靜宜大學 導入ISO 27001:2005 資安管理系統經驗分享 計算機及通訊中心 張鳳伶 flora@pu.edu.tw

大綱 前言 靜宜大學計算機及通訊中心組織及執掌 導入ISO 27001:2005 經驗分享 認證後之持續運作與改善 執行ISMS的具體效益 ISO 27001:2005 V.S BS7799 資訊安全推動組織及管理權責 如何導入ISMS機制 導入甘苦談 認證後之持續運作與改善 執行ISMS的具體效益 教育體系資通安全管理規範 Q&A

前言 ISMS推動作業之依據：行政院於94年7月21日核定「政府機關（構）資訊安全責任等級分級作業施行計畫」 資訊安全管理(Information Security Management System，簡稱ISMS)對學校的重要性 ISMS推動作業之依據：行政院於94年7月21日核定「政府機關（構）資訊安全責任等級分級作業施行計畫」

前言（一） 資訊安全管理(Information Security Management System，簡稱ISMS)對學校的重要性 網路的快速發展，改變了既有的業務處理模式，不單是業界，學校單位也感受到此股新興力量，許多行政工作藉由網路無遠弗屆的特性，加速了程序的進行，提升了整體的效率。此時此刻，正是為各級學校單位量身訂作規範的時機，如此才能確保各個行政程序的安全性。 -摘錄自「教育體系資通安全管理規範」

前言（二） ISMS推動作業依據：行政院於94年7月21日核定「政府機關（構）資訊安全責任等級分級作業施行計畫」 訓練資訊安全責任分級包含本所屬機關及各公私立學校區分： A 級：教育部、台大醫院、成大醫院 B 級：大學、區域網路中心、縣(市)教育網路中心 C 級：學院、專科學校．部屬館所 D 級：高中職、國中小學

靜宜大學計算機及通訊中心組織及執掌 靜宜大學計通中心合作團隊 靜宜大學計通中心組織 靜宜大學計通中心各組業務

靜宜大學計通中心合作團隊

靜宜大學計通中心組織圖

靜宜大學計通中心各組業務 行政教學組(6人) 主要工作項目： 遠距教學 教學平台 多媒體教學支援 數位內容 電腦教室軟硬體設備管理 全校電腦軟硬維修 網路通訊組(4人) 主要工作項目： 校園電腦網路骨幹與主機規劃、維護及使用者網點故障排除 維護對外電腦網路之正常運作 電話通訊系統 衛星電視系統 系統支援組(2人) 主要工作項目： 中心各主機及入口網站之設定、管理、維護及相關業務 全校校園IC卡應用及門禁系統規劃 軟體開發組(7人) 主要工作項目： 校務與師生服務系統開發與建置 校務資料庫系統維護

導入ISO 27001:2005 經驗分享 ISO 27001:2005 V.S BS7799 資訊安全推動組織及管理權責 如何導入ISMS機制 導入甘苦談

ISO 27001:2005 V.S BS7799 什麼是BS7799? 什麼是 ISO27001 ? 和 BS7799 差別在哪? BS7799 是一套資訊安全防護機制的規範 Information Security Management Systems ( 簡稱 ISMS) ，由英國標準協會 (British Standards Institute ，簡稱 BSI) 制訂並在 1995 頒布，期望透過 BS7799 這套計畫能夠有效建構資訊安全防護機制。一家企業只要能夠做到 BS7799 的要求並且通過獨立稽核機構的評鑑，便可獲頒 BS7799 資訊安全認證。 什麼是 ISO27001 ? 和 BS7799 差別在哪? BS7799 的 Part I  2000 年被採納為 ISO17799:2000 ，並在 2005 年修定成 ISO 17799:2005；只是一個 implementation guidance BS7799 Part II   2005 年被採納為 ISO 27001 國際標準，並於 2005 年 10 月正式出版發行； ISO 27001 則是一套完整的驗證標準 什麼是BS7799? BS7799 是一套資訊安全防護機制的規範 Information Security Management Systems ( 簡稱 ISMS) ，由英國標準協會 (British Standards Institute ，簡稱 BSI) 制訂並在 1995 頒布，期望透過 BS7799 這套計畫能夠有效建構資訊安全防護機制。一家企業只要能夠做到 BS7799 的要求並且通過獨立稽核機構的評鑑，便可獲頒 BS7799 資訊安全認證。到 2006 年 4 月 3 日止全世界總共有 3613 家企業 / 機構通過 BS7799 認證，其中前十名分別為 1. 日本 (1338 家通過 ) 、 2. 英國 (232 家通過 ) 、 3. 印度 (169 家通過 ) 、 4. 台灣 (81 家通過 ) 、 5. 德國 (56 家通過 ) 、 6. 義大利 (42 家通過 ) 、 7. 韓國 (38 家通過 ) 、 8. 美國 (36 家通過 ) 、 9. 匈牙利 (29 家通過 ) 、 10. 荷蘭 (27 家通過 ) 。台灣目前排在全世界第四名。相關資訊請參考 http://www.xisec.com/ 並點選 “Certificate Register” 。 什麼是 ISO27001 ? 和 BS7799 差別在哪? BS7799 的 Part I 在 2000 年被採納為 ISO17799:2000 ，並在 2005 年修定成 ISO 17799:2005 ； Part II 則在 2005 年被採納為 ISO 27001 國際標準，並於 2005 年 10 月正式出版發行。 ISO 17799 只是一個 implementation guidance ，而 ISO 27001 則是一套完整的驗證標準。企業可以自訂需要驗證的項目與範圍，找輔導公司來幫企業導入，然後就這些項目來改善並通過驗證公司的審核。當然，輔導公司跟驗證公司必須是不同的。目前台灣比較常見的驗證公司有 BSI 、 DNV 、 SQS 、 BVQI 、標準檢驗局、以及各大會計師事務所 (KPMG 、 Price Waterhouse Coopers 、 DTT 等 ) 。 ISO27001:2005 的內容 總共分成 11 個領域、 39 個控制目標、 133 個控制要點。 11 個領域包括 A.5 Security Policy A.6 organization of information security A.7 Asset management A.8 Human resources security A.9 Physical and environmental security A.10 Communications and operations management A.11 Access control A.12 Information systems acquisition, development and maintenance A.13 Information security incident management A.14 Business continuity management A.15 Compliance

ISO 27001:2005 V.S BS7799(續) ISO27001:2005 的內容 總共分成 11 個領域、 39 個控制目標、 133 個控制要點。 11 個領域包括 A.1 Security Policy A.2 organization of information security A.3 Asset management A.4 Human resources security A.5 Physical and environmental security A.6 Communications and operations management A.7 Access control A.8 Information systems acquisition, development and maintenance A.8 Information security incident management A.10 Business continuity management A.11 Compliance

資訊安全推動組織及管理權責

資訊安全推動組織及管理權責(續) 管理權責 建立資訊安全管理制度並推動資訊安全相關事宜。 負責召集資訊安全管理審查會議，並追蹤其決議事項。 ●資訊安全推動委員會 建立資訊安全管理制度並推動資訊安全相關事宜。 ●召集人(由中心主任擔任) 負責召集資訊安全管理審查會議，並追蹤其決議事項。 督導本中心風險評鑑作業。 督導本中心持續營運計畫之修訂與演練。 ●資訊安全稽核小組(5人) 執行資訊安全管理之內部稽核作業。 ●資訊安全工作小組(10人) 評估人員進用之安全性。 辦理資訊安全教育訓練。 資訊資產之安全需求研議、使用管理及保護等事項。 程序及規範書草擬

資訊安全推動組織及管理權責(續) 管理事項如下： 資訊安全政策制定及評估 組織的資訊安全與分工 資產管理 人力資源的安全 實體與環境安全 通訊與作業管理 存取控制 資訊系統取得、開發及維護 資訊安全事故管理 營運持續管理 遵循性

如何導入ISMS機制 步驟一：制訂政策 步驟二：定義ISMS範圍 步驟三：進行風險評鑑 步驟四：進行風險管理 步驟五：制訂程序﹑規範、及參考相關法規

如何導入ISMS機制（續） 步驟六：資安設備建置、實體環境改善 步驟七：災害演練﹑營運計畫演練 認證程序 稽查時注意事項

步驟一：制訂政策 及完整資訊的合法存取 管理階層對資訊安全的指示及支持 政策文件應經管理階層核准、發行，宣導至中心所有員工 政策應定期審查，如有影響變更時，應確保其適切性。 確保本校資訊服務永續提供 及完整資訊的合法存取

組織核心業務必須納入 切割介面必須清楚明確 排除項目必須說明理由 步驟二：定義ISMS範圍 定義ISMS實施與認證範圍 全機關？ 部門？ 工作場所？ 應用系統？ 選擇重要核心業務－計算機及通訊中心所提供的 網路骨幹管理、伺服器主機管理、校務系統資料庫管理、 電子郵件服務管理及全球資訊網服務管理之資訊安全管理 系統。場地為計中1F及各學院校園骨幹設備機房、異地備 份場所。 組織核心業務必須納入 切割介面必須清楚明確 排除項目必須說明理由 ISMS 涵蓋範圍可大,但認證範圍可調整

步驟三：進行風險評鑑 風險評鑑程序 資訊資產鑑別 資訊資產評價（機密性、完整性、可用性、適法性） 弱點評鑑 威脅評鑑 風險計算 文件類：電子類文件、紙本類文件。 軟體類：商用軟體、內部發展軟體。 人員類：內部人員、外部人員。 實體類：一般硬體、電訊、電腦媒體、電腦保護設施。 服務類：內部服務、外部服務、基礎架構、一般公共設施、建築、建築保護設施。 資訊資產評價（機密性、完整性、可用性、適法性） 弱點評鑑 威脅評鑑 風險計算

步驟四：進行風險管理 風險處理方向 對各項風險選擇控制目標、措施及方法， 製作資訊安全防護計畫，彙整為適用性聲明 避免風險、轉移風險、降低風險到可接受程度、接受剩餘的風險 對各項風險選擇控制目標、措施及方法， 製作資訊安全防護計畫，彙整為適用性聲明 成本、實施的容易性、要求的程度、服務、法律和法規的要求 制止、偵測、預防、限制 矯正、回覆、監控、宣導 資訊安全工作小組，確定控制目標、措施、資源分配等。

步驟五：制訂程序﹑規範及參考相關法規 1.中心資訊安全政策 2.資訊安全管理手冊(一階文件1份,二階文件16份,三階文件12份) 資訊安全組織規程 資訊安全管理手冊 人事安全管理程序 資訊安全文件暨紀錄管理程序 資訊資產管理程序 資訊風險評鑑與管理程序 資訊安全管理適用性聲明書 網路安全管理程序 資訊存取控制程序 實體安全管理程序 資訊作業委外管理程序

步驟五：制訂程序﹑規範及參考相關法規(續） 資訊應用系統安全管理程序 資訊業務持續營運管理程序 資訊安全事件通報程序 資訊安全稽核程序 資訊安全矯正及預防措施程序 電腦主機房管理作業規範 電腦病毒防治管理規範 弱點管理作業規範 網路安全管理作業規範 防火牆建置與管理作業規範

步驟五：制訂程序﹑規範及參考相關法規(續） 電子郵件管理作業規範 主機與伺服器安全管理作業規範 備份管理作業規範 資料交換作業規範 資料庫管理作業規範 資訊設備與媒體管理作業規範 資訊業務災害回復作業規範 3. ISO 27001:2005 4.行政院及所屬各機關資訊安全管理要點 5.智慧財產權 6.電腦處理個人資料保護法 7.其他

已建置：主機與Console台區分、線路及電源整理、主機上機架、消防、監視、保全、空調系統、出入口門禁 步驟六：資安設備建置、實體環境改善 資安設備建置 防火牆、 入侵偵測系統、 防毒主機（已建置） 實體環境改善 新建置：印表室門禁﹑主機房區門禁 已建置：主機與Console台區分、線路及電源整理、主機上機架、消防、監視、保全、空調系統、出入口門禁

步驟七：災害演練﹑營運計畫演練 災害演練(火災﹑地震﹑停電…) ，半年擇一演練 營運計畫演練 網路骨幹服務持續計畫 電子郵件系統服務持續計畫 校務行政系統資料庫持續計畫 全球資訊網服務持續計畫

認證程序 輔導公司跟驗證公司必須是不同 各階文件完備後 內部稽核 預評(非必需) 文件審查 正評 主要缺失、 次要缺失、觀察事項改善

稽查時注意事項 所有表單皆須填寫，否則須說明原因：未有事件發生或其它因素 內稽前表單需有1個月以上紀錄 表單間之關連性 進門借臨時卡時間不得晚於進主機房時間 備份時間與維修記錄卡時間是否相同 調閱監視系統記錄與主機房進入登記表人數是否吻合

稽查時注意事項(續) 內部人員（含工讀生）及維護廠商（公司及個人）的保密切結書 桌面淨空 印表機列出文件儘速取回 資訊資產標示及分級保管 實機抽查但由系統管理員操作 個人電腦(含工讀生電腦) ：Windows update、防毒軟體、螢幕保護程式 主機： 使用者帳號及權限是否因人員異動即時變更、系統記錄檔 通報方式實際操作:EX：國家資通安全會報技服中心 教育訓練如何評估其有效性

導入甘苦談 首長的明確支持與公開宣示 主管明確表示做到底的決心 ISMS不是安裝一個自動化系統，而是訂定規章與制度，從管理角度而非從技術層面切入 程序與規範的制定，雖然有範本，學術單位與其他業界不同，仍須依校內實際運作狀況調整 導入ISMS資訊安全管理制度，比與原有管理方法要求更嚴謹。在改變過程中，便利與安全的拉鋸戰，需不斷討論與協調 由工作小組成員依本身負責業務性質草擬3~4個程序或規範，每一程序或規範草擬人每週需花費4~8小時

導入甘苦談(續) ISMS推動必須有充分授權之專案負責人依據追蹤表跟催進度及與顧問密切聯繫 部分程序或規範內容需跨組討論，或有爭議之處需諮詢顧問，每週需花費4~8小時 各項審查後工作小組需指定承辦人員、覆核人員並列書面追蹤表，交予中心主任。每次需花費2~4小時 ISMS推動必須有充分授權之專案負責人依據追蹤表跟催進度及與顧問密切聯繫 工作小組成員由中心現有人力擔任，除例行業務外，在導入至認證期間半年內（95年9月至96年3月） ，工作負擔加重 主管及計中所有同仁的共同參與，不只有工作小組及稽核小組參與 顧問專業的說服力與影響力是不可缺少的助力

導入甘苦談(續) 因內稽﹑外稽﹑文件審查﹑預評皆須修正程序及規範，文管人員負荷沈重。96年4月國內已有ISMS管理工具上市，可減輕這方面負擔 風險評鑑重置與比較 個人化資安稽核清單與線上稽核 自動化適用性聲明書分析與產出 宣導資訊安全的重要及資訊安全認知﹑技術﹑稽核教育訓練

認證後之持續運作與改善 透過定期稽核持續運作 利用持續改善的機制，加強同仁對管理制度的信任與適用 透過資訊安全討論與規劃，視組織資源訂定資安制度及可量化目標

執行ISMS的具體效益 提昇組織安全及系統安全 經由風險評鑑確認關鍵性資產 提供一個持續改善的架構 建立組織標準作業程序易於管理、傳承 提昇管理階層的資訊安全認識及支持 易於爭取內部資源 提昇全校師生對學校提供之資訊服務信任感 提高計通中心全體同仁之責任心及榮譽感 ※參考資料:政府單位推動ISMS經驗分享-檔案管理局

教育體系資通安全管理規範 依據 適用範圍 控制目標及控制措施參考 適用對象 適用系統 目標期程 刪除之規範與控制項 導入試作點-國立成功大學

依據 教育部函 教育部 309000000E 函 發文日期： 中華民國 中華民國96年7月6日 發文字號： 台電字 第096 0103352號 主旨： 檢送「教育部所屬機關及各公私立學校資通安全工作事 項」，請　查照辦理。 說明： 一、檢送「教育部所屬機關及各公私立學校資通安全工作事 項」，各機關學校應落實實施資通安全工作事項，資訊安全長(副首長以上)應加強監督旨揭工作事項執行情形。 二、各縣市政府教育局請轉知所屬國中小學，並協助監督考核執行情形 網址http://www.edu.tw/EDU_WEB/EDU_MGT/MOECC/EDU0688001/tanet/fix.htm

教育體系各機關適用範圍 「教育體系資通安全管理規範」第1群：適用教育部電算中心、部屬館所、縣(市)網中心及公私立大專院校。 「教育體系資通安全管理規範」第2群：適用公私立高中職學校。 規模及經費考量，第2群較為寬鬆

國中小學資通安全管理系統實施原則 適用國中小學 網址http://www.edu.tw/EDU_WEB/EDU_MGT/MOECC/EDU0688001/tanet/EDUISMS-J-960530V1.doc

控制目標及控制措施參考 ISO17799:2005第A.5至A.15和行政院及所屬各機關資訊安全管理規範中列出之項目，另並依據教育體系與相關單位既有之屬性與特點，保留符合各層級單位之項目。各單位應考量自身的需求與特性，考慮增加其他必要之控制目標及控制措施。

適用對象 適用對象 除一體適用不予標註的項目外，將加以註記較適用於第一群之說明，避免歸屬第二群之單位於施行上的困難(但為避免此「建議適用」造成資安威脅的挑戰，第二群單位仍需考量該適用第一群條款之納入必要性)

適用系統 針對連線單位的「學術網路系統」及「行政資訊系統」，亦將註記該條款適用的系統，若無加註的部份，為兩套系統需遵守之項目

目標期程 各單位在資訊業務管理上，受限於人力、經費等各項資源，加上建置ISMS過程中須與相關單位以及管理階層多加協調溝通；建議採階段式進行，以三年為期自行設定合理的期程目標，逐步達成每年度預定的進程比例，而非耗盡內部資源全力投入的模式

刪除之規範與控制項 考量：教育體系與相關單位的特性 簡化所有條款之內容 合併 代替 省略 刪除 目的：便於進行ISMS的所有程序，在不過於耗費資源，又不暴露單位於資安危機的情況下，降低資安事件的發生，提升ISMS之有效性。

導入試作點 教育體系資訊安全管理制度導入試作點-國立成功大學 包含政策、 適用性聲明書、程序、表單、手冊、適用性聲明書參考範本 網址http://www.edu.tw/EDU_WEB/EDU_MGT/MOECC/EDU0688001/tanet/fix.htm 包含政策、 適用性聲明書、程序、表單、手冊、適用性聲明書參考範本

Q&A 敬請指教