第95 期,頁 72~81。 [9] 樊國楨與胡信靈編輯(2000)我國通資訊基 礎 建 設 安 全 機 制 討 論 會 背 景 景 說 明 資 料,工業技術研究院電腦與通訊工業研究 所。[10] BSi(British Standard Institute) (1999) Information Security Management─Part 2: Specificatoin for Information Security Management Systems, BS7799-2:1999, BSi。
[11] IEC (1995) Dependability Management─ Part 3: Application Guide─Section 9: Risk Analysis of Technology Systems, IEC 300-3-9:1995, IEC。
[12] ISO (1997) Banking, Securities and Other Financial Services ─ Information Security Guidelines, ISO TR 13569:1997(E), ISO。 [13] ISO (2000) Information Technology ─
Guidelines for the Management of IT Security, ISO/IEC TR 13335(All Parts), ISO。
[14] ISO (International Organization for Standardization)/IEC(International
Electrotechnical Commission) (2000) Information Technology─Code of Practice for Information Security Management , ISO/IEC 17799:2000 (E), ISO。
[15] SEI(Software Engineering Institute) (1999) The Systems Security Engineering Cability
Model v2.0, Carnegie Mellon SEI。 [16] Solms, B. and R. Solms (2001)
Incremental Information Security Certification, Computer and Security, Vol.20, No.4, pp. 308~310。
