吳政叡 Cheng-Juei Wu
輔仁大學圖書資訊系專任教授
Prof. of Department of Library & Information Science, Fu-Jen University
【摘要Abstract】
本文從圖書館的角度來分析 ISO 27001,以了解其對圖書館可能產生的衝擊。首先,介紹國際 ISO 27001(或國內 CNS 27001)「資訊安全管理系統要求」標準的主要內容。其次,藉由一件圖書 館資訊安全事件來分析 ISO 27001 的應用。
In this work, we analyze the impacts of ISO 27001 from the library’s point of view. Firstly, the principles and structure of ISO 27001, which is Information technology – Security techniques – Information security management systems – Requirements, are introduced. Then, an information security event is analyzed to see how the ISO 27001 standard can be used in libraries.
【關鍵詞 Keyword】
資訊安全;資訊安全管理系統
ISO 27001; Information Security; Information Security Management System; ISMS
壹、前言
現代的組織在運作上是非常依賴資 訊系統,組織的各種資訊(含機密資 料)基本上也是存放在資訊系統中,再 加上各不同組織間往來非常密切和頻 繁,例如一個商業公司須要與各式各樣 的供應商和客戶往來,其間往往會有大 量的資料相互流通。這使得如何預防機
密資料的不當洩露,成為一個非常重要 的課題,甚至是攸關組織生死存亡的課 題;又如一個高科技廠商的研發產品機 密被競爭對手提早獲知,往往會蒙受非 常巨大的損失。另一方面,由於各國大 都制訂有智慧財產權或個人資料機密保 護等相關法律,因此,機密資料的不當 洩露也可能衍生為法律事件,造成組織 非常大的困擾或損失。由以上的分析可
圖書館的應用
The Applications of ISO 27001 in Libraries
知,建立一個有效的資訊安全管理機制 來確保資訊系統的安全和持續運作,是 現代社會組織生存不可或缺的一環。
為了制定一個有效的管理機制來確 保資訊系統的安全和持續運作,國際標 準 ISO/IEC 27001 「 Information Technology – Security Techniques – Information Security Management Systems – Requirements」乃應運而生
( 註 1 ), 其 前 身 為 英 國 國 家 標 準 BS7799 – 2 , 而 國 內 根 據 ISO/IEC 27001(以下簡稱 ISO 27001)也制定 了 CNS 27001「資訊技術 – 安全技 術 – 資訊安全管理系統 – 要求事項」
(以下簡稱「資訊安全管理系統要求」)
(註2)。
正如前述,由於數位資訊的普及,
可保護機密資料的一個資訊安全管理系 統 (Information Security Management System,簡稱 ISMS),成為許多重視 機密資料保護組織生存不可或缺的一 環,因此,紛紛依據 ISO 27001 的規 範,建立資訊安全管理系統(ISMS),
並尋求資訊安全認證。例如:金融機構
(註 3)、企業(註 4-5)、醫院(註 6)、電信業(註 7)、壽險業(註 8)、
行政機關(註 9)、主機代管業(註 10)。
隨著行政院與教育部對於資訊安全 的重視,各大學也追隨商業公司或製造 商的腳步,紛紛著手進行資訊安全認證 的相關準備工作。大學圖書館為大學內 不可或缺的一環,同時也是資訊收集、
處理與傳播的主要機構之一,自然無法 置身事外,必須要正視此一課題或時代 趨勢。
透過ISO 27001 的資訊安全認證即 可確保資訊系統的安全和持續運作,因 此,以下將先介紹ISO 27001「資訊安全 管理系統要求」的基本觀念和主要內 容,然後以一件圖書館資訊安全事件
(或資安事件)來分析ISO 27001 的應 用。
由於國內有CNS 27001「資訊安全 管理系統要求」標準,以下文章中關於 ISO 27001 的名詞及其解釋,將以 CNS 27001 中所使用(或翻譯)的詞彙為 主,且不再一一指明其在 CNS 27001 中的出處。
貳、ISO 27001 整體架構
以ISO 27001 對資訊安全管理系統
(ISMS)的整體架構規劃而言,是採 用「規劃 – 執行 – 檢查 – 行動」
(Plan – Do – Check – Act ,簡稱 PDCA)的模式來設計,其正文內容的 主要章節(第4 - 8 節)基本上就是以 PDCA 的模式來安排(註 11):
建立 ISMS(規劃):第 4 節「資訊 安全管理系統」。
實作與運作 ISMS(執行):第 5 節
「管理階層責任」。
監視與審查 ISMS(檢查):第 6 節
「ISMS 內部稽核」與第 7 節「ISMS 之管理階層審查」。
維持與改進 ISMS(行動):第 8 節
「ISMS 之改進」。
這裡要特別強調的是,ISO 27001 非常重視持續改進的精神,因此,要求 針對每個發生的資安事件擬定矯正措施
(而非危機處理完畢就落幕),以防止 類似的資安事件再次發生。
再者,為了協助落實資訊安全管理 系統(ISMS),在 ISO 27001 附錄 A 針 對11 個控制面相(A5 – A15)制訂了 39 個控制目標(與相對應的 133 個控 制措施),由於這些控制面相與控制目 標具體呈現資訊安全管理系統(ISMS)
的預防與查核重點,為使讀者對資訊安 全管理系統(ISMS)全貌有更清楚的 認知,以下根據 CNS 27001 的翻譯列 舉如下(註12):
(A. 5) 安全政策:A.5.1 資訊安全政 策。
(A. 6) 資訊安全的組織:A.6.1 內部 組織、A.6.2 外部團體。
(A. 7) 資產管理:A.7.1 資產責任、
A.7.2 資訊分類。
(A. 8) 人才資源安全:A.8.1 聘僱之 前、A.8.2 聘僱期間、A.8.3 聘 僱的終止或變更。
(A. 9) 實體與環境安全:A.9.1 安全 區域、A.9.2 設備安全。
(A. 10)通訊與作業管理:
(A. 10.1) 作業之程序與責任
(A. 10.2) 第三方服務交付管 理
(A. 10.3) 系統規劃與驗收
(A. 10.4) 防範惡意碼與行動 碼
(A. 10.5) 備份
(A. 10.6) 網路安全管理
(A. 10.7) 媒體的處置
(A. 10.8) 資訊交換
(A. 10.9) 電子商務服務
(A. 10.10)監視
(A. 11)存取控制:
(A. 11.1) 存取控制的營運要 求
(A. 11.2) 使用者存取管理
(A. 11.3) 使用者責任
(A. 11.4) 網路存取控制
(A. 11.5) 作業系統存取控制
(A. 11.6) 應用系統與資訊存 取控制
(A. 11.7) 行動計算與遠距工 作
(A. 12)資訊系統獲取、開發及維護:
(A. 12.1) 資訊系統的安全要 求
(A. 12.2) 應用系統的正確處 理
(A. 12.3) 密碼控制措施
(A. 12.4) 系統檔案的安全
(A. 12.5) 開發與支援過程的 安全
(A. 12.6) 技術脆弱性管理
(A. 13) 資訊安全事故管理:A.13.1 通報資訊事件與弱點、A.13.2 資訊安全事故與改進的管理。
(A. 14) 營運持續管理:A.14.1 營運
持續管理的資訊安全層面。
(A. 15) 遵循性:A.15.1 遵循適法性 要求、A.15.2 安全政策與標 準的遵循性以及技術遵循性、
A.15.3 資訊系統稽核考量。
由上述的11 個控制面相(與 39 個 控制目標)清單,可知資訊安全管理系 統(ISMS)涵蓋了與資訊相關的所有 層面:政策、組織、人員、實體環境、
作業管理、資訊系統開發及維護、危機 處理、法律。
ISO 27001 的附錄 A 雖然詳列了 133 個控制措施以供參考,不過都還祇 是原則式的敘述,為了進一步協助實際 運作,另外有一個與ISO 27001 相搭配 的 標 準 – ISO 27002 ( 原 先 為 ISO 17799 )「 資 訊 安 全 管 理 作 業 要 點 」
( Code of Practice for Information Security Management)(註 13)。
為了便於對照參考,ISO 27002 資 訊安全管理作業要點的章節安排,乃以 第 5 節到第 15 節來一一對映 ISO 27001 附錄 A 的 A.5 到 A.15。同時每 節內的條文編號也完全對映,例如:
ISO 27001 有 A.10.7.1「Management of removable media」的控制措施,在 ISO 27002 (或 ISO 17799 )中即有條款 10.7.1 「 Management of removable media」,其中詳列許多有關可移除式媒 體管理的實作建議。
參、ISMS 的實作規劃
ISO 27001 對資訊安全管理系統
(ISMS ) 的 實 作 規 劃 , 是 以 資 產
(Asset)為出發點,透過適當的風險 評鑑(Risk Assessment)和風險處理
(Risk Treatment)(註 14-15),使剩餘 風險(Residual Risk)皆在可接受的範 圍內,藉以達到效益和成本的最佳平 衡,並完成資訊安全的三個最主要目 標:機密性(Confidentiality)、完整性
(Integrity)、可用性(Availability),這 三個最主要的目標,一般簡稱為CIA。
根據ISO 27001(或 CNS 27001),
「資訊安全管理系統」(ISMS)的正式 定義為 – 「整體管理系統的一部分,
以營運風險導向(作法)為基礎,用以 建立、實作、運作、監視、審查、維持 及改進資訊安全。」
至 於 資 訊 安 全 的 三 個 主 要 目 標 CIA,其正式定義分別如下:
機密性:「使資訊不可用或不揭露給 未經授權之個人、個體或過程的性 質」。
完 整 性 :「 保 護 資 產 的 準 確 度 (Accuracy) 和完全性 (Completeness) 的性質」。
可用性:「經授權個體因應需求之可 存取及可使用的性質」。
這裏要特別提出說明的是,一般人 在提及資訊安全時,祇會直覺聯想到機 密性,這並不正確,其實資訊安全至少 應同時包含機密性、完整性和可用性才 算完整。
以圖書館為例,做為一個資訊傳播
的主要機構之一,一向較強調或重視資 訊的公開與普及,因此,圖書館內的資 訊系統較少機密性資料,所以機密性相 對來說較不重要,但是完整性和可用性 對圖書館仍然是很重要的。
以完整性來說,我們不希望提供給 讀者的資訊是不完整的,甚至是錯誤 的。舉例來說,我們必須注意公告的事 項是否與實際情況一致,像開閉館時間 或是樓面分布圖等;另外我們也須要防 範駭客非法入侵來篡改網頁內容或毀損 資訊系統內的資料。以上所舉的例子,
皆是完整性所涵蓋的範圍,由此可知完 整性的重要。
就可用性而言,對圖書館也是很重 要的。現代圖書館做為一個資訊的處理 機構,是非常倚賴館內各式各樣的資訊 系統來維持日常運作和提供服務,事實 上,圖書館大多數的資訊系統都是全年 全天無休的透過網路提供服務給讀者,
一旦系統當機,勢必對圖書館的營運造 成極大的影響,也會招致讀者很多的抱 怨。
如 前 所 述 , 資 訊 安 全 管 理 系 統
(ISMS)的整體架構規範是以資產為 出發點,那何謂資產?ISO 27001 將資 產(asset)正式定義為 – 「對組織有 價值的任何事物」(註16)。
雖然這是一個範圍很廣泛的定義,
不過,對處於現在資訊時代(或知識經 濟時代)的大多數組織而言,其最主要 的資產是 – 與資訊(或資料)有關的 人員、場所、設備、軟體、儲存媒體
等。以圖書館為例,其資產是以書籍、
資料庫、書目紀錄與其他參考資源所組 成的資料群(或資訊系統)為核心,以 及與此核心有關的
人員:如館員。
場所:如圖書館建築物。
設備:如電腦硬體設備、門禁系統設 備。
儲存媒體:如硬碟、CD。
也都是圖書館的重要資產,因為缺少這 些資產,圖書館的核心資訊系統將無法 順利運作。
因此,組織高層在安全政策上劃定 資訊安全管理系統(ISMS)的範圍
(或界限)後,最重要的起步工作就是 要鑑別出此範圍(或界限)內所涵蓋的 資產有那些。鑑別資產的主要目的在:
確定個別資產的擁有者(Owner),和 分析個別資產的價值(Value)、弱點
(Vulnerability)、威脅(Threat)。
確定個別資產擁有者(Owner)的 目的,在識別對個別資產安全負保護責 任的人員,所以,這裡的資產擁有者,
並非法律認知或一般認知的財產擁有 者。以圖書館為例,圖書館自動化系統 的擁有者,可能是負責管理該系統的館 員。因此,根據 ISO 27001(或 CNS 27001),擁有者(owner)的正式定義 為 – 「負有被認可管理責任的個人或 個體,其控制資產的生產、發展、維 護、使用及安全,擁有者一詞並非意指 該人員實際上對該資產有任何財產 權。」(註17)
另一方面,任何資產皆有其弱點
(Vulnerability),藉由弱點分析,可以 識 別 出 與 該 弱 點 相 對 應 之 威 脅
(Threat)與其可能性(Likelihood)。
以圖書館自動化系統為例,可能的威脅 有
駭客入侵。
人為操作錯誤。
館員密碼設定不當遭破解。
系統管理館員離職。
天災:如地震、火災。
硬碟毀損。
系統更新程式有臭蟲(Bug)。
備份失敗。
備份資料遺失或毀損。
由此可知,資訊系統的威脅可能來自各 方面 – 人員、場所、設備、軟體、儲 存媒體等,人為或非人為、有意或無意 都有可能。
另一方面,各式各樣的可能威脅,
其發生的可能性或機率各異,對資訊機 密性、完整性、和可用性所可能產生的 衝擊也大不相同,再加上個別資產的價 值往往相差甚大,因此,某個可能威脅 對 某 個 特 定 資 產 的 風 險 值 (Risk Value)是綜合資產價值、威脅可能性 和衝擊等因素而來。
上述的整個過程,從識別資產及其 價值、分析弱點與威脅、評估威脅可能 性與衝擊,到最後產生風險值(Risk Value ) 的 過 程 , 即 稱 為 風 險 評 鑑
(Risk Assessment)。透過適當的風險 評鑑,可以較準確知道那些高風險威脅
須要優先處理。經過處理後剩下的風險 就稱為剩餘風險(Residual Risk),祇 要在組織資訊安全管理系統政策可接受 的範圍內,並經組織管理階層核准即 可。因為風險處理經常須要成本,所以 在成本效益的考量下,並不是所有的風 險都要排除或降到0。
肆、一 個 圖 書 館 資 訊 安 全 事件分析
以下藉由一件大學圖書館的資訊安 全事件,來分析ISO 27001 資訊安全管 理系統(ISMS)中的規定是否能對此 資訊安全事件的預防與處理有所幫助,
這起資訊安全事件的導火線是圖書館自 動化系統的硬碟毀損。
一般電腦(整天開機)硬碟的使用 壽命大約2-3 年,不過硬碟的故障通常 是無預警的,圖書館自動化系統為了克 服此問題,基本上設計了二個安全機 制:一是資料定期備份,一是硬碟的 RAID(磁碟陣列)架構。這間圖書館 目前採用的是較通行的RAID 5 架構,
在此架構下,如果祇有一顆硬碟損壞,
在更換新的硬碟後,系統可以自動恢復 毀損的資料;但是,如果超過一顆硬碟 同時損壞,就無法自動恢復,必須要靠 備份資料來回復。
在3 月 2 日(星期五)早上,某大 學圖書館的館長接到通知,圖書館自動 化系統有二顆硬碟同時損壞(雖然機率 非常低,但仍會發生),館長接著詢問
備份情況,才赫然發現資料的完整備份 作業從2 月初以來就一直有問題而無法 成功,上一次成功備份是 1 月 31 日
(後來得知在此次成功備份後,負責管 理系統的館員安裝了系統的更新程 式),換言之,整個 2 月的資料皆不 見,包括採購和新編的書目紀錄,以及 這段期間內的所有借還書紀錄。
稍後,館長詢問負責管理系統的同 仁為何沒及時反映資料備份問題,才發 現在第一時間他確實有跟其業務上司
(組長)反映,但是,此位組長卻沒意 會到事態的嚴重性而未跟館長報告,以 致於在跟美方技術人員交涉不順利的情 況下,事情拖延過久,造成圖書館可能 的重大損失。
系統當機當天,為不影響師生借閱 書籍,圖書館已採取人工方式進行流通 作業。另一方面,在下午 1:30 館長本 來要召集館內相關同仁開緊急危機處理 會議來討論善後事宜,很幸運的,在硬 體承包商趕來更換硬碟前,負責管理系 統的館員抱著姑且一試的心理,在中午 嘗試啟動系統最後一次,沒想到居然成 功了,於是館長開始坐鎮圖書館監督,
並要求在當天無論如何要完成備份工 作。
由於圖書館自動化系統廠商在台祇 有業務代表,並無技術人員,因此,都 是透過網路從美國遙控整個系統。雖然 館內同仁及廠商在台業務代表皆盡心盡 力交涉,但該公司(在美國)第一線技 術人員太過堅持己見,以致拖延到晚上
7:30 仍無所進展,不得已,館長對廠商 下最後通牒,要求美國技術人員在8:00 前退出系統,館長決定先冒險關機嘗試 更換受損硬碟,因為館長不知道那二個 硬碟還能支撐多久,再加上適逢週末,
美方人員過幾小時後也將休假,而如果 先更換其中一顆硬碟後又能重新啟動系 統,此時系統會自動開始進行資料重建 與修護,完成後可以有充裕時間繼續來 克服備份的問題。
也許是受到館長最後通牒的影響,
美國技術人員終於開始願意嘗試其它方 式,很快發現系統有些檔案損壞以致於 無法進行備份,在隔離受損檔案後,備 份工作終於可以順利進行,並且在晚間 9 點多完成完整備份,館長在交待要妥 善保存備份磁帶和開始更換硬碟後離開 學校。
由於更換硬碟後的系統重建與修護 工作甚為耗時,而且一次祇能更換一顆 硬碟,在週日與負責管理系統的館員聯 繫後,得知硬碟更換工作順利完成,但 是嘗試備份仍然失敗。
因此,在星期一(3 月 5 日)召開 會議,館長一方面要求同仁檢查2 月份 資料是否有遺失,一方面要求隨時跟他 會報系統的狀況。初步發現資料並無遺 失,祇是書籍流通容易發生異常而鎖住 系統。
在3 月 6 日下午,書籍流通異常鎖 住系統的現象已大幅減少,不過仍比正 常情況稍高,發生原因仍在探究中。在 資料備份方面,(3 月 6 日)上午,館
長 接 到 美 國 技 術 支 援 部 門 經 理 的 Email,宣稱已修復系統中所有損壞檔 案,並且成功完成備份工作,於是館長 請負責管理系統的同仁在晚上圖書館關 門後,再嘗試進行正常完整備份作業來 驗證廠商的說法。在3 月 7 日上午,負 責管理系統的館員回報已能成功備份資 料,至此整起資訊安全事件暫告落幕。
綜合來看,此次嚴重的資訊安全事 件是混合多種因素而來:
廠商更新程式可能有臭蟲(Bug):
雖然負責管理系統的館員已經採取較 謹慎的作法,並未在第一時間就安裝 廠商的更新程式,而是觀察一段時間 看其他大學圖書館安裝後的狀況後才 進行更新,可惜有些臭蟲(Bug)是 在某些特殊情況下才會發作。
電腦硬體設備故障:雖然在系統的架 構設計上已採用 RAID(磁碟陣列)
來防止硬碟的故障,但並無百分之一 百的保證。更慘的是,有些時候硬碟 的故障並不會使系統立刻停擺,在拖 延的過程中,常導致系統效能降低、
某些機制失常(如備份)、和增加第 二顆硬碟故障的機率而使 RAID(磁 碟陣列)機制失效。
自動化系統廠商第一線技術人員專業 訓練不足:不但未能明瞭備份的重要 性,在屢次交涉過程中一直堅持既定 程序,不斷質疑是館員操作有誤,居 然可以延宕客戶無備份情況長達一個 月,實屬罕見,也讓人對此自動化系 統廠商的專業聲譽打上大問號,這可
以說是引發此次資訊安全事件的最主 要因素。
部分館員專業訓練和資訊素養能力不 足:未能了解備份的重要性,不但未 在第一時間通知館長,在與自動化系 統廠商第一線技術人員交涉未成後,
又沒立刻通報館長來拉高談判層級,
以致延宕過久而引發嚴重的資訊安全 事件。
圖書館本身沒建立完善的資訊安全事 件通報機制。
如果我們檢視 ISO 27001 附錄 A 的 11 個控制面相、39 個控制目標、
133 個控制措施,就可以發現上述五項 資訊安全事件的因素都有被涵蓋到(註 18)。
系統軟體的更新:ISO 27001 A.10.1.2
「變更管理」和 A.12.4.1「作業軟體 的控制」都對系統軟體的更新有所規 範 。ISO 27002 ( 或 ISO 17799 ) 10.1.2 規定作業系統和應用軟體應該 有 嚴 格 的 變 更 管 理 , 其 中 也 建 議
(a)變更應有計畫和測試(b)評估 可能的衝擊(c)應有適當的回復程 序(Fallback Procedure)。以此案例 來看,由於自動化系統的主機相當昂 貴,無法有備用主機以供事前測試,
但是可以擬定變更後的事後測試與回 復程序,來測試系統的重要功能(包 含備份機制),以提早發現可能的問 題和回復系統成變更前狀態,但是在 此案例中,負責管理系統的館員忽略 了更新後對完整備份機制的立即測
試。另外在 ISO 27002 條文 12.4.1 中,也建議在能移除或減少系統安全 漏洞情況下才考慮更新,以減低更新 的可能風險。
電 腦 硬 體 設 備 故 障 :ISO 27001 A.9.2.4「設備維護」中提及要確保硬 體設備持續的可用性和完整性,在此 案例中,硬碟的不穩定其實是有跡可 尋且持續了一段時間,可能是館員太 信任 RAID(磁碟陣列)的安全機 制,以致於忽略了某些徵兆。另一方 面,雖然在維護合約中有可更換新品 的規定,不過廠商一般為了節省成 本,往往堅持在硬碟確定損壞後才更 換新品,而不肯在硬碟出現不穩定徵 兆時即更換新品,因此,也加大設備 故障時的影響範圍和增加 RAID(磁 碟陣列)安全機制失敗的機率。所以 圖書館最好在採購系統時,就在合約 內就此部分的維護加入適當條文來保 障自身的權益。
與自動化系統廠商的安全協議:ISO 27001 A.6.2.3「第三方協議中之安全 說明」是規範與來往廠商相關的安全 規定與作法,ISO 27002(或 ISO 17799)6.2.3 中有建議(a)要針對 硬體和軟體的安裝和維護訂定明確規 定;(b)要規定目標服務水準和無法 接受的服務水準為何。如上所述,引 發此次資訊安全事件的最主要因素,
固然是自動化系統廠商第一線技術人 員專業訓練不足,且未能明瞭備份的 重要性所致,但是,如果在採購與維
護合約中有規定重要系統功能(含備 份機制)的最長修復期限,則廠商第 一線技術人員也斷然不敢堅持己見而 延宕客戶無備份情況長達一個月。
員工的資訊安全教育及訓練:ISO 27001 A.8.2.2「資訊安全認知、教育 及訓練」有規範應給予所有組織員工 適當的資訊安全教育及訓練。這樣一 來就不致於會發生部分館員因資訊素 養能力不足而未能了解備份重要性的 情形。
資訊安全事件通報機制:ISO 27001 A.13.1.1「通報資訊安全事件」規範 組織員工應循適當管道盡速通報資訊 安全事件給管理階層。在此案例中,
負責管理系統的館員在第一時間有跟 其業務上司(組長)通報,但是該組 長卻未繼續跟其業務上司(館長)報 告,就是違反了 ISO 27001 A.13.1.1 條款的規定。另一方面,組織也應該 對各種類資訊安全事件的通報流程和 層級訂出明確的規範,使組織員工有 所依循。
伍、結語
由於現代組織在運作上非常依賴資 訊系統,因此,資訊安全管理系統
(ISMS)近年來在國際間越來越受到 重視。在國內,行政院也通令各級行政 機構應盡快依據 ISO 27001 的相關規 定 , 來 建 立 資 訊 安 全 管 理 系 統
(ISMS)和取得資安認證。
由於ISO 27001對資訊安全的目標是 希望能同時兼顧機密性 (Confidentiality)、
完整性(Integrity)、可用性(Availability),
而圖書館做為一個傳播資訊的主要機構 之一,雖然一向較強調或重視資訊的公 開與普及,因此,圖書館內的資訊系統 較少機密性資料,所以機密性相對來說 較不重要,但是完整性和可用性對圖書 館 仍 然 是 很 重 要 的 , 這 也 正 是ISO 27001應用在圖書館的切入點。
本文首先介紹了ISO 27001 資訊安 全管理系統(ISMS)的整體架構,和 其所採用的「規劃 – 執行 – 檢查 – 行動」(PDCA)模式,使讀者對 ISO 27001 能有較全面性的掌握,其間也解 釋了ISO 27001 和 ISO 27002(或 ISO 17799)的相互關係。
再者,就ISO 27001 對資訊安全管 理系統(ISMS)的實作規劃而言,是 以資產(Asset)為出發點,透過適當 的風險評鑑(Risk Assessment)和風險 處理(Risk Treatment),使剩餘風險
(Residual Risk)皆在可接受的範圍 內,藉以達到效益和成本的最佳平衡,
並完成資訊安全的三個最主要目標:機 密性、完整性、可用性。其間也以圖書 館的角度或例子,來詮釋一些主要的概 念、過程、作法。
最後,以一件大學圖書館的資訊安 全事件為例,先詳細描述整個資訊安全 事件發生和處理的過程,再列舉出引起 資訊安全事件發生的 5 個(可能)因 素,然後針對這些因素來一一分析,看
ISO 27001 資訊安全管理系統(ISMS)
中的規定,如何能對此資訊安全事件的 預防與處理有所幫助。
綜合來說,雖然圖書館由於其服務 與運作的特性,其資訊系統中較少機密 性資料,因此,在成本與效益的考慮 下,是否應以ISO 27001 來做全面的資 訊 安 全 認 證 仍 須 思 量 。 但 是 ,ISO 27001 和 ISO 27002(或 ISO 17799)的 11 個控制面相、39 個控制目標、133 個控制措施,幾乎涵蓋了保護資訊系統 完整性和可用性的所有層面,就此點而 言,圖書館即使不做資訊安全認證,仍 應參考ISO 27001 和 ISO 27002 內的相 關規定來保護資訊系統,以使圖書館能 持續不斷的來服務讀者。
附 註
註1 ISO/IEC 27001 的官方網頁在 <
http://www.iso.org/iso/iso_catalogue/
catalogue_tc/catalogue_detail.htm?cs number=42103>(2007/09/14)。
註2 CNS 27001 的官方網址在 <http://
www.cnsonline.com.tw>
(2007/09/14)。
註3 胡文騰,「金融機構 ISO 27001 換 證 作 業 : 一 個 案 公 司 之 研 究 」
(長庚大學資訊管理研究所,碩士 論文,民國95 年)。
註4 鄭進興,「企業資料安全機制導入 之研究」 (高雄第一科技大學資 訊管理研究所,碩士論文,民國
96 年 6 月)。
註5 蔡重成、彭家亮、敖先義,「從企 業營運的觀點探討ISO 27001 資訊 安全管理系統的產業價值」 品質 月刊 43 卷 2 期(2007 年 2 月),
頁67-70。
註6 「行政院衛生署玉里醫院通過 ISO 27001:2005 國際資訊安全管理制度 認 證 」<http://www.training.tw.sgs.
com/zh_tw/sa_news-1224?viewId=
10005873>,(2007/09/14)。
註7 「中華電信取得 ISO 27001 資安認 證 」 <http://www.ithome.com.tw/
itadm/article.php?c=45123>,(2007/
09/14)。
註8 「國華人壽導入 ISO 27001 告別草 莽時期」 <http://www.ithome.com.
tw/itadm/article.php?c=36529>,
(2007/09/14)。
註9 「全機關獲 ISO27001 資安驗證 新 聞 局 拔 頭 籌 」<http://www.cna.
com.tw/top10/20070913cap0360.htm l>,(2007/09/14)。
註10 「主機代管業者爭相取得 ISO 27001 認證」 <http://www.ithome.com.tw/
itadm/article.php?c=38073>,(2007/
09/14)。
註11 CNS 27001 第 4 頁。
註12 133 個控制措施由於條款過多,請 讀者自行參閱 ISO 27001 或 CNS 27001。
註13 ISO 17799 後來調整為 ISO 27002,
國內也有 CNS 17799 來呼應 ISO 17799,此外 ISO 17799 來自英國 國家標準BS 7799-1。
註14 張美月,「風險評鑑 123:符合 ISO 27001 規範的資訊安全風險評 鑑」 證券櫃檯 128 期 (2007 年 4 月),頁109-115。
註15 李慧蘭,「國際資訊安全標準 ISO 27001 之網路架構設計–以國網中 心 為 例 探 討 風 險 管 理 」,<http://
yang.nhlue.edu.tw/tanet2006/ D000/
D00018.pdf>,(2007/09/14)。
註16 此定義取自 ISO/IEC 13335-1:2004。
註17 此定義見 ISO/IEC 27001(或 CNS 27001)4.2.1(d)。
註18 條文詞彙將採用 CNS 27001 中的 翻譯文字。
