iT邦幫忙

0

ISO 27001 資訊安全管理系統 【解析】(十一)

  • 分享至 

  • xImage
  •  

了解組織與第三方的關係對於確保業務及其所擁有資訊的安全性非常重要,尤其是在第三方活動可能使資訊安全受到威脅的情況下(即使其活動與資訊顯然無關,例如清潔工)。與任何第三方合作時,對於資訊安全來說,定義以下內容非常重要:

  1. 法律責任、問責制和保險:必須詳細瞭解所有各方的責任,從風險評估流程了解需要確定問責制的領域,災害回復規劃和資安事件回應也是驗證所有權和保險責任是否落在正確範圍的方式。
  2. 存取和授權:必須確認存取及進出管制政策,如果組織允許承包商進入建築物,應該了解誰擁有鑰匙或門禁卡、誰確保員工接受培訓及資訊安全,還應考慮存取IT系統和資訊的能力。
  3. 揭露和隱私:組織應定義和分類正在使用和共享的資訊,並指定適用的規則和法規。
  4. 合約條款:應明確規定與第三方的合約條款,以確保所有各方都明確對所開展工作的期望,並制定違約時的處罰或責任。
    前面談了這麼多,就現況而言,在國內想要導入及驗證的組織,很少是先做好第四章分析的工作後再來決定範圍,實務上到底要如何做比較適當呢?因為資通安全管理法的頒布施行,所以區分兩種不同的方式來說明:

(一) 適用資通安全管理法的組織
現在很多組織為了資通安全管理法的緣故需要導入ISMS,但是許多承辦人員因為對法令不熟悉,產生了很多疑問;雖然主管機關已經執行過很多場的教育訓練,也製作了許多範本供大家參考,但是很多人仍有許多不清楚的地方。可以依照下列步驟來決定範圍:

  1. 核心業務
    依照資通安全管理法施行細則第七條,先找出組織的核心業務,通常可以從組織法規中找到,例如:內政部組織法第 11 條戶政司掌理下列事項:六、關於戶籍登記事項,由此可以知道內政部戶政司核心業務為戶籍登記事項。
  2. 核心系統
    支持核心業務運作必要之系統。組織可從核心業務中找到所需要的核心系統。通常對於核心系統的判定會有一些困難,有些核心業務並不一定依存於資訊系統上,當系統不能使用時,可能有很多方式可以替代,這樣到底算不算是核心系統呢?在資通安全管理法施行細則第七條(節錄):「前條第一項第六款所稱核心資通系統,指支持核心業務持續運作必要之系統,或依資通安全責任等級分級辦法附表九資通系統防護需求分級原則之規定,判定其防護需求等級為高者。」所以,核心系統有兩個判定方式,一個是支持核心業務持續運作必要之系統,另一個是防護需求等級為高者,舉例來說:緊急救護的機關設置了一個網路求助系統(網站、APP),如果這個系統失效,這個機關可以運用其他方式達到緊急救護的業務目標(電話、EMAIL、簡訊等),所以這個網路求助系統到底算不算是核心系統?從核心業務上來看它可能只是一個輔助系統,但從資通系統防護需求來看(機密性、完整性、可用性、法律遵循性),等級應該可判定為高,所以網路求助系統仍視為核心系統。另外,關鍵基礎設施提供者的關鍵基礎設施,必須參考主管機關的規定來判定。當然囿於人力及技能的關係,剛開始所有機關的資通安全維護計畫未臻完善,常常在核心業務及系統上有判定上的問題,而主管機關也沒有多餘的人力能夠矯正這些問題。隨著時間的推移,這樣的情況應該可以得到一些改善。然而,實務上常見到核心系統非由資訊單位負責維運的情況,而資訊單位及業務單位的責任歸屬不明確,導致應負的責任無人承擔,例如:本人曾經稽核一個組織,其核心系統對於帳號管控不佳,承辦單位認為他們完全不了解資訊技術,這個問題應該由資訊單位解決;而資訊單位認為系統是由承辦單位委外維運,跟資訊單位無關。如此對於資訊安全管控上完全沒有幫助,也枉費了訂定資通安全管理法的原意。

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 則留言

0
d86123
iT邦新手 5 級 ‧ 2023-04-25 15:54:26

「實務上常見到核心系統非由資訊單位負責維運的情況,而資訊單位及業務單位的責任歸屬不明確,導致應負的責任無人承擔,例如:本人曾經稽核一個組織,其核心系統對於帳號管控不佳,承辦單位認為他們完全不了解資訊技術,這個問題應該由資訊單位解決;而資訊單位認為系統是由承辦單位委外維運,跟資訊單位無關。」

這段話完全擊中了大多數組織的現況,想請問kachung大大,最後這些案件都如何處理?
現在剛接資安,上級機關要求填報系統清冊,但絕大多數的系統都由各單位承辦單位委外維運,承辦來來去去換了好幾手,某些系統甚至出現一問三不知的情況,狀況太過陰間,想做事情卻力不從心,罔論說明年要做ISO27001認證,有無方向可以指引?

kachung iT邦新手 5 級 ‧ 2023-05-20 17:00:28 檢舉

非常抱歉,最近比較忙很久上來,所以比較晚回復,我認為如果是單位的資安人員,一定要先將所有系統還有系統的承辦人造冊列管,如果沒有承辦人的系統,要請主管去協調業務主管,必要時向資訊安全長報告,根據我輔導的經驗,先請資安長招開會議,確認所有人的職責後,再來逐個系統請承辦人將委外廠商找來,請委外廠商填寫防護基準執行情況,再由系統承辦人盯著委外廠商完成應該做的事情,資安人員應是負責綜整單位內所有系統的現況,拖太久的應向主管回報

我要留言

立即登入留言