Transcript 第十章 資訊安全管理
第十章 資訊安全管理 本投影片(下稱教用資源)僅授權給採用教用資源相關之旗標書籍為教科書之授課老師 (下稱老師)專用,老師為教學使用之目的,得摘錄、編輯、重製教用資源(但使用量 不得超過各該教用資源內容之80%)以製作為輔助教學之教學投影片,並於授課時搭配 旗標書籍公開播放,但不得為網際網路公開傳輸之遠距教學、網路教學等之使用;除此 之外,老師不得再授權予任何第三人使用,並不得將依此授權所製作之教學投影片之相 關著作物移作他用。 1 第十章 資訊安全管理 資訊安全管理是全面性的工作,其主要目標在降低風險、 提高管理效率。本章介紹資訊安全管理系統 (Information Security Management System,簡稱ISMS )之相關知識, 包含資訊安全原理、資訊安全政策,也介紹資訊安全管理 系統之要項,並配合風險管理與內部稽核,以達到資訊安 全目標。 主要內容包含: 資訊安全管理簡介 資訊安全三要素 資訊安全政策 資訊安全管理規範發展 資訊安全管理運作模式 資訊安全管理系統 風險管理 內部稽核 2 10.1 資訊安全管理簡介 由於網際網路的普及,政府、企業與個人生活已無法離開 網路,因此資訊安全越顯得重要,資訊安全管理更是不可 忽視之重要課題。資訊需要適當的安全保護,尤其是高度 依賴資訊化服務的組織將更是如此。 資訊安全管理是全方位、整體性的工作,必須涵蓋三個層 面,管理層面、技術層面、和實體層面。在管理層面,必 須制定資訊安全相關的政策、規範與程序,明確落實資訊 安全規範以建立資訊安全管理制度。管理層面的核心是風 險管理,有效的資訊安全控管以能夠掌握風險為起點。而 要長期有效的維護資訊安全,需要建立稽核制度,隨時發 覺問題,並以持續改善,才能達到降低風險,提高資訊安 全管理之成效。 3 10.1 資訊安全管理簡介 在資訊安全管理系統 (Information Security Management System;ISMS ) 的領域中,最完整且被廣為採用的是 BS 7799。BS 7799是英國標準協會( British Standards Institute;BSI )在1999年發行。BS 7799 分為Part-1 and Part-2,ISO將Part-1於2000年通過成為ISO/IEC 17799 。 而BS 7799 Part-2 也於 2005年被 ISO 採用為 ISO 2700 : 2005。 為確實落實資訊系統之安全管理,需要導入風險管理。所 謂風險是指一個事件對資訊安全目標所造成的衝擊或影響 程度。資訊系統面對的風險非常多,包含系統受駭客攻擊, 資料被竊取,網路無法連線、機房空調故障,以至系統不 穩定,無法提供正常服務等。 4 10.2 資訊安全三要素 資訊安全的三項要素是機密性 ( Confidentiality )、完整性 ( Integrity )、與可用性 ( Availability)。如圖10-1,這三項 要素稱為資訊安全三原則,簡稱CIA;意味著:能遵守主 要原則就能掌握資訊安全的要領。然為了達到整體的資訊 安全,除了此三要素外,還有其它要素,如不可否認性 (Non-repudiation)、驗證性 (Authenticity)、可歸責性 ( Accountability )等。 機密性是指採用適當的安全機制保護資料和資源以避免暴 露於無權限人員或程式之下,而危害到資訊安全目標。換 言之,機密性是為維護資料在傳輸、儲存、與處理狀態時, 不被非授權人員之存取、使用、或竄改。許多攻擊型態都 是以破壞資訊的機密性為主,例如:網路抓取封包、偷取 密碼檔案、利用監視軟體、網路掃描等,都是破壞機密性 的攻擊行為。 5 10.2 資訊安全三要素 CIA 的第二原則為完整性,完整性是指確保維持資料原來 的狀態,只允許有權限的使用者可以修改資料內容。在資 料內部與外部均需維持資料的一致性,例如,傳輸資料時, 在傳輸中的資料與接收、儲存的資料,均需要保持一致而 且是可以確認的。 資料喪失完整性的原因,並非完全只是由於遭受外部攻擊, 許多事件都會使資料無法維護完整性,例如,意外刪除檔 案、鍵入不正確資料、錯誤指令、病毒感染等。針對上述 這些事件,可以採用方法加以對抗,例如:意外刪除檔案, 可以用嚴格驗證程序或存取控制,以減少意外發生;預防 鍵入不正確資料,可以使用輸出入查核程式加以過濾等。 6 10.2 資訊安全三要素 可用性是為了確保資訊與系統能夠持續營運、正常使用, 當合法使用者要求使用資訊系統時,例如,電子郵件、應 用系統等,使用者均可以在適當的時間內獲得回應,並獲 得所需服務。可用性需要與前述的機密性與完整性配合一 起考慮,以符合既定的資訊安全目標。三者如無法整體考 量密切配合,可能反而造成問題,例如:只考慮機密性, 將網路資訊加密,或因記錄稽核而影響系統回覆時間,甚 或延緩系統服務效能,而違反可用性的原則。 機密性 資訊安全 完整性 可用性 圖10-1、資訊安全三要素 7 10.2 資訊安全三要素 除以上 CIA 三要素以外,有些資訊安全控管項目還需要具 備其它特性。例如,不可否認性 ( Non-repudiation ),為 防止使用者否認曾經執行過的動作,使交易收發雙方無法 否認所執行的交易;身分認證 ( Authentication ),則為認 證資訊使用者的身份;權限 ( Authority ),是依照職務或 階級身份給予適當的權限;可歸責性( Accountability ), 則對所有主要的資訊資產指定專人負責保護,且管理記錄 必須是可以追溯。 8 10.3 資訊安全政策 資訊安全政策是組織建置資訊安全管理制度不可或缺的重 要元素。資訊安全政策是管理階層依照組織營運要求、相 關法律、規範與客戶合約要求,對組織資訊安全管理提出 執行方向與支持承諾。 9 10.3.1 政策、規範與程序 資訊系統需要符合組織所訂定之資訊安全政策、規範、與 程序,並應定期檢視資訊系統的安全性。如果檢視過程中, 發現有任何不符合事項,則應該執行矯正措施,所實施之 矯正措施,都應該適當予以記錄並保存。 各項政策、規範與程序必須具有可行性,應該由資深工程 師或技術人員執行,並且產出適當的稽核報告。 在資訊安全管理中,政策、規範與程序互有關聯性,如圖 10-2,政策為最高指導則,提示為什麼需要執行資訊安全 管理。規範是依照政策訂立的,包含資訊安全管理的內涵。 而程序則是依照規範制定的可行方法,是說明如何執行的 手冊。 10 10.3.1 政策、規範與程序 『安全政策』指導使用者、員工與管理者,什麼可以做、 什麼不可以做和什麼必須做,以管理與保護資訊資源,保 證系統持續運作,降低業務損失,維護系統的機密性、完 整性、與可用性。 政策 為什麼? 規範 什麼? 程序 如何? 圖10-2 政策、規範與程序 11 10.3.1 政策、規範與程序 『規範』含有許多份文件,適用於使用資訊的所有企業面 向。規範涵蓋實體、管理與技術層面的安全控管項目,目 的是要保護資訊,通常公司安全相關文件所有的內容與規 劃,會定義在其中一份或多份規範文件裡。 『程序』是適用於某一特定工作或是保護某一項資訊財產 的安全步驟。在『規範』文件中會具體說明各種要求,在 『資訊安全程序』會詳細說明達到這些要求,所需執行的 實際作業。 12 10.3.2 資訊安全政策內容 資訊安全政策是資訊安全的指導方針,說明管理階層支持 資訊安全措施,其內容需要簡明扼要,不要流於細節與冗 長說明,並定時檢討政策內容,以確保政策能反映實際需 要。資訊安全政策的內容可依資訊安全所規範之範疇與對 象,做適度調整,主要包含下列項目: 資訊安全政策目的及範圍 資訊安全目標 風險管理 資訊安全責任 支援政策 事件通報程序 委外相關規定 … 13 10.3.2 資訊安全政策內容 資訊安全管理的目的是為了強化對資訊資產之保護,包含: 資料、系統與相關設施。資訊安全政策所規範的範疇應包 含資訊安全相關人員,例如,包括全體員工、往來廠商、 約聘人員及廠商委派支援本公司之工作人員等,以及所有 相關資訊資產。 資訊安全管理的目標是為了達到資訊安全三要素:機密性、 完整性、與可用性。制定資訊安全目標需要能夠具體量化, 例如,資訊安全事件每年5件以下、網路可用率每月達到 99.5%、資訊正確率每月達到99.9%等。 風險管理說明組織如何運用風險評估方法對風險進行評估, 及如何設定各項控制目標與控制措施,以降低風險。 14 10.3.2 資訊安全政策內容 資訊安全管理責任是界定資安相關管理事項的責任,並於 各項程序與法令規章明確加以規範。例如資訊安全相關政 策、計畫、措施及技術規範之研議,以及安全技術之研究、 建置及評估等相關事項,由資訊小組辦理;資訊機密維護 及稽核使用等管理事項,由政風室會同相關單位辦理。 總之,資訊安全政策考量營運與相關法律或法規要求,以 及合約的安全義務,簡要說明安全政策、原則、標準以及 對組織特別重要之遵循性要求。 15 10.4 資訊安全管理規範發展 本節介紹資訊安全管理規範。從1990年之後,國際上已經 發展出許多資訊安全相關的標準與規範,例如: TCSEC ( Trust Computer System Evaluation Criteria ) ITSEC ( Information Technique System Evaluation Criteria ) CC (Common Criteria ) BS 7799 (Code of Practice for Information Security Management ) 其它 16 10.4 資訊安全管理規範發展 圖10-3 簡要列出國際上資訊安全管理規範之發展概況,也 標示我國經濟部標準檢驗局訂定資訊安全系統所遵循的標 準概況。 在資訊安全管理系統 (Information Security Management System;ISMS ) 的領域中,最完整且廣為採用的是 BS 7799 與其後續修訂之管理規範。英國標準協會 ( British Standards Institute;BSI ) 在1999年發行BS7799 Part 1 與 Part 2,隨後於2000年,ISO將Part 1通過成為ISO/IEC 17799。BS 7799 Part 2 也於 2005 年被 ISO 採用為 ISO 2700 : 2005。 英國標準協會是英國負責國家品質認證工作的機構,其前 身為英國工程標準委員會,在1929年獲得『皇家憲章』認 可,到1931年正式改名為英國標準協會(BSI),雖然是民間 組織但受國家委託,負責統一管理全國標準化的工作,是 非營利性的組織,也代表了英國對於歐洲與國際間相關標 準的觀點。 17 10.4 資訊安全管理規範發展 OCED 資訊系統 指導方針 1990 ISO ISO/IEC 17799 2000 UK DTI 資訊安全管理 實施準則 1993 ISO ISO/IEC 17799¡J2005 2005 UK BSI 資訊安全管理實施準則 BS7799-Part1 1995 經濟部標準檢驗局 資訊安全管理系統驗証 標準CNS17799 2002 UK BSI 資訊安全管理系統規範 BS7799-Part 2 1998 UK BSI 資訊安全管理系統規範 BS7799-Part 2︰2002 2002 經濟部標準檢驗局 資訊安全管理系統 驗証標準 CNS17800 2002 圖10-3 資訊安全管理規範發展 18 10.4 資訊安全管理規範發展 ISO/IEC 27002 是唯一可通過嚴格審查的國際標準,其中 明確定義資訊安全管理系統 (ISMS) 的各項需求,能確保 選用適當且對等的安全控制措施。我國經濟部標準檢驗局 參照 ISO 17799之規範,於2002年發行資訊安全管理系 統驗證標準 CNS 17799;並參照 BS 7799 Part 2 之規範, 於同年發行資訊安全管理系統驗證標準 CNS 17800。 19 10.5 資訊安全管理運作模式 資訊安全管理是永續經營的工作,因此其持續運作亦需要 導入管理產品質量的管理模式─PDCA─其內容包括:計劃 ( Plan )、執行 ( Do )、檢查 ( Check ) 和行動 ( Action )等 四個階段。換言之,PDCA管理模式遵照計劃、執行、檢 查、行動,四個程序不斷循環,週而復始,如圖10-4所示, 四個階段說明如下: 計劃:依照顧客要求及組織政策,建立必要之目標。 執行:實施此計劃之過程。 檢查:針對產出目標,監督及量測其過程,以及報告其結果。 行動:採取措施以持續改進績效。 20 10.5 資訊安全管理運作模式 採用PDCA管理模式的特點是: (1)四個階段要求明確。 (2)企業及各部門都實行四個階段的循環,相互督促。 (3)循環不已,週而復始,以不斷提升管理品質。 PDCA循環採用全面質量管理 (Total Quality Management; TQM)體系運轉的基本方法,並綜合運用各種管理技術和方法。 21 10.5 資訊安全管理運作模式 行動 (Action) 計畫 (Plan) 檢查 (Check) 執行 (Do) 圖10-4 PDCA 循環概念圖 22 10.5 資訊安全管理運作模式 管理階層審查(Management Review)是PDCA(Plan, Do, Check, Act)管理模式中的檢查 (Check) 活動。管理 階層可藉由該審查活動,瞭解組織資訊安全系統的實施狀 況,並評估其有效性,並且在組織營運目標及資訊安全管 理之間取得最佳效果。 23 10.6 資訊安全管理系統 企業組織遵照國際資訊安全標準ISO 17799 (或我國標準 CNS 17799),建立資訊安全管理系統。以風險管理為基 礎,建立管理制度,協助企業組織控管資訊安全風險,確 保持續營運,並需落實及推廣教育訓練,使員工具備資訊 安全觀念、知識及意識。為能永續經營,並應遵循PDCA 過程導向之管理模式,以建立、實施、監控及持續改進系 統。 ISO 17799 的標準規範包含十大管控項目,如圖10-5所示, 以及36個管控目標,與127個管控措施,其目的在建立一 套完整的資訊安全管理系統,以滿足企業資訊安全之需求。 24 10.6 資訊安全管理系統 安全政策 資訊安全組織 資產管理 人力資源安全 實體和環境 安全 通訊與作業 管理 資訊系統 取得 開 發和維護 存取控制 資訊安全事故管理 營運持續管理 遵循性 圖 10-5 資訊安全管理系統架構圖 25 10.6 資訊安全管理系統 以下針對十大管控項目,做簡要說明: 安全政策 (Security Policy):提供管理階層對資訊安全的指示與支 持,表達對資訊安全管理系統的支持和承諾。 安全組織 (Organizational Security):在組織中管理資訊安全,為 維護資訊處理設施及資訊資產提供給第三方存取時之安全,或當 資訊處理工作委外給其它組織時,仍能維持資訊安全。建立一個 管理架構,用於公司內部資訊安全的管理和控制,以及執行現有 的資訊安全規定。 資產管理 (Asset Classification and Control ):為維護組織資產受 到適切的保護,確保資訊資產獲得適當之保護層級。確保對組織 各項資產的安全進行有效的保護。 人力資源安全 (Personnel Security) :降低人為錯誤、竊盜、詐欺、 或誤用設施之風險,確保使用者了解資訊安全的威脅與問題,且 有能力在日常工作中支持組織安全政策,將安全及失效事件所造 成的損害降至最低,並監督這類事故並從中學習。明訂所有人員 在安全方面的職責和角色。 26 10.6 資訊安全管理系統 實體與環境安全 (Physical and Environmental Security):對組織 營運場所及人員提出簡單明確的安全要求。避免營運場所及資訊 遭受未經授權存取、損害與干擾;避免資產遺失、毀壞或受損, 並避免營運活動中斷;避免資訊及資訊處理設施受到危害或遭竊。 通訊與作業管理 (Communications and Operations Management) :盡可能完善公司內外的溝通聯繫,以利於資訊安 全管理系統的順利運行。確保正確與安全地操作資訊處理設施, 降低系統失效的風險;保護軟體及資訊完整性免於受惡意軟體損 害,維護資訊處理與通訊服務之完整性及可用性。確保網路內資 訊之安全,並保護支持之基礎建設,避免資產毀損及企業活動中 斷;避免組織間交換資料時遭受遺失,竄改、或誤用。 存取控制 (Access Control) :管制資訊之存取行為,確保資訊系 統之存取權限適切地授權、配置及維持。避免未獲授權之使用者 存取,保護網路服務;防止未經授權的電腦存取與防止資訊系統 中之資訊遭未經授權存取。偵測未經授權的活動,確保使用行動 式電腦作業與遠距工作設施時之資訊安全。 27 10.6 資訊安全管理系統 資訊系統取得、開發與維護 (Systems Development and Maintenance):確保資訊系統已建置安全機制。預防應用系統中 之使用者資料遺失、遭到修改或誤用。保護資訊之機密性、驗證 性及完整性。確保資訊技術專案及支援活動以安全模式執行。維 護應用系統軟體及資訊之安全性。 資訊安全事故管理 ( Information Security Incident Management): 確保在某種程度上,傳達與資訊系統有關的資訊安全事件與弱點, 始能採取即時的矯正行動 營運持續管理 (Business Continuity Management) :預防營運活 動的中斷,保護重要營運過程不受重大故障或災害的影響。 遵循性 (Compliance) :避免違反所有刑法、民法、行政命令、管 理規定或合約義務及所有安全要求。確保系統遵守組織安全政策 與標準。使系統稽核過程得到最大成效,並將稽核過程產生或受 到之干擾降到最低。 28 10.7 風險管理 風險管理 (Risk Management) 是項目管理中的重要內容, 風險管理機制更是企業項目管理體系的關鍵組成部分。然 而,這些卻是目前企業在項目管理方面的薄弱環節。如何 切實地進行風險管理,建立風險管理機制,是企業項目管 理走向成熟過程中必須要解決的問題。 風險管理是項目管理的重要工作,風險管理的主要內容包 含風險評估 ( Risk Assessment )、風險轉移 ( Risk Mitigation ) 與風險估算 ( Risk Evaluation )。 風險評估包含風險辨識,以及估算風險發生時對組織造成 的衝擊,並建議風險發生時可採用的對策;風險轉移是將 風險之優先順序加以排序與並使用適當對策以降低風險; 風險估算則是著重在風險降低後,考慮是否在可以接受的 程度,於風險轉移實施前,是否還需要增加控制項目,以 降低風險或消除風險。 29 10.7 風險管理 風險管理需要主動且持續地監控,風險監控過程有四項主 要工作,如圖10-6: 風險識別 風險分析 風險應對 風險監控 30 10.7 風險管理 風險監控 報告 項目資訊 風險監控 風險識別 風險監控過程 風險應對 風險對應 計畫 風險分析 風險管理 資料庫 圖10-5 風險監控過程 31 10.7 風險管理 風險評估包含風險識別與風險分析,依照各項資訊風險識 別,暸解風險後加以分析,風險分析是項目風險管理過程 的第二步,是評估已識別出風險的影響和可能性的過程。 風險應對計劃是項目風險管理過的第三步,主要是針對項 目的風險開發和制定一個風險應對的方案,目的是提高實 現項目目標的機會。風險監控是項目風險管理的第四步, 主要是在項目的整個過程中,追蹤已識別的風險,監視殘 餘風險和識別新的風險,確保項目風險應對計劃之執行。 32 10.8 內部稽核 根據美國內部稽核協會,對內部稽核 (Internal Auditing) 的定義:內部稽核是組織內部一種獨立的評估功能,檢查 及評估組織的各項活動,而對組織提供服務。簡言之,內 部稽核的意義為:組織內部的職員經授權在組織內部進行 獨立判斷而不受限制,且公正無私的稽核行為。內部稽核 用來幫助偵測可疑的行為,有下列三個目標: 確保所有的運作均能按照既定的安全政策執行。 確保所有資料的存取都要經過授權。 確保所有資料的正確性。 33 10.8 內部稽核 組織應該於一段期間後就執行稽核,以瞭解資訊安全之控 制目標、控制措施、過程及程序等,是否達到下列要求: 符合國際標準或法規要求。 符合所辨識出之資訊安全要求。 有效執行並持續維護。 如預期般執行。 內部稽核人員進行內部稽核前,應事先擬定稽核計畫,並 於計畫中說明稽核範圍、標準、頻率及方法。秉持公正與 客觀的態度,並且要注意其獨立性原則,不得稽核屬於自 己經辦的業務。整個稽核的規劃與實施、報告結果與紀錄 留存,應該將其責任與要求,都清楚記錄且文件化。管理 階層應於管理審查會議時,檢討內部稽核結果與矯正預防 措施之有效性。 34