[專題] 資訊安全管理導入實務(一) - ISO 27001資訊安全管理系統簡介

推動資訊安全工作，主要涵蓋的層面包括人員、作業流程和資訊技術，要如何將此三者串連起來，最好的方式就是建置一套適合組織的資訊安全管理制度。目前，實務上最好的參考指引就是國際資訊安全管理標準ISO 27000系列的規範，接下來的文章，將會說明如何協助組織導入符合標準要求的資訊安全管理制度。

一談到資訊安全，大多數人的直覺反應就是在抵擋駭客入侵，但事實上，這只是其中的一小部分而已。過去，許多企業組織對於資訊安全的投入，主要都是著重在技術面的資安基礎建設，例如建置網路防火牆、防毒軟體和入侵偵測系統等，希望藉由安裝資安軟、硬體設備來加強網路安全，以抵擋來自企業外部的各種資訊安全威脅。

可是，僅僅做好網路安全防護，並無法有效地解決各種資訊安全問題的發生，因為還有兩項大原則必須要同時兼顧到，那就是人員與作業流程。因此，確保組織資訊安全的最佳方式是從管理層面來著手，藉由建立一套完整的資訊安全管理系統(Information Security Management Systems, ISMS)，才能有效防範資訊安全事件的發生，但是資訊人員們可千萬別誤會，這裡的「系統」指的並不是架設一台伺服器或是開發某個應用系統，它背後代表的意義，其實是要建立可以持續運作的資訊安全管理制度。

資訊安全管理標準簡介

目前，ISO 27000系列是國際上受到認可的資訊安全管理標準，其中在2005年通過的ISO 27001標準，它是規範建立、實施資訊安全管理系統的方式，以及落實文件化的要求，可以確保資訊安全管理制度，在組織內部能夠有效的運作，同時它也可以作為資訊安全管理系統的驗證標準。截至2009年6月為止，在全球已經有超過5600個組織通過驗證，台灣也有321個組織(包括公民營單位)取得ISO 27001證書，僅次於日本、印度、英國，位居全球第4位。

至於ISO 27002則是資訊安全管理作業要點，內容涵蓋了11個章節以及133個安全控制措施，提供很多實務上能夠運用的做法，可作為建立一個標準的資訊安全管理系統的參考。如果管理人員想要協助組織建立資訊安全管理制度，卻不知應該要如何著手時，就可以參照這個標準的內容來進行。

在ISO 27001標準中的要求，都是屬於一般性且可廣泛應用的，也就是說，它適用於任何型式的組織，而不受限於規模大小和營業性質。因此，只要是有心想要加強資訊安全的企業或政府單位，都可以藉由參考ISO 27001中的規範，自行選擇符合組織需求的資訊安全控制措施，來達成一定水準的資安防護能力。

管理制度的運作架構

在資訊安全管理系統的運作上，ISO 27001要求組織應該要在整體業務活動與其所面臨的風險之下，建立、實施、運作、監控、審查，並且維持和改進一個已經有文件化的管理制度，如果要確保它可長可久，就必須要運用PDCA(Plan-Do-Check-Act)過程導向模式，作為整體管理制度運作的基礎。

所謂的PDCA是指「計劃-執行-檢核-行動」的過程，在一開始的計劃階段，組織必須要建立符合營運目標的ISMS政策，它定義了組織實施ISMS的範圍，並說明資訊安全的目標、需要透過哪些指標去衡量成效，以及管理階層應該擔負的責任。因此，資訊安全政策也可視為管理階層對於資訊安全的宣誓與支持，唯有如此，到了執行的階段，我們才可依照此一政策來逐步推動各項資安的控制措施，並且建立相關的作業程序。

在依照計劃並且執行之後，要如何得知實施的成效呢？這時候就要進入檢核的階段，針對ISMS政策、控制目標及實行的過程，依照政策中所設定的指標去分析、評量實施的成果與績效，然後再將此一結果回報給管理階層作為審查之用。最後，再依據審查的結果，若是發現執行過程中有一些不符合的事項，就要透過實際行動來進行改善，也就是採取相對應的矯正和預防措施，來持續改進ISMS的整體運作。

ISO 27001標準條文內容

ISO 27001標準條文一共分為8個章節以及附錄，其中第1到3章，說明了ISMS的適用範圍、所引用的其他標準，以及相關名詞的解釋。ISO 27001條文的重點主要是落在第4到8章和附錄A，分別是「資訊安全管理系統」、「管理階層責任」、「ISMS內部稽核」、「ISMS之管理階層審查」、「ISMS之改進」，以及附錄A的控制目標與控制措施。其中特別要注意的，就是在這5個章節之中，涵蓋了資訊安全管理制度的建立運作與文件記錄管制、風險評鑑、管理責任、內部稽核和持續改善等要求，如果組織有任何一項不符合，就表示此一管理制度是無效的，也就無法通過ISO 27001標準的驗證，所以務必要了解條款背後所代表的執行意義。

為了滿足以上所提到的PDCA架構，在ISO 27001標準條文中，也是基於此一運作模式來設計，以第4章為例，4.2.1是「建立ISMS」、4.2.2為「實施與運作ISMS」、4.2.3是「監督與審查ISMS」、4.2.4則是「維持與改進ISMS」，剛好就對應了從計畫建立(P)、實施運作(D)、監督審查(C)及維持改善(A)的四個循環過程，換句話說，只要組織能夠持續PDCA的管理模式，就可以確保資訊安全管理制度可以有效地運作。

以下就先簡要說明4.2.1「建立ISMS」條文的內涵：

1. 定義ISMS範圍 - 在此條文中，要求組織首先要依據營運、組織、所在位置、資產和技術等特性，定義出資訊安全應受到適當控管的範圍。我們可以依照組織本身的特性，以部門、系統、業務項目或實體環境來定義所要實施控管的範圍，舉銀行業為例，我們可以選擇銀行資訊部門作為導入ISMS的範圍，也可以將信用卡這項業務服務相關的部門、人員、流程或是信用卡服務中心所在地點作為實施範圍。在實務上，當組織在定義範圍的時候，請僅記一項原則，就是務必要把核心的業務納進來，因為別忘了我們一開始即提到，資訊安全的目標要與營運目標一致，如果不針對主要業務來進行資安控管，實施起來就不具有意義了。
2. 界定ISMS政策 - 在制定政策的時候，我們需要考量組織營運與相關法規的要求，還有合約中所制定的資訊安全責任，例如法律要求必須要保障個人隱私、保護重大營運資訊，或是合約中要求必須保護客戶資料等，這些都是我們設定資安目標時的重要依據與參考。另外，在ISMS政策中，我們也要建立可以用來評估風險的準則，並且要能符合組織的整體風險管理策略。
3. 界定風險評鑑作法 - 風險評鑑有各種不同的方法論，讀者可參閱網管人二月和三月號中有關資安風險管理的說明，自行發展出可以識別組織風險的方法，並定出風險可以接受的等級。標準之中對於風險評鑑方法的要求，在於風險評鑑後所產出的結果，必須是可比較且可再產生的，換句話說，風險評鑑的方法，必須能夠重複使用，而且在不同時期進行的風險評鑑，其結果皆可用來相互比較分析，以作為風險處理與改善的方向。
4. 管理階層審查 - 標準中提到在風險處理之後，所殘留下來的剩餘風險，必須要取得管理階層的授權與核可，整個風險處理過程才算完成。
5. 擬定適用性聲明書 - 所謂的適用性聲明是指針對資安風險所選擇的控制目標與措施，組織必須要說明其選擇的理由，另外，在標準中所排除的控制項目，也必須要提出合理的解釋。適用性聲明的主要目的，是為了要確保不會有存在於組織中的資安風險，受到忽略而缺少適當的控管。

資訊安全是一個管理過程

資訊安全是一個管理過程，而不是一項技術導入過程，在ISO 27002標準中提到，「資訊安全是為了有效保護資訊不會受到各種威脅，實施各項適當的控制措施，以使企業能夠持續營運，將可能受到的損失降至最低，並獲得最大商機。」所以，維護資訊安全並不單只是資訊人員的責任，而是必須提高層級由企業組織的管理階層做出承諾，要求成為所有人員必須遵守的規範，也唯有人員都具備了資訊安全的警覺與防護意識，才能降低資安事件發生的可能。(本文刊載於2009年7月號網管人雜誌)