98年1月(第199期)
農業金融局通過資訊安全管理系統驗證(ISO27001)簡介
農業金融局 林有恆
壹 . 前言
行政院農業委員會農業金融局(以下簡稱本局) 負責農業金融機構之管理及監理業務,由於業務性質特殊且資訊相當敏感,故 一向即注重維護資訊環境之安全,尤其因環境變遷迅速及業務多元發展,亟須更加強資訊安全管理, 以 確保本局資訊系統相關資產 ( 含資訊、軟體、實體、技術服務等資產 ) 之機密性、完整性與可用性。為達成上述任務,本局於 95 年開始針對核心業務資訊系統,導入資訊安全管理系統( ISMS ),依據 ISO 27001 標準、「行政院及所屬各機關資訊安全管理要點」、「行政院及所屬各機關資訊安全管理規範」之要求,執行本局資通安全管理作業,強化資訊安全防護深度,經過約 2 年的努力,於 96 年底取得 ISO 27001 驗證,正式導入資訊安全管理系統( ISMS )。導入資訊安全管理系統( ISMS )只是資訊安全工作的開始,持續維護資訊安全管理系統( ISMS )任重而道遠,惟有透過系統建立、實作、監控與改進等一連串適當的控制措施,才能建構一個相對安全的資訊環境。
貳 . 導入資訊安全管理系統( ISMS )
一 . 導入範圍之選擇
鑒於本局資源有限,希望能在有限資源內作最有效之利用,因此在導入範圍之選擇上益形重要,經審慎評估後決定先以本局核心業務資訊系統-農業金融資訊網際網路申報暨管理系統及檢查追蹤管理系統,作為導入資訊安全管理系統( ISMS )的範圍,以下為這 2 個資訊系統之簡介:
(一)農業金融資訊網際網路申報暨管理系統
本系統自 93 年 7 月起開始規劃,經系統開發完成後,於 94 年開始正式使用,目前全國農漁會信用部已全部加入連線使用,主要係提供農業金融機構線上申報基本資料,採用 Web Browser 介面接收農漁會營運資料,並依據監理資料產製相關的基本報表及財務報表。
(二)檢查追蹤管理系統
本系統係為本局於農業金融監理中重要的一項作業,採用 Web Browser 介面開發,供局內業務組同仁使用的系統,包含檢查業務之各項作業(如檢查意見資料維護、缺失改善維護作業等)並提供相關監理統計作業表報及各類查詢作業,以提升監理效能。
二 . 第 1 階段導入過程
在決定了導入範圍後,本局決定以 ISO 27001 、「行政院及所屬各機關資訊安全管理要點」、「行政院及所屬各機關資訊安全管理規範」等標準要求為核心,導入資訊安全管理系統( ISMS )。
本局導入資訊安全管理系統( ISMS )第 1 階段( 95 年)任務,主要在於風險評鑑及資訊安全管理系統( ISMS )之建置,茲敘述如下:
(一)建立資訊安全組織:找出各系統流程之關鍵負責人,組成資訊安全小組,以推動資訊安全各項工作,並負責整體安全作業之溝通、協調、督導及監控。
(二)訂定資訊安全管理系統( ISMS )範圍:訂定明確之資訊安全管理系統( ISMS )範圍,以期達到有效之安全控制,確保資源之有效利用。
(三)完成資訊資產分類、分級與評價:此項作業係邀請資訊安全管理系統( ISMS )範圍內之相關作業人員,協助列出與作業相關之資訊資產,找出資產之可歸責性,並賦予該資產之安全等級及價值。
(四)弱點偵測與評估:使用弱點偵測工具進行測試,並根據結果擬定適當管理辦法。
(五)完成風險評鑑與量化:透過與各作業負責人討論所列出之資訊資產可能遭受之風險,並找出可能之威脅、脆弱點、發生機率等因子,將風險量化。
(六)建立風險控制計畫:利用風險評鑑所得資訊,對現有之風險作進一步控制,並找出因應對策。
三 . 第 2 階段導入過程
於 第 1 階段導入過程完成後,本局於 96 年進行第 2 階段導入作業,第 2 階段導入作業是延續第 1 階段導入作業,主要有資訊安全管理系統 ( ISMS ) 建置、教育訓練及 ISO27001 審查作業,茲分述如下:
(一)資訊安全管理系統 ( ISMS ) 建置
1. 檢視第 1 階段之風險評鑑與量化:重新檢視第 1 階段 所列出之資訊資產可能遭受之風險、威脅、脆弱點及發生機率等因子之正確性。
2. 檢視第 1 階段之風險控制計畫執行情形:檢視風險控制計畫執行狀況,並追蹤其有效性,作為修正之參考。
3. 完成資訊安全管理文件:針對評估後之作業環境,建立相關文件及表格,依類別分別建立有 4 階文件,共產生包括有資安政策、相關要點及程序等計 36 份文件及 48 張表格。
(二)教育訓練:對本局各級人員依業務特性及安全需求,施以安全教育訓練,以提升單位同仁之安全意識,及對資訊安全工作之認同與支持。
(三) ISO27001 審查作業
1. 於 ISO27001 驗證前先執行一次內部稽核,以瞭解實際執行狀況,並改善缺點。
2. 向標準驗證單位英國標準協會( BSI )提出驗證申請,排定驗證日期。
3. 審查作業分為預評及正評兩階段,中間間隔若干天,目的在使驗證單位及受評單位熟悉彼此,使稽核活動更順利。
4. 本局經驗證單位英國標準協會( BSI )兩階段審查作業後,無不符合事項,由驗證單位建議發證,順利取得認證。
參 . 結語
隨著電腦運用的普及與網際網路的蓬勃發展,已帶給人類急速而巨大的影響,也改變了人類生活模式。然而隨著資訊便利而來的則是令人擔憂的資訊安全問題,因此,我們必須做好資訊安全防護措施,唯有在確保資訊安全之前提下享受資訊便利,才是面對資訊世紀來臨的正確態度,進而迎接未來更大的挑戰與衝擊,而導入資訊安全管理系統( ISMS ),目標就在於維護資訊資產之機密性、完整性及可用性,經由系統建立、實作、監控與改進等一連串適當的控制措施,以降低營運風險,確保資訊持續性,達成組織的安全與營運目標。