教育體系資通安全管理規範
壹、 緣起.
貳、 簡介..
參、 適用範圍.......
肆、 目標期程..............
伍、 引用標準......
陸、 關於適用性聲明(Statement of Applicability)...
柒、 用詞解釋.....................
捌、 關於資訊安全管理系統(ISMS)建置步驟.......
玖、 關於資訊安全管理系統(ISMS)建置需求.....
壹、緣起 網路的快速發展,改變了既有的業務處理模式,不單是業界,學校單位也感 受到此股新興力量,許多行政工作藉由網路無遠弗屆的特性,加速了程序的 進行,提升了整體的效率。然而,如同其他新興產業、領域碰到的問題一樣, 相關的法令制定、控制規範,往往跟不上日新月異的變化,因此,不單只是 產業界,其實學校單位對於通用性資通安全規範的需求,早時有所聞。鑑於 實務界已經發展成熟的資安規範,如 CNS17799、 ISP Guide73:2002 、 BS7799 等,此時此刻,正是為各級學校單位量身訂作規範的時機,如此才能確保各 個行政程序的安全性。另外,考量到學校單位的重要性、急迫性以及可分配 資源等因素,教育體系最適合進行資通安全管理規範的設計與施測;所以, 本規範將以教育體系為對象,期能設計出最適合相關單位施行的管理規範。
貳、簡介 本規範之制定乃為提供教育體系及相關單位之管理階層、資訊業務人員及一 般教職人員一套有效建置與管理資訊安全管理系統(Information Security Management System, 以下簡稱 ISMS)模式;評估各單位資安管理上的需求、 目標、結果,並考量加入特有之作業程序、規模、架構等因素,量身訂做出 有別於業界所採用之 ISMS 規範。為了讓施行資安管理單位能以花費最低成 本、人力等資源,採漸進的方式逐步達成可行之規章條款,本規範強調實行 度與執行效率,期望能將此資安規範及相關之實施經驗推行到各單位,進而 強化 TANet 中各連線學校單位的資通安全。
參、適用範圍 本標準適用於教育部電算中心、部屬館所、縣市網中心、大專院校以及高 中職資訊管理單位等資訊業務相關單位(或其他管理單位認為應加入 ISMS 規範範圍之部門),針對「學術網路系統」以及「行政資訊系統」兩大業務 範疇,訂定教育體系所屬機關、學校資訊安全管理規範,以提升資訊安全 管理能力。有鑑於上述之單位,無論是層級、位置、規模有著不小的差異, 為避免施行單位面對部分規範窒礙難行的問題,本標準將適用單位分為二 群,群組屬性為: 一、 第一群:本群適用單位以教育部電算中心、部屬館所、縣市網中心以及公 私立大專院校(計網中心及校務行政)等為主;本群所屬單位之特性,適用之 規範須遵從較高的嚴謹度,除因規模較小或資源缺乏等限制得以轉換至第 二群外,其他不得變更(除了原屬第二群之單位外)。 二、 第二群:本群適用單位以公私立高中職學校(資訊管理單位或因規模、資源 因素轉至本群者及校務行政)為主要對象;適用規範之嚴謹度較為寬鬆,乃 為配合此群中所屬單位之規模與經費之故,但亦可根據自身的需求,轉往 依循第一群之準則。
肆、目標期程 本規範的最終目標,在於讓所有教育體系與相關單位,在有限的資源下, 建置最為合適、有效的 ISMS。有鑑於各單位在資訊業務管理上,受限於人 力、經費等各項資源,加上建置 ISMS 過程中須與相關單位以及管理階層多 加協調溝通;因此,各單位在正式建置 ISMS 時,建議採階段式進行,以三 年為期自行設定合理的期程目標,逐步達成每年度預定的進程比例,而非 耗盡內部資源全力投入的模式;藉由如此的模式,在不過於影響單位運作 的情況下,成功建置合適的 ISMS。
伍、引用標準 本規範主要參考 ISO/IEC 27001:2005(E) ISMS 規範內的條款,再依據教育 體系與相關單位的特性及需求,設計出較為合適的標準,希冀能有效提升 各單位的資通安全程度。下列本標準之參考文件: z 行政院及所屬各機關資訊安全管理規範。 z ISO/IEC 27001:2005(E) 規範。 z ISO/IEC 17799:2005 資訊技術─安全技術─資訊安全管理之作業要點。 z CNS17799 資訊技術─資訊安全管理之作業要點。
陸、關於適用性聲明(Statement of Applicability) 本標準之設計為適用於教育體系與相關單位,但鑑於類型、規模、資源、 業務性質等因素,若本標準列出之任何條款無法適用於某單位時,可考慮 予以排除,但必須在不影響該單位提供資訊安全能力與責任之情況下,並 提出理由。在建置完該單位之 ISMS 後,必須提出符合的適用性聲明,其中 應包含選擇之控制目標與控制措施項目與理由,以及排除條款之內容、理 由,作為稽核時的依據。
柒、用詞解釋 z 資產(Asset) 對組織有價值的任何事物。 [CNS_(ISO/IEC 13335-1:2004)] 4 z 可用性(Availability) 經授權個體因應需求之可存取及可使用的性質。 [CNS_(ISO/IEC 13335-1:2004)] z 機密性(Confidentiality) 使資訊不可用或不揭露給未經授權之個人、個體或過程的性質。 [CNS_(ISO/IEC 13335-1:2004)] z 資訊安全(Information Security) 保存資訊的機密性、完整性及可用性。 [CNS 17799:2002] z 資訊安全事件(Information Security Event) 系統、服務或網路發生一個以識別的狀態,其指示可能的資訊安全政策 違例或保護措施失效,或是可能與安全相關而先前未知的狀況等。 [CNS_(ISO/IEC TR 18044:2004)] z 資訊安全管理系統(Information Security Management System, ISMS) 整體管理系統的一部分,以營運風險導向(作法)為基礎,用以建立、實 作、運作、監視、審查、維持及改進資訊安全。 備考:管理系統包括組織架構、政策、規劃活動、職責、實務、程序、 過程及資源。 [CNS 17800:2002] z 完整性(Integrity) 保護資產的準確度(Accuracy)和完全性(Completeness)的性質。 [CNS_(ISO/IEC TR 18044:2004)] z 風險評估(Risk Evaluation) 把估計的風險和已知的風險準則進行比較的過程,以決定風險的顯著 性。 [CNS 14889] z 適用性聲明(Statement of Applicability) 描述與組織之 ISMS 相關且對其適用之各項控制目標與控制措施的已文 件化聲明。 [CNS 17800:2002]
捌、關於資訊安全管理系統(ISMS)建置步驟 本標準在於協助施行單位開發、實施、維護及持續改進一完善之 ISMS,其 可分為以下幾個步驟: 三、 ISMS 之建立:依據該單位之類型、規模、資源、業務性質等特性,定義 ISMS 之範圍;考慮相關法律、法規以及合約之要求,於適度評估風險及應對措 施後,訂出經由管理階層核准之 ISMS 政策,並擬定一份適用性聲明書文件。 5 四、 ISMS 之實施與操作:施行單位應確實實施控制措施,以符合控管的目標, 並執行訓練與認知計畫,確保偵測安全事件的能力,以及迅速回應和應對 處理的時效。 五、 ISMS 之監控及審查:施行單位應針對 ISMS 進行監控程序與其他控制措 施,即時鑑別資安事件的發生、處理順序與解決方法;定期審查 ISMS 之有 效性(建議一學年至少一次),並將相關有顯著影響之活動與事件記錄下來。 六、 ISMS 之維持及改進:施行單位應定期實行改進活動,採取適當的矯正與預 防措施,並得到管理階層之同意,並確保各項措施達到預期目標。
玖、關於資訊安全管理系統(ISMS)建置需求 七、 文件要求:關於 ISMS 文件化(電子檔案或紙本),必須包含安全政策、安全 目標、 ISMS 範圍、適用性聲明、資安事件記錄以及其他有助於提升 ISMS 成效之文件;上述之文件需接受保護與管制,並定期的審查及更新,確保 文件之最新版本;任何過其文件需保留或銷毀,應予以適當的鑑別。 八、 管理階層責任:施行單位之管理階層,最為重要的是給予承諾及實際的支 持,並適度的提供資源以助 ISMS 程序的進行,必要時審查 ISMS 的控制措 施與有效性;另外,確保於 ISMS 範圍內之員工,具備足夠之能力及認知, 並定期進行教育訓練。 九、 管理階層審查:管理階層應在規劃期間內,審查該單位的 ISMS 與適用範 圍,確保其持續的適用性、適切性及有效性;其中應審查包含變更需求與 改進時機,並將其結果確實文件化。 十、 ISMS 之改進: ISMS 的改進是持續的,必須藉由各資安事件與審查結果, 做出適度的反應與改進,持續系統之有效性;另外,對應的矯正措施以及 防範未然的預防措施,亦須予以制定並文件化。 上述捌、玖兩節的規範,施行單位必須確實執行,不得因任合因素而有所簡 化,甚至避免,並將其中過程適度文件化,留存紀錄待查,如此才得由教育 部宣告該施行單位之 ISMS 符合本標準規範。
承辦人: 主任: 校長:
中 華 民 國 105 年 9 月 7 日