第十章 資訊安全管理

Download Report

Transcript 第十章 資訊安全管理

第十章 資訊安全管理
本投影片(下稱教用資源)僅授權給採用教用資源相關之旗標書籍為教科書之授課老師
(下稱老師)專用,老師為教學使用之目的,得摘錄、編輯、重製教用資源(但使用量
不得超過各該教用資源內容之80%)以製作為輔助教學之教學投影片,並於授課時搭配
旗標書籍公開播放,但不得為網際網路公開傳輸之遠距教學、網路教學等之使用;除此
之外,老師不得再授權予任何第三人使用,並不得將依此授權所製作之教學投影片之相
關著作物移作他用。
1
第十章 資訊安全管理
 資訊安全管理是全面性的工作,其主要目標在降低風險、
提高管理效率。本章介紹資訊安全管理系統 (Information
Security Management System,簡稱ISMS )之相關知識,
包含資訊安全原理、資訊安全政策,也介紹資訊安全管理
系統之要項,並配合風險管理與內部稽核,以達到資訊安
全目標。
 主要內容包含:
 資訊安全管理簡介
 資訊安全三要素
 資訊安全政策
 資訊安全管理規範發展
 資訊安全管理運作模式
 資訊安全管理系統
 風險管理
 內部稽核
2
10.1 資訊安全管理簡介
 由於網際網路的普及,政府、企業與個人生活已無法離開
網路,因此資訊安全越顯得重要,資訊安全管理更是不可
忽視之重要課題。資訊需要適當的安全保護,尤其是高度
依賴資訊化服務的組織將更是如此。
 資訊安全管理是全方位、整體性的工作,必須涵蓋三個層
面,管理層面、技術層面、和實體層面。在管理層面,必
須制定資訊安全相關的政策、規範與程序,明確落實資訊
安全規範以建立資訊安全管理制度。管理層面的核心是風
險管理,有效的資訊安全控管以能夠掌握風險為起點。而
要長期有效的維護資訊安全,需要建立稽核制度,隨時發
覺問題,並以持續改善,才能達到降低風險,提高資訊安
全管理之成效。
3
10.1 資訊安全管理簡介
 在資訊安全管理系統 (Information Security Management
System;ISMS ) 的領域中,最完整且被廣為採用的是 BS
7799。BS 7799是英國標準協會( British Standards
Institute;BSI )在1999年發行。BS 7799 分為Part-1 and
Part-2,ISO將Part-1於2000年通過成為ISO/IEC 17799 。
而BS 7799 Part-2 也於 2005年被 ISO 採用為 ISO 2700 :
2005。
 為確實落實資訊系統之安全管理,需要導入風險管理。所
謂風險是指一個事件對資訊安全目標所造成的衝擊或影響
程度。資訊系統面對的風險非常多,包含系統受駭客攻擊,
資料被竊取,網路無法連線、機房空調故障,以至系統不
穩定,無法提供正常服務等。
4
10.2 資訊安全三要素
 資訊安全的三項要素是機密性 ( Confidentiality )、完整性
( Integrity )、與可用性 ( Availability)。如圖10-1,這三項
要素稱為資訊安全三原則,簡稱CIA;意味著:能遵守主
要原則就能掌握資訊安全的要領。然為了達到整體的資訊
安全,除了此三要素外,還有其它要素,如不可否認性
(Non-repudiation)、驗證性 (Authenticity)、可歸責性
( Accountability )等。
 機密性是指採用適當的安全機制保護資料和資源以避免暴
露於無權限人員或程式之下,而危害到資訊安全目標。換
言之,機密性是為維護資料在傳輸、儲存、與處理狀態時,
不被非授權人員之存取、使用、或竄改。許多攻擊型態都
是以破壞資訊的機密性為主,例如:網路抓取封包、偷取
密碼檔案、利用監視軟體、網路掃描等,都是破壞機密性
的攻擊行為。
5
10.2 資訊安全三要素
 CIA 的第二原則為完整性,完整性是指確保維持資料原來
的狀態,只允許有權限的使用者可以修改資料內容。在資
料內部與外部均需維持資料的一致性,例如,傳輸資料時,
在傳輸中的資料與接收、儲存的資料,均需要保持一致而
且是可以確認的。
 資料喪失完整性的原因,並非完全只是由於遭受外部攻擊,
許多事件都會使資料無法維護完整性,例如,意外刪除檔
案、鍵入不正確資料、錯誤指令、病毒感染等。針對上述
這些事件,可以採用方法加以對抗,例如:意外刪除檔案,
可以用嚴格驗證程序或存取控制,以減少意外發生;預防
鍵入不正確資料,可以使用輸出入查核程式加以過濾等。
6
10.2 資訊安全三要素
 可用性是為了確保資訊與系統能夠持續營運、正常使用,
當合法使用者要求使用資訊系統時,例如,電子郵件、應
用系統等,使用者均可以在適當的時間內獲得回應,並獲
得所需服務。可用性需要與前述的機密性與完整性配合一
起考慮,以符合既定的資訊安全目標。三者如無法整體考
量密切配合,可能反而造成問題,例如:只考慮機密性,
將網路資訊加密,或因記錄稽核而影響系統回覆時間,甚
或延緩系統服務效能,而違反可用性的原則。
機密性
資訊安全
完整性
可用性
圖10-1、資訊安全三要素
7
10.2 資訊安全三要素
 除以上 CIA 三要素以外,有些資訊安全控管項目還需要具
備其它特性。例如,不可否認性 ( Non-repudiation ),為
防止使用者否認曾經執行過的動作,使交易收發雙方無法
否認所執行的交易;身分認證 ( Authentication ),則為認
證資訊使用者的身份;權限 ( Authority ),是依照職務或
階級身份給予適當的權限;可歸責性( Accountability ),
則對所有主要的資訊資產指定專人負責保護,且管理記錄
必須是可以追溯。
8
10.3 資訊安全政策
 資訊安全政策是組織建置資訊安全管理制度不可或缺的重
要元素。資訊安全政策是管理階層依照組織營運要求、相
關法律、規範與客戶合約要求,對組織資訊安全管理提出
執行方向與支持承諾。
9
10.3.1
政策、規範與程序
 資訊系統需要符合組織所訂定之資訊安全政策、規範、與
程序,並應定期檢視資訊系統的安全性。如果檢視過程中,
發現有任何不符合事項,則應該執行矯正措施,所實施之
矯正措施,都應該適當予以記錄並保存。
 各項政策、規範與程序必須具有可行性,應該由資深工程
師或技術人員執行,並且產出適當的稽核報告。
 在資訊安全管理中,政策、規範與程序互有關聯性,如圖
10-2,政策為最高指導則,提示為什麼需要執行資訊安全
管理。規範是依照政策訂立的,包含資訊安全管理的內涵。
而程序則是依照規範制定的可行方法,是說明如何執行的
手冊。
10
10.3.1
政策、規範與程序
 『安全政策』指導使用者、員工與管理者,什麼可以做、
什麼不可以做和什麼必須做,以管理與保護資訊資源,保
證系統持續運作,降低業務損失,維護系統的機密性、完
整性、與可用性。
政策
為什麼?
規範
什麼?
程序
如何?
圖10-2 政策、規範與程序
11
10.3.1
政策、規範與程序
 『規範』含有許多份文件,適用於使用資訊的所有企業面
向。規範涵蓋實體、管理與技術層面的安全控管項目,目
的是要保護資訊,通常公司安全相關文件所有的內容與規
劃,會定義在其中一份或多份規範文件裡。
 『程序』是適用於某一特定工作或是保護某一項資訊財產
的安全步驟。在『規範』文件中會具體說明各種要求,在
『資訊安全程序』會詳細說明達到這些要求,所需執行的
實際作業。
12
10.3.2
資訊安全政策內容
 資訊安全政策是資訊安全的指導方針,說明管理階層支持
資訊安全措施,其內容需要簡明扼要,不要流於細節與冗
長說明,並定時檢討政策內容,以確保政策能反映實際需
要。資訊安全政策的內容可依資訊安全所規範之範疇與對
象,做適度調整,主要包含下列項目:
 資訊安全政策目的及範圍
 資訊安全目標
 風險管理
 資訊安全責任
 支援政策
 事件通報程序
 委外相關規定
…
13
10.3.2
資訊安全政策內容
 資訊安全管理的目的是為了強化對資訊資產之保護,包含:
資料、系統與相關設施。資訊安全政策所規範的範疇應包
含資訊安全相關人員,例如,包括全體員工、往來廠商、
約聘人員及廠商委派支援本公司之工作人員等,以及所有
相關資訊資產。
 資訊安全管理的目標是為了達到資訊安全三要素:機密性、
完整性、與可用性。制定資訊安全目標需要能夠具體量化,
例如,資訊安全事件每年5件以下、網路可用率每月達到
99.5%、資訊正確率每月達到99.9%等。
 風險管理說明組織如何運用風險評估方法對風險進行評估,
及如何設定各項控制目標與控制措施,以降低風險。
14
10.3.2
資訊安全政策內容
 資訊安全管理責任是界定資安相關管理事項的責任,並於
各項程序與法令規章明確加以規範。例如資訊安全相關政
策、計畫、措施及技術規範之研議,以及安全技術之研究、
建置及評估等相關事項,由資訊小組辦理;資訊機密維護
及稽核使用等管理事項,由政風室會同相關單位辦理。
 總之,資訊安全政策考量營運與相關法律或法規要求,以
及合約的安全義務,簡要說明安全政策、原則、標準以及
對組織特別重要之遵循性要求。
15
10.4 資訊安全管理規範發展
 本節介紹資訊安全管理規範。從1990年之後,國際上已經
發展出許多資訊安全相關的標準與規範,例如:
 TCSEC ( Trust Computer System Evaluation Criteria )
 ITSEC ( Information Technique System Evaluation Criteria )
 CC (Common Criteria )
 BS 7799 (Code of Practice for Information Security Management )
 其它
16
10.4 資訊安全管理規範發展
 圖10-3 簡要列出國際上資訊安全管理規範之發展概況,也
標示我國經濟部標準檢驗局訂定資訊安全系統所遵循的標
準概況。
 在資訊安全管理系統 (Information Security Management
System;ISMS ) 的領域中,最完整且廣為採用的是 BS
7799 與其後續修訂之管理規範。英國標準協會 ( British
Standards Institute;BSI ) 在1999年發行BS7799 Part 1 與
Part 2,隨後於2000年,ISO將Part 1通過成為ISO/IEC
17799。BS 7799 Part 2 也於 2005 年被 ISO 採用為 ISO
2700 : 2005。
 英國標準協會是英國負責國家品質認證工作的機構,其前
身為英國工程標準委員會,在1929年獲得『皇家憲章』認
可,到1931年正式改名為英國標準協會(BSI),雖然是民間
組織但受國家委託,負責統一管理全國標準化的工作,是
非營利性的組織,也代表了英國對於歐洲與國際間相關標
準的觀點。
17
10.4 資訊安全管理規範發展
OCED
資訊系統
指導方針
1990
ISO
ISO/IEC 17799
2000
UK DTI
資訊安全管理
實施準則
1993
ISO
ISO/IEC 17799¡J2005
2005
UK BSI
資訊安全管理實施準則
BS7799-Part1
1995
經濟部標準檢驗局
資訊安全管理系統驗証
標準CNS17799
2002
UK BSI
資訊安全管理系統規範
BS7799-Part 2
1998
UK BSI
資訊安全管理系統規範
BS7799-Part 2︰2002
2002
經濟部標準檢驗局
資訊安全管理系統
驗証標準 CNS17800
2002
圖10-3 資訊安全管理規範發展
18
10.4 資訊安全管理規範發展
 ISO/IEC 27002 是唯一可通過嚴格審查的國際標準,其中
明確定義資訊安全管理系統 (ISMS) 的各項需求,能確保
選用適當且對等的安全控制措施。我國經濟部標準檢驗局
參照 ISO 17799之規範,於2002年發行資訊安全管理系
統驗證標準 CNS 17799;並參照 BS 7799 Part 2 之規範,
於同年發行資訊安全管理系統驗證標準 CNS 17800。
19
10.5 資訊安全管理運作模式
 資訊安全管理是永續經營的工作,因此其持續運作亦需要
導入管理產品質量的管理模式─PDCA─其內容包括:計劃
( Plan )、執行 ( Do )、檢查 ( Check ) 和行動 ( Action )等
四個階段。換言之,PDCA管理模式遵照計劃、執行、檢
查、行動,四個程序不斷循環,週而復始,如圖10-4所示,
四個階段說明如下:
 計劃:依照顧客要求及組織政策,建立必要之目標。
 執行:實施此計劃之過程。
 檢查:針對產出目標,監督及量測其過程,以及報告其結果。
 行動:採取措施以持續改進績效。
20
10.5 資訊安全管理運作模式
 採用PDCA管理模式的特點是:
(1)四個階段要求明確。
(2)企業及各部門都實行四個階段的循環,相互督促。
(3)循環不已,週而復始,以不斷提升管理品質。
PDCA循環採用全面質量管理 (Total Quality Management;
TQM)體系運轉的基本方法,並綜合運用各種管理技術和方法。
21
10.5 資訊安全管理運作模式
行動
(Action)
計畫
(Plan)
檢查
(Check)
執行
(Do)
圖10-4 PDCA 循環概念圖
22
10.5 資訊安全管理運作模式
 管理階層審查(Management Review)是PDCA(Plan,
Do, Check, Act)管理模式中的檢查 (Check) 活動。管理
階層可藉由該審查活動,瞭解組織資訊安全系統的實施狀
況,並評估其有效性,並且在組織營運目標及資訊安全管
理之間取得最佳效果。
23
10.6 資訊安全管理系統
 企業組織遵照國際資訊安全標準ISO 17799 (或我國標準
CNS 17799),建立資訊安全管理系統。以風險管理為基
礎,建立管理制度,協助企業組織控管資訊安全風險,確
保持續營運,並需落實及推廣教育訓練,使員工具備資訊
安全觀念、知識及意識。為能永續經營,並應遵循PDCA
過程導向之管理模式,以建立、實施、監控及持續改進系
統。
 ISO 17799 的標準規範包含十大管控項目,如圖10-5所示,
以及36個管控目標,與127個管控措施,其目的在建立一
套完整的資訊安全管理系統,以滿足企業資訊安全之需求。
24
10.6 資訊安全管理系統
安全政策
資訊安全組織
資產管理
人力資源安全
實體和環境
安全
通訊與作業
管理
資訊系統
取得 開
發和維護
存取控制
資訊安全事故管理
營運持續管理
遵循性
圖 10-5 資訊安全管理系統架構圖
25
10.6 資訊安全管理系統
 以下針對十大管控項目,做簡要說明:
 安全政策 (Security Policy):提供管理階層對資訊安全的指示與支
持,表達對資訊安全管理系統的支持和承諾。
 安全組織 (Organizational Security):在組織中管理資訊安全,為
維護資訊處理設施及資訊資產提供給第三方存取時之安全,或當
資訊處理工作委外給其它組織時,仍能維持資訊安全。建立一個
管理架構,用於公司內部資訊安全的管理和控制,以及執行現有
的資訊安全規定。
 資產管理 (Asset Classification and Control ):為維護組織資產受
到適切的保護,確保資訊資產獲得適當之保護層級。確保對組織
各項資產的安全進行有效的保護。
 人力資源安全 (Personnel Security) :降低人為錯誤、竊盜、詐欺、
或誤用設施之風險,確保使用者了解資訊安全的威脅與問題,且
有能力在日常工作中支持組織安全政策,將安全及失效事件所造
成的損害降至最低,並監督這類事故並從中學習。明訂所有人員
在安全方面的職責和角色。
26
10.6 資訊安全管理系統
 實體與環境安全 (Physical and Environmental Security):對組織
營運場所及人員提出簡單明確的安全要求。避免營運場所及資訊
遭受未經授權存取、損害與干擾;避免資產遺失、毀壞或受損,
並避免營運活動中斷;避免資訊及資訊處理設施受到危害或遭竊。
 通訊與作業管理 (Communications and Operations
Management) :盡可能完善公司內外的溝通聯繫,以利於資訊安
全管理系統的順利運行。確保正確與安全地操作資訊處理設施,
降低系統失效的風險;保護軟體及資訊完整性免於受惡意軟體損
害,維護資訊處理與通訊服務之完整性及可用性。確保網路內資
訊之安全,並保護支持之基礎建設,避免資產毀損及企業活動中
斷;避免組織間交換資料時遭受遺失,竄改、或誤用。
 存取控制 (Access Control) :管制資訊之存取行為,確保資訊系
統之存取權限適切地授權、配置及維持。避免未獲授權之使用者
存取,保護網路服務;防止未經授權的電腦存取與防止資訊系統
中之資訊遭未經授權存取。偵測未經授權的活動,確保使用行動
式電腦作業與遠距工作設施時之資訊安全。
27
10.6 資訊安全管理系統
 資訊系統取得、開發與維護 (Systems Development and
Maintenance):確保資訊系統已建置安全機制。預防應用系統中
之使用者資料遺失、遭到修改或誤用。保護資訊之機密性、驗證
性及完整性。確保資訊技術專案及支援活動以安全模式執行。維
護應用系統軟體及資訊之安全性。
 資訊安全事故管理 ( Information Security Incident Management):
確保在某種程度上,傳達與資訊系統有關的資訊安全事件與弱點,
始能採取即時的矯正行動
 營運持續管理 (Business Continuity Management) :預防營運活
動的中斷,保護重要營運過程不受重大故障或災害的影響。
 遵循性 (Compliance) :避免違反所有刑法、民法、行政命令、管
理規定或合約義務及所有安全要求。確保系統遵守組織安全政策
與標準。使系統稽核過程得到最大成效,並將稽核過程產生或受
到之干擾降到最低。
28
10.7 風險管理
 風險管理 (Risk Management) 是項目管理中的重要內容,
風險管理機制更是企業項目管理體系的關鍵組成部分。然
而,這些卻是目前企業在項目管理方面的薄弱環節。如何
切實地進行風險管理,建立風險管理機制,是企業項目管
理走向成熟過程中必須要解決的問題。
 風險管理是項目管理的重要工作,風險管理的主要內容包
含風險評估 ( Risk Assessment )、風險轉移 ( Risk
Mitigation ) 與風險估算 ( Risk Evaluation )。
 風險評估包含風險辨識,以及估算風險發生時對組織造成
的衝擊,並建議風險發生時可採用的對策;風險轉移是將
風險之優先順序加以排序與並使用適當對策以降低風險;
風險估算則是著重在風險降低後,考慮是否在可以接受的
程度,於風險轉移實施前,是否還需要增加控制項目,以
降低風險或消除風險。
29
10.7 風險管理
 風險管理需要主動且持續地監控,風險監控過程有四項主
要工作,如圖10-6:
 風險識別
 風險分析
 風險應對
 風險監控
30
10.7 風險管理
風險監控
報告
項目資訊
風險監控
風險識別
風險監控過程
風險應對
風險對應
計畫
風險分析
風險管理
資料庫
圖10-5 風險監控過程
31
10.7 風險管理
 風險評估包含風險識別與風險分析,依照各項資訊風險識
別,暸解風險後加以分析,風險分析是項目風險管理過程
的第二步,是評估已識別出風險的影響和可能性的過程。
風險應對計劃是項目風險管理過的第三步,主要是針對項
目的風險開發和制定一個風險應對的方案,目的是提高實
現項目目標的機會。風險監控是項目風險管理的第四步,
主要是在項目的整個過程中,追蹤已識別的風險,監視殘
餘風險和識別新的風險,確保項目風險應對計劃之執行。
32
10.8 內部稽核
 根據美國內部稽核協會,對內部稽核 (Internal Auditing)
的定義:內部稽核是組織內部一種獨立的評估功能,檢查
及評估組織的各項活動,而對組織提供服務。簡言之,內
部稽核的意義為:組織內部的職員經授權在組織內部進行
獨立判斷而不受限制,且公正無私的稽核行為。內部稽核
用來幫助偵測可疑的行為,有下列三個目標:
 確保所有的運作均能按照既定的安全政策執行。
 確保所有資料的存取都要經過授權。
 確保所有資料的正確性。
33
10.8 內部稽核
 組織應該於一段期間後就執行稽核,以瞭解資訊安全之控
制目標、控制措施、過程及程序等,是否達到下列要求:
 符合國際標準或法規要求。
 符合所辨識出之資訊安全要求。
 有效執行並持續維護。
 如預期般執行。
 內部稽核人員進行內部稽核前,應事先擬定稽核計畫,並
於計畫中說明稽核範圍、標準、頻率及方法。秉持公正與
客觀的態度,並且要注意其獨立性原則,不得稽核屬於自
己經辦的業務。整個稽核的規劃與實施、報告結果與紀錄
留存,應該將其責任與要求,都清楚記錄且文件化。管理
階層應於管理審查會議時,檢討內部稽核結果與矯正預防
措施之有效性。
34