1、 1 印行年月 94 年 10 月 本標準非經本局同意不得翻印 中華民國國家標準 CNS 總號 類號 ICS 35.040.00 14929-2X6046-2經濟部標準檢驗局印行 公布日期 修訂公布日期 94 年 5 月 13 日 年月日 (共 21 頁 )資訊技術資訊技術安全管理指導綱要 第 2 部:資訊技術安全管理與規劃 Information technology Guidelines for the management of IT security Part 2:Managing and planning IT security 目錄 節次 頁次 導論 3 1. 適用範圍 . 4 2
2、. 參考文件 . 4 3. 用語釋義 . 4 4. 結構 . 4 5. 目標 . 4 6. 背景 . 4 7. IT 安全管理 5 7.1 規劃和管理過程概觀 . 5 7.2 風險管理概觀 . 6 7.3 實作概觀 6 7.4 後續作為概觀 . 7 7.5 整合 IT 安全 . 7 8. 企業 IT 安全政策 . 7 8.1 目標 . 7 8.2 管理階層承諾 . 8 8.3 政策關係 8 8.4 企業 IT 安全政策元件 . 8 9. IT 安全的組織層面 9 9.1 角色和職責 . 9 9.1.1 IT 安全管理會議 . 10 9.1.2 企業的 IT 安全官 11 9.1.3 IT 專案
3、安全官和 IT 系統安全官 11 9.2 承諾 . 11 9.3 一致性作法 . 12 10. 企業風險分析策略選項 . 12 10.1 基準作法 . 12 10.2 非正式作法 . 13 2 CNS 14929-2, X 6046-2 10.3 詳細的風險分析 . 13 10.4 組合式作法 13 11. IT 安全建議事項 . 14 11.1 保護措施選擇 14 11.2 風險接受 . 15 12. IT 系統安全政策 . 15 13. IT 安全計畫 16 14. 保護措施的實作 16 15. 安全認知 17 16. 後續作為 18 16.1 維護 18 16.2 安全遵循性 18 16
4、.3 監視 18 16.4 事故處置 . 19 17. 彙總 . 19 英中名詞對照表 . 21 3 CNS 14929-2, X 6046-2 導論 本標準之目的為提供資訊技術 (Information Technology; IT)安全管理方面的指引,並非提供解決的方法。組織內負責 IT 安全的相關人員,可採用本標準的內容以符合其特定的需求。本標準的主要目標是: 定義及描述與 IT 安全管理有關的概念。 識別 IT 安全管理與一般 IT 管理之間的關係。 呈現一些可以被使用於解釋 IT 安全的模型。 提供 IT 安全管理的一般指引。 本系列標準分為 5 部。第 1 部提供基本概念之概觀與使
5、用於描述 IT 安全管理的模型。這部的內容適合負責 IT 安全之管理者與負責組織整個安全程式的人員。 第 2 部描述管理與規劃方面。這部是與負責關於組織之 IT 系統的管理者有關。包含: 負責監督 IT 系統的設計、實作、測試、採購、或操作的 IT 管理者。 負責 IT 系統之實際使用活動的管理者。 第 3 部描述牽涉專案生命週期中之管理活動 的安全技術,例如:規劃、設計、實作、測試、獲取或操作。 第 4 部提供保護措施之選擇的指引,且如何藉由基準版本模型與控制的使用以支援這些指引。它也描述如何補充在第 3 部所描述的安全技術,與如何使用額外評鑑之方法於保護措施的選擇。 第 5 部針對負責管理
6、 IT 安全的人員,提供關於網路與通訊的指引。本指引支援建立網路安全需求時,必須考量的通訊相關要素的識別與分析。它也包含一個可能的保護措施領域之簡短的導論。 4 CNS 14929-2, X 6046-2 1. 適用範圍 本標準中之指導綱要提出 IT 安全管理最基本的各種主題以及各主題間的相互關係。這些指導綱要有助於 IT 安全各方面的識別和管理。 熟悉第一部介紹的觀念和模型為完全了解本標準所必需。 2. 參考文件 CNS 14929-1 資訊技術資訊技術安全管理指導綱要第 1 部:資訊技術安全概念與模型。 3. 用語釋義 本標準適用 CNS 14929-1 之用語釋義,使 用以下用語:可歸責
7、性、資產、鑑別性、可用性、基準控制措施、機密性、資料完整性、衝擊、整合性、 IT 安全、 IT 安全政策、可靠性、殘餘風險、風險、 風險分析、風險管理、保護措施、系統完整性、威脅、脆弱性。 4. 結構 本標準分成 17 節,第 5 節和第 6 節提出本文件的目標和背景資訊。第 7 節提供含在成功 IT 安全管理的各種工作之概觀。第 8 節到第 16 節詳細敘述這些工作,第17 節為彙總。 5. 目標 本標準的目標是展現關於 IT 安全管理和規劃的各種不同工作,包括在組織範圍內相關的角色和職責。它關係到傳統上負責 IT 系統的獲取、設計、實作或操作的 IT管理者。在負有 IT 安全責任之管理者外
8、,它也關係到負責 IT 系統實際使用工作的管理者。一般而言,本標準對於與組織之 IT 系統管理職責有關的任何人員均非常有用。 6. 背景 政府和商業組織重度依賴利用資訊來進行其營運活動。失去資訊和 服務的機密性、完整性、可用性、可歸責性、鑑別性和可靠性將會對組織有不利的衝擊。因此,有保護資訊以及管理組織內 IT 系統安全的急迫需要。這項保護資訊的需求在當今的環境下特別重要,因為許多組織利用 IT 系統的網路做內部和外界的連接。 IT 安全管理是用來達到並維護適當等級 的機密性、完整性、可用性、可歸責性、鑑別性和可靠性的過程。 IT 安全管理功能包括: 決定組織的 IT 安全目標、策略和政策。
9、決定組織的 IT 安全需求。 識別並分析對組織內各 IT 系統資產之安全威脅和脆弱性。 識別及分析安全風險。 規定適當的保護措施。 監視各項必要之保護措施的實作和操作以便合於成本效益地保護 組織內部之資訊和服務。 發展及實作安全認知計畫。 事故的偵測和反應。 5 CNS 14929-2, X 6046-2 為了滿足對上述諸 IT 系統管理責任,安全必須是組織整套管理計畫成分之一。由於若干本標準所提出之安全論題有較廣義的管理含意。本標準不會企圖在廣義管理議題(反而寧可在各論題的安全層面以及它們在大體上如何和管理產生關係)上聚焦。 7. IT 安全管理 7.1 規劃和管理過程概觀 在組織內對 IT
10、 安全需求的識別需要系統化的方法,對於 IT 安全的實作以及其進行中的管理也是如此。此過程被稱為 IT 安全管理並包括以下的活動: IT 安全規劃和管理是制定和維護組織內 IT 安全計畫的總過程。圖 1 顯示這個過程內的主要工作。因為管理風格、組織規模和結構的不同,宜將此進程計畫裁適成符合所要使用的環境。重要的是所有在圖 1 中被識別出之工作和功能係依組織風格、規模、結構及它的營運執行方式提出。此暗示將管理者審查當作所有這些工作和功能的一部分來進行。 開始點是建立組織 IT 安全目標清楚的視野。這些目標從較高層級的目標 (例如營運目標 )依次帶出如同第 8 節所詳述的組織和企業 IT 安全政策
11、的 IT 安全策略。因此,企業 IT 安全政策的一部分是開創一個適當組織結構其將會確保能達成既定目標。 6 CNS 14929-2, X 6046-2 圖 1 IT 安全規劃和管理概觀 風險管理 (第7.2節 )實作 (第13節 )企業IT安全政策(第8節 )IT安全的組織層面(第9節 )企業風險分析策略選項(第10節 )選項基準作法 非正式作法詳細的風險分析組合式作法IT安全建議事項(第11節 )IT系統安全政策(第12節)IT安全計畫(第13節)後續作為(第16節)保護措施(第14節)安全認知(第15節)圖 1 IT安全規劃和管理綜觀7.2 風險管理概觀 風險管理包括四個不同的活動: 在企
12、業安全政策的全景內,決定適合組織的整個風險管理策略。 以風險分析工作之結果或依據基準控制措施的結果為個別的 IT 系統選擇保護措施。 從安全建議事項形成 IT 系統安全政策,並當作企業 IT 安全政策必要的更新(及於適當處的部門 IT 安全政策 )。 植基於已核可的 IT 系統安全政策,建構 IT 安全計畫以實作各項保護措施。 7.3 實作概觀 每個 IT 系統所必備之保護措施的實作宜依照 IT 安全計畫執行。一般 IT 安全 7 CNS 14929-2, X 6046-2 認知的改善 (雖然經常忽略 )是個對保護措施之有效性的重要事務。圖 1 釐清保護措施的實作和 IT 安全認知計畫這二個作
13、業宜平行運轉,正如同使用者的行為不可能一夕改變,而認知需要長期持續不斷地加強之。 7.4 後續作為概觀 第 16 節後續作為提出的工作包括: 維持保護措施,以確保它們持續且有效地運作。 進行檢查以確保各項保護措施均符合已核可的政策和計畫。 監視資產、威脅、脆弱性和保護措施的差異,以偵測可能影響風險的變更。 事故處置,以確保適當地反應不想要的事件。 後續作為是一個連續性的任務,同時宜包括早先決定的再評鑑。 7.5 整合 IT 安全 若其均勻地遍佈在整個組織之中且自 IT 系統生命週期即開始,則所有 IT 安全活動將會是最有效的。 IT 安全過程本身即是一個主要的工作週期且宜整合進入 IT系統生命
14、週 期的所有階段中。 IT 安全最有效的時機是安全活動自始即整合進入新的系統,繼承之系統和營運活動便能適時從安全整合的任何時點上獲益。 IT 生命週期可以分割成三個基本階段,每一階段與 IT 安全關連如下: 規劃:宜在所有規劃與決策的活動期間提出 IT 安全的需要。 獲取:宜將各項 IT 安全需求整合到各過程中藉之以設計、發展、購買、升級或以別的方式建構系統。安全需求整合併入到這些工作確保各項具成本效益的安全特質是在適當時間 (而不是在以後 )被納入系統。 運作: IT 安全宜被整合到運作環境。當 IT 系統用來屢行它的預定任何任務之前,它通常經歷了一系列的升級,包括:新硬體組件的購買或者軟體
15、的修改或增加。此外,運作環境經常會變更,這些環境的改變可能會產生宜接受分析及評鑑之新的系統脆弱性,而兩者宜予減輕或接受。系統的安全報廢與重置也同等重要。 IT 安全宜是一個在 IT 系統生命週期各階段內或之間具有許多回饋的連續過程。圖 1 只顯示大體的回饋路徑。在大多數情況下,回饋也會在 IT 安全過程所有主要工作內部或之間發生。這提供有關於 IT 系統生命週期全程三階段的IT 系統的脆弱性、威脅和保護的一個連續資訊流。 亦值得注意的是組織的每一營運領域均可識別出唯一的 IT 安全需求。這些領域宜利用分享被用來支援管理者決策過程之安全方面資訊,互相支援彼此整體IT 安全過程。 8. 企業 IT
16、 安全政策 8.1 目標 得為組織每一階層及 為每一營運單位或部門定義各項目標 (何者要被完成 )、策略 (如何達成這些目標 )以及政策 (達到這些目標的規則 )。為了達成有效的 IT 安全,實有必要定位組織各階層以及營運單位的各種目標、策略和政策。因為許多威脅 (例如:系統 侵入、檔案刪除和火災 )是共同的營運問題,雖然受到不同 8 CNS 14929-2, X 6046-2 觀點的影響,將相對應的文件之間一致化是重要的事。 8.2 管理階層承諾 高層管理者對 IT 安全的支持是重要的,且宜有正式的同意並用文件說明企業的 IT 安全政策。也宜從企業安全政策推導出組織 IT 安全政策。 8.3
17、 政策關係 企業 IT 安全政策得被納入企業技術與管理政策範圍中的適合處。這份聲明宜包括安全重要性的一些具有說服力文字 ,特別是安全必須符合這些策略的時候。圖 2 顯示各種政策之間的關係。不管組織使用的文件和組織結構,而能提出政策描述的不同訊息並維持其一致性是很重要的事。 企業營運政策(推導自目標和策略)企業的 IT安全政策部門的 IT安全政策系統 B的 IT安全政策系統 A的 IT安全政策企業的市場政策 企業的安全政策 企業的 IT政策圖 2 政策關係特定的系統和服務或一群 IT 系統要求其他更詳細的 IT 安全政策。此乃習知之IT 系統安全政策。基於營運和技術理由,而清楚地界定其規模和界限
18、為重要的管理層面。 8.4 企業 IT 安全政策元件 企業 IT 安全政策宜至少涵蓋以下主題: 9 CNS 14929-2, X 6046-2 IT 安全需求:機密性、完整性、可用性、鑑別性、可歸責性和可靠性等事項,特別是資產擁有者的觀念。 組織的基礎建設以及職責的指配。 系統發展和採購中引入安全整合。 指令和程序。 資訊分類的類別定義。 風險管理策略。 應變規劃。 人事的議題 (宜特別注意 要求信任之職位的人員,例如:維持人員和系統的管理者 )。 認知和訓練。 法律和規範之遵守。 委外管理。 事故處置。 9. IT 安全的組織層面 9.1 角色和職責 IT 安全是跨領域之間的主題且關係到每個
19、 IT 專案和系統以及組織內所有的 IT使用者。適當的指配和界定職 責可確保所有重要任務 (task)的達成及以有效方式屢行。 雖然目標 (goal)可經由各種組織方案完成,但依據組織大小和結構,以下的角色需要涵蓋在每個組織內: IT 安全管理會議,其通常解決跨領域議題並核可指令和標準。 企業 IT 安全官,其行為著重在組織內部 IT 安全層面。 IT 安全管理會議和企業 IT 安全官宜有完善的定義和明確而不含混的職務,而且是夠高階的人員以確保對組織 IT 安全政策的承諾。組織宜提供組織 IT 安全官清楚的溝通管道、職責和權限,同時宜由 IT 安全會議核可此職務。亦可利用外界顧問以補助這些職務
20、的遂行。 圖 3 顯示在企業 IT 安全官、 IT 安全管理會議以及組織內部其他領域的代表 (諸如其他的安全功能、使用者社群和 IT 人員 )之間關係的典型範例。這些關係可能是直屬管理或功能上的。圖 3 描述的組織 IT 安全範例使用了三個組織層級。此亦易於依組織需要而適當的增減層級。小到中型的組織可選擇一個職責涵蓋所有安全任務的組織 IT 安全官。當結合各項功能時,重要的是確保組織維持適當的檢查和平衡,以避免過多權力集中在一個人手上而卻無影響或控制的機會。 10 CNS 14929-2, X 6046-2 圖 3 IT 安全組織的範例 企業管理者企業安全官企業 IT安全官*部門 IT安全官I
21、T專案或系統安全官IT安全管理會議IT指導委員會IT代表IT使用者代表企業 IT安全政策及指令*部門 IT安全政策及指令IT專案或系統安全政策企業層級*部門層級系統./專案階層圖例:角色組織*僅適用於部門具一定規模時9.1.1 IT 安全管理會議 此會議宜納編各種具有必要技 能可識別各項需求、形成政策、描繪出安全計畫、審查成果和指揮企業 IT 安全官的人員。 可能已有一個適和的會議,或寧願選擇一個獨立分開的 IT 安全管理會議。此類管理會議和委員會的任務是: 向 IT 指導委員會就涉及到策略上的安全規劃事務提出建言。 建立一個支持 IT 策略的企業 IT 安全政策並獲得 IT 指導委員會核可。
22、 將企業 IT 安全政策轉化成 IT 安全計畫。 監視 IT 安全計畫的實作。 審查企業 IT 安全政策之有效性。 11 CNS 14929-2, X 6046-2 倡導對各項 IT 安全議題的認知。 在支援規劃過程以及 IT 安全計畫履行時對需要的資源 (人力、財力、知識 等等 )上提供建言。 為有效運作,此會議宜包括具有安全和 IT 系統技術背景的成員,與 IT 系統的使用者和提供者的代表。 具有前述領域的學識和技術以發展實際企業IT 安全政策是需要的。 9.1.2 企業 IT 安全官 由於 IT 安全職責已分散,所以有可能到最後會出現無人肯負責的風險。若要避免此現象發生,宜將責任指配給特
23、定的個人。企業 IT 安全官宜擔當組織內部 IT 安全各方面的焦點。雖有一能夠承擔額外職責的適當人選,但仍建議最好建立有專責人員,且最好是選擇具有安全和 IT 背景的專職人員擔任企業 IT 安全官。其最重要的職責為: 監督 IT 安全計畫的實作。 為 IT 安全管理會議和企業安全官之連絡員並向其報告。 維護企業 IT 安全政策和指令。 協調事故的調查。 管理企業層面之安全認知計畫。 決定 IT 專案和系統安全官 (以及相關部門的 IT 安全官 )的考查用語。 9.1.3 IT 專案安全官和 IT 系統安全官 個別的專案或系統宜有負責安全的人員,通常稱為 IT 安全官。某些情況下,得不為全職。以
24、功能言,此安全官的管理是企業 IT 安全官的責任 (或為部門 IT 安全官 )的責任。安全官擔任專案、系統或一群系統所有安全層面的中心。此職位最重要的職責是: 企業 IT 安全官 (或為部門 IT 安全官 )之連絡員並向其報告。 發佈並維護 IT 專案或系統安全政策。 發展並實作安全計畫。 每天監視 IT 保護措施的實作和使用。 發起及協助事故的調查。 9.2 承諾 所有管理層級均支持每一個人之努力,對有效的 IT 安全極為重要。營運層面對 IT 安全目標之承諾包括: 了解組織的全體需求。 了解組織內部對 IT 安全的需要。 展現對 IT 安全之承諾。 主動提出 IT 安全需要。 主動將資源配
25、置到 IT 安全。 自最高層即認知 IT 安全的意義或其 (範圍、內涵 )之組合。 IT 安全目標宜向整個組織公布。每個受僱者或承包者宜知道其角色和職責、其 12 CNS 14929-2, X 6046-2 對於 IT 安全的貢獻並接受託付去達成是項目標。 9.3 一致性作法 所有發展、維護和運作活動宜應用一致性的 IT 安全作法。宜確保從規劃到報廢的整個資訊和 IT 系統生命週期的保護。如圖 3 所示的組織結構能夠支援一套遍及於整個組織的和諧作法給 IT 安全。此需要係經由一個對標準的承諾來支持,標準可能包括依照組織的 IT 安全需要而選擇與應用之國際、國家、區域、業界和企業的標準或規則。技
26、術性標準需要藉由在實作、使用與管理上的各種規則與指導綱要來補充之。 使用標準的利益包括: 已整合的安全。 互通性。 一致性。 可攜性。 經濟規模。 組織間工作。 10. 企業風險分析策略選項 任何想要增強安全的組織宜擬妥適於自己環境的風險管理策略,且包含以有效方法提出風險的手段要求,其將安全上的努力聚焦在需要之處並致能一個具有成本及時間效益的作法。 詳細審查所有系統實不具資源或時間效益,不提出嚴重的風險亦不具效益。有一種作法,其能提供上述兩個極端之間的平衡,包括舉行高階審查以決定系統 IT 安全需要,且分析的深度與此需要一致。任何組織的安全需要是依照其規模、營運的型式、組織環境和文化而定。此企
27、業風險分析策略選項宜與這些事實直接相關。 在某些情況下,組織得決定不做或延後保護措施的實作。此管理上的決定宜是在組織已經完成其高階檢驗之後所作的決定。不過如果做下如此的決定,管理者宜完全地認知到容易發生的風險和不利衝擊以及發生不想要事故的可能性。缺乏這方面知識的組織可能因此疏忽而違反法規,並且可能造成其營運損失。決定並判定不做或延後保護措施的實作宜只有在嚴謹地考慮這些和其他不利影響之後才能採行。 以高階審查的結果為基礎,使用以下所述 4 個選項中的其中之一,能夠選擇減輕風險的保護措施。以下章節提供每個選項優缺點的說明。 10.1 基準作法 第一個選項是選擇一組保護措施以達 到對所有系統保護的基
28、準等級。在基準文件和作業要點中已建議有各種保護 措施。在檢查基本需要之後,此保護措施亦可採用來自其他組織,諸如國際及國家標準組織、業界 標準或建議事項,或一些其他 (在諸如營運目標、規模、 IT 系統和應用上 )類似的企業。 此選項的優點: 無需供給做詳細風險分析之資源需 要,在選擇保護措施上可減少時間與勞 13 CNS 14929-2, X 6046-2 力。通常基準保護措施之識別不會有明顯的資源需要。 相同或類似的基準保護措施無需太 大的努力便可被許多系統採用。若某組織的多數系統在一共同的 環境下運作,且若營運需求相近,基準保護措施可提供具成本效益的解決方案。 此選項的缺點: 如果基準等級
29、設得太高,對於某些 系統而言,可能太貴或有太多的限制,而且如果基準等級太低,一些系統可能不夠安全。 在管理與安全相關的變更時可能會 很困難。舉例言之,若將某系統升級,可能難以評鑑原始的基準保護措施是否充足。 10.2 非正式作法 第二個選項是對所有系統進行一項非 正式的簡單、務實的風險分析。非正式作法非植基於結構化方法,而是利用 個人的知識與經驗。若內部無安全專家可用,則可由外部顧問做此項分析。 此選項的優點: 做此非正式分析不需要學習額外的技術,而且比詳細 的風險分析更快履行。因此,此作法適合小型組織且成本效益高。 有數項缺點: 未使用結構方法,增加了遺漏某些該關注到之風險和區域的可能。 因
30、為是非正式的作法,其結果可能受到審查者之主觀及成見影響。 對保護措施的選擇有非常少的正當 性,因此難以判定保護措施之支出的合理性。 無追蹤審查,難以管理與安全相關的變更。 10.3 詳細的風險分析 第三個選項是對於所有系統進行詳細 的風險分析。詳細的風險分析包含資產的識別和估價,評鑑該等資產的威脅 等級,以及該等資產的脆弱性。此輸入是用來評估風險。藉由作那件事,風 險分析支援各項由已識別之資產風險所判定的保護措施之識別、選擇以及採 用,而將那些風險降低到管理者已定義的某個可接受等級。詳細的風險分析 可能是非常消耗資源的過程。因此需要小心地制定界限及固定的管理關注。 此選項的優點: 針對每一系統
31、之安全需要識別出其所適合的安全等級。 安全相關變更事項之管理將從詳細的風險分析所得到的額外資訊中獲益。 此選項的主要缺點為: 其需要花上想像得到的大量時間、努力以及專門技術來得到有價值的結果。 10.4 組合式作法 第四個選項首先使用高階風險分析法 識別出那些對於營運運作是高風險或具關鍵性的系統。植基於上述結果,將 各系統分類成需要詳細風險分析而得到適當保護,或提供基本保護即足夠者。 14 CNS 14929-2, X 6046-2 此選項是結合第 10.1 節基準作法和第 10.3 節詳細的風險分析法的優點。因此,其提供將花費在識別保護措施的 時間和努力降至最低,而仍確保所有系統皆受到適當防
32、護,此二者之間的良好平衡。 此選項的優點為: 使用簡單的高階方法在承諾使用重 大資源之前蒐集必要的資訊,所以幾乎能得到風險管理計畫的接受。 宜可能建立出一個組織安全計畫的 即時策略藍圖,其可被當作良好的規劃輔助。 各項資源和金錢可被應用在最能獲 利之處,而可能位於高風險所在的系統能及早被提出。 此選項的缺點為: 如果高風險分析得到不精確的結果 ,某些需要詳細風險分析的系統可能不會被提出。若能適當地檢 查高風險分析的結果,便不太可能會發生此事,而此類系統仍受到基準保護措施涵蓋。 此選項在大多數的環境下為最具成本 效益的方法,而且是一個強烈建議給大部分的組織的風險分析選項。 11. IT 安全建議
33、事項 第 10 節的任何作法宜提供若干建議事項,以便將安全風險降低到某一可接受的等級。這些建議宜由管理者核准,且宜包括: 所考量用來決定 IT 系統可接受之風險等級的準則。 選擇將風險降到可接受之等級的保護措施。 關於實作這些保護措施的利益,以及靠這些保護措施所達成的風險降低。 一旦所有保護措施皆已實作,所剩的殘餘風險接受度。 11.1 保護措施選擇 有數種型式的保護措施:預防、降低 、監視、偵測或矯正不想要的事故,以及復原。預防措施包括防止不想要的 動作和活動以增強安全上認知。應用保護措施的主要領域以及每個領域的一些範例為: 硬體 (備份、金鑰 )。 軟體 (電子簽章、登入、防毒工具 )。
34、通訊 (防火牆、資料加密 )。 實體環境 (圍牆、識別證 )。 人員 (員工認知、員工離職程序 )。 管理 (權限、硬體的報廢、證照管制 )。 保護措施不是各自獨立的,而且經常 會組合在一起工作。選擇過程必須考量保護措施的相互依賴性。在選擇保護 措施期間,宜檢查以不留空隙,此類的空隙可能妨礙既存的保護措施而讓意外的威脅造成損害。 對於新的系統 (或者做了重大變更的既存系統 ),保護措施的選擇可能包括安全結構。安全結構描述要如何滿足 IT 系統的安全需求,同時安全也是整個系統 15 CNS 14929-2, X 6046-2 架構的一部分。其提出各種技術性的保護措施,同時考量各種非技術層面。 所
35、有保護措施皆要求管理以確保有效 地操作,且為了維護之目的,許多保護措施要求行政管理支援。在選擇保護措施期間宜將上述諸因素銘記在心。 要緊的是有效地實作保護措施且未造 成不當的使用或管理費用。如果保護措施造成顯著的變更,其實作宜連接到安全認知計畫、變更管理及組態管理。 11.2 風險接受 在選擇的保護措施實作之後,總會有 殘餘風險,此係因沒有系統能做到絕對安全,且某些資產也可能故 意不予以保護。 (例如:因為風險太低或者建議之保護措施的成本高於被保護資產的估算價值 ) 風險接受過程的第一步是審查所選擇 的保護措施並識別和評鑑所有的殘餘風險。下一步是將殘餘風險分成為組織可接受和不能接受者。 不能接
36、受的風險顯然無法容忍。因此 宜考慮增加保護措施以限制衝擊或風險的結果。在每個這種案例中,必須要做營運上的決策。不是將風險判定為可接受,就是要核可能夠將風險降低到可接受等級所增加保護措施之費用。 12. IT 系統安全政策 IT 系統安全政策的發展宜植基於企業和部門之安全政策。此系統安全政策包含一組用於系統和服務保護的原則與規則。各項政策的實作必須藉由將適當保護措施應用到系統和服務而達到正確保護等級。 IT 系統安全政策必須由高層管理者簽核成為強制的原則與規則,以確保承諾財務和人力資源供其應用和實施。 在決定每一 IT 系統安全政策時所要考慮的關鍵議題為: 所考量 IT 系統的定義及其界限。 系
37、統所要達成之營運目的之定義、而這些可能會衝擊到系統的安全政策以及保護措施的選擇和實作。 來自下列潛在不利的營運衝擊: 資產和服務 (含資訊 )的不可用性、拒絕或破壞。 未經授權的資訊或軟體修改。 未經授權的資訊揭露。 所導致之定量化結果 (例如:直接或間接的損失金錢 ),以及定性化結果 (例如:商譽的損失、失去或危及生命、破壞個人隱私 )。 投資在 IT 的程度。 對 IT 系統和所處理之資訊的明顯威脅。 脆弱性,包括各種弱點,其將 IT 系統帶到容易受到已識別威脅的危險。 為對抗已識別風險而要求的安全保護措施。 IT 安全的成本,例如:保護各項 IT 資產的費用 (IT 安全成本宜當作 IT
38、 系統擁有成本的一部分考量 )。 對委外提供者 (例如:電腦中心、個人電腦支援 )的關係及選擇原則。 IT 安全需要一個已規劃好的作法且不 宜單獨考慮。它宜在策略性規劃過程中起 16 CNS 14929-2, X 6046-2 重要作用,因此確保安全在最初即已規劃並設計到系統內。大多數的情況下,事後再增加保護措施將會更為昂貴,甚至不實際。 13. IT 安全計畫 IT 安全計畫是一份文件,其定義各項為實作 IT 系統安全政策所要採行之協調合作行動。這份計畫宜包含各項在短期、中期、長期採行的主要行動與相關成本 (以投資額、作業成本、工作負荷等表示 ),以及一份實作的排程。它宜包括: 整體安全架構
39、和設計。 針對 IT 系統與組織安全目標一致的簡短審查,以最大財務損失、財務困難、公司形象等事項反應之。 識別與已評鑑的風險所相對應之保護措施,由管理階層保持和確認。 評鑑各保護措施真正的可信賴等級,此處包括判定它們的有效性。 以給定系統或應用的全景表示對殘餘風險之評鑑的概觀。 各項行動的識別和定義 (含其各自的優先等級 )以便實作各項保護措施。 供實作保護措施的詳細工作計畫,包括優先等級、預算和排程。 專案管制活動包括: 資源的承諾與職責的指派。 進度報告程序的定義。 針對 IT 員工和終端使用者的安全認知與訓練需求。 針對發展安全運作及行政管理程序的各項需求。 此外,計畫宜含各項程序,以定
40、義各項條件和動作,供確認上述每一點 (包括計畫本身的修改 )。 14. 保護措施的實作 在制定完 IT 安全計畫之後,即有實作之必要。通常由 IT 系統安全官負責此事。在安全實施期間,以下的目標宜銘記在心,宜確保: 保護措施的成本保持在已核可的範圍內。 依 IT 安全計畫要求,正確地實作保護措施。 依 IT 安全計畫要求,運作和管理保護措施。 大部分的技術性保護措施需要由實作和行政管理程序補足且不能以純技術性手段實施。因此,各程序宜由直接主管支持和實施之。 安全認知和訓練也被認為是一種保護措施,由於其重要性。安全認知將在第 15 節中討論。當安全認知適用於所有人時,即要求針對下述人員施以特定安
41、全訓練: 負責發展 IT 系統的人員。 負責操作 IT 系統的人員。 IT 專案和系統安全官。 負責安全行政管理 (例如:存取控制 )的人員。 當完成 IT 安全計畫的實作時,即宜開始進行核可實作 IT 系統安全計畫所規定之保護措施核可的正式過程。一旦核可,便將控制權限建置到實作的 IT 系統或服務。在某些社群中,核可過程被稱為是認證 (accreditation)。 17 CNS 14929-2, X 6046-2 任何 IT 系統或服務的顯著變更均宜重新檢查、重新測試並重新核可 IT 系統或服務。 15. 安全認知 安全認知計畫宜 (從組織最高層管理者到使用者 )在組織的所有階層實作。缺乏
42、使用者階層的接受與投入,安全認知計畫不會成功。使用者需要去了解他們 (對於計畫成功的 )重要性。 認知計畫宜傳授企業 IT 安全政策的知識並保證完全了解安全指導綱要以及正確的動作。此外,安全認知計畫宜涵蓋各系統安全計畫的目的。該計畫宜至少要提出以下的主題: 資訊保護的基本需要。 安全事故對使用者和組織的可能後果。 目標背後 (與企業 IT 安全政策與風險管理策略闡釋 )導致各項風險和保護措施的了解。 供實作和檢查保護措施的 IT 安全計畫。 資訊分類。 資料擁有者的職責。 職責、工作描述和程序 報告及調查安全違犯或嘗試的需要。 不依授權方式行動的後果 (包括紀律上的行動 )。 安全遵循性檢查。
43、 變更和組態管理。 有效的安全認知計畫可使用各種媒介,例如:小冊子、手冊、海報、視訊、時事通訊、實際演練、主題研討會 (workshop)、研討會和演講。重要的是認知計畫的實作要考慮到社會、文化和心理各層面,因而發展出完全認同安全重要性的文化。 安全認知宜關切到組織內的每個人且宜影響其行為,並導致全體責任的增加。關鍵性因素是讓管理階層認知到安全的需要。確保所屬員工對安全的認知是所有管理者工作的一部分。因此,他們必須規劃對應的預算。若在大型組織裏, IT 安全認知宜由企業 IT 安全官負責。認知計畫的目標是使那些被關心到的人們確信的確存在對既存 IT 系統的顯著風險且資訊的遺失、未授權的修改或洩
44、漏對於組織和它的員工會有嚴重的後果。 最好是召集關於組織環境的認知進修課程,同時宜提供易於了解且比新聞媒體報導的案例更具衝擊效果的相關例子 (例如:基於本事業體的案例 )。此類進修課程也要提供員工更多與講師互動的機會。 宜監視員工遵守保護措施的情形以測量安全認知進修課程的衝擊並評估進修課程的內容。如果結果不滿意,宜修訂安全認知進修課程的內容。 安全認知進修課程宜定期舉辦,讓目前員工得以溫故知新並教育新進員工。此外,每位新進員工、每位最近調動職務者、以及每位最近升遷的員工宜接受新職務之培訓。此處亦最好將 IT 安全事務整合到其他的課程中。再次強調安全認知是個不斷前進的過程且是永無止境的。 18
45、CNS 14929-2, X 6046-2 16. 後續作為 所有的保護措施皆需維護以確保其以可預測而正確的方式作用 (且持續作用 )。這方面是安全最重要的事項之一,但通常最不被注意。最常見到的是系統或服務已經存在而安全往往是事後才加上去的,之後又被遺忘。有種傾向是忽視已經實作且是最好的保護措施,疏於注意到去維護或增強其安全性。此外,宜寧可事先藉由規劃的行動去發掘已不再適用的保護措施而不要事後補救。再者,安全遵循性檢查、操作環境的監視、登錄紀錄的審查以及事故的處置等,皆亦為確保安全之事項。 16.1 維護 包括行政管理在內之保護措施的維護是組織安全計畫中 不可或缺的基本成分。所有管理階層的職責
46、是確保: 將組織資源分配到保護措施的維護。 定期重新確認保護措施以確保它們如預期持續履行。 一旦發現新需求時,即將保護措施予以升級。 清楚地界定維護保護措施的職責。 修改和升級 IT 系統的硬體和軟體不改變既存保護措施的原訂效能。 技術的提昇不會引進新的威脅或脆弱性。 當完成上述的維護工作,既存的保護 措施將繼續如預期履行而避免不利又昂貴的衝擊。 16.2 安全遵循性 安全遵循性檢查 (亦稱為安全稽核或安全審查 )為用於確保符合及遵循 IT 系統安全計畫的極重要之工作。 為確保 IT 安全的正確等級保持有效,不可缺少的是已實作的保護措施 (且持續符合 )資訊專案或系統安全計畫所規 定的保護措施
47、。對所有的資訊專案和系統,在下列期間必須為真實: 設計和發展。 運作壽期 (operational lifetime)。 置換或報廢。 安全遵循性檢查得採外部 (例如稽核員 )或內部人員進行,而且本質上是基於使用與資訊專案或系統安全政策有關的檢查表列。 宜規劃安全遵循性檢查並與其他規劃工作整合在一起。 現場檢查 (spot checks)在決定作業支援的員工和使用者是否符合規定的保護措施和程序時特別有用。 宜做檢查以確保安全保護措施正確地實作、正確地使用及 (在適當場合 )測試。發現到某些保護措施不符合安全時, 宜產生矯正行動計畫,啟動之,並審查其結果。 16.3 監視 監視是 IT 安全週期
48、的極重要成分,若適當地施行監視,將會讓管理者清楚的看見: 19 CNS 14929-2, X 6046-2 (相較於目標和設定的期限 )何者已經完成? 完成的事項是否滿意而規定的工作發起點是否已作用? 所有可能對資產、威脅、脆弱性和保 護措施的變更對風險有潛在重大影響,而及早偵測到變更可允許進行預防動作。 許多的保護措施會產生安全相關事件 的日誌。這些日誌最低限度宜定期審查而且要於可能時使用統計技術分析以 便及早偵測變化的趨勢,和偵測出再發生的不利事件。只把日誌用於過去事 件分析,會忽略潛在非常有用的保護措施機制。監視也宜包括向有關 IT 安全官報告的程序以及定期向管理階層報告的程序。 16.
49、4 事故處置 發生安全事故是無法避免的事,宜調 查每個事故,深度要與其所造成的傷害相當。事故處置提供當正常 IT 系統操作發生事故或遭到蓄意破壞時作出反應的能力。因此,宜發展適合整個組織之 IT 系統和服務的事故報告和調查體系。甚至宜考慮聯合跨組織的各個報告體系,以得到發生 IT 安全事故與相關威脅,以及他們在 IT 資產與營運上之連帶效應的更寬廣視野。 IT 安全事故調查的基礎目標是: 用機警且有效的方式對事故做出反應。 從事故中學習以致得以預先排除未來類似不利事件。 準備好行動的計畫和事先決定的決策 能夠讓組織在合理的時間內反應以限制更多的傷害,而其價值在於以輔助的 方式持續進行已減少的營運。事故處置計畫必須包括所有按照年代排列各項 事件和動作的文件需求;這會導出事故來源的識別。這是達到第二個目標的 先決條件,也就是
