- 資通安全責任等級
依照資通安全責任等級分級辦法,由主管機關核定相對應之等級,按照等級決定導入系統之驗證範圍,例如:A級機關初次受核定或等級變更後之二年內,全部核心資通系統導入CNS 27001或ISO 27001 等資訊安全管理系統標準、其他具有同等或以上效果之系統或標準,或其他公務機關自行發展並經主管機關認可之標準,於三年內完成公正第三方驗證,並持續維持其驗證有效性。
- 資通安全維護計畫
首先要說明的是,雖然前面依照資通安全責任等級分級辦法的要求,需要驗證核心系統,但並不代表組織可以忽略其他部分,這一點在資通安全維護計畫的範本中可以得到證明。首先資通安全維護計畫的範圍是適用全組織,並非只有核心系統,換言之,整個資訊安全管理制度(資通安全維護計畫所規範的事項)是所有人都應該要遵守的,在計畫中除了核心系統外還有非核心系統,並且需要了解業務失效的影響以及最大可容忍中斷時間。從此處來看,資通安全維護計畫範本是參考條文第四章的精神,請各組織先行針對背景資訊進行分析,才能寫出前面這些資訊。
綜合以上步驟,有關資安法適用機關的範圍訂定,建議是先從驗證範圍(核心系統)進行導入及驗證,再逐步擴展至全組織;當然如果組織有足夠的支持、人力及資源,一次性將所有單位導入,這也是很好的做法,但是一定要事先妥善評估,免得導入時遇到太大的阻力而無法順利完成。適用機關一定要能明確區分業務及系統,核心業務不一定會有系統來支持,但機關一定有核心業務,而這些業務資訊的機密性、完整性及可用性是資訊安全管理系統需要管理的範圍。並不是一定要有一個資訊系統才能建立資訊安全管理系統,請不要把業務與範圍混淆,造成管理上的疑惑。
(二) 非資通安全管理法適用組織
對於未受到資通安全管理法規範的組織,可能有部分還是會受到資通安全管理法或其他法令的影響,所以我們建議的步驟如下:
-
確認法規命令:除了資通安全管理法之外,還有其他法令規範要求導入或驗證ISMS,例如教育部對私立大專院校、衛福部對地區等級以上醫院、經濟部對電子發票加值中心、金管會對提供線上投保的保險公司等,都有一定的規範,如果適用,應該依照法令規範訂定範圍。
-
為何需要ISMS:一般組織需要導入ISMS都有其目的,請先瞭解為何需要ISMS?可能是客戶要求、可能是覺得某項業務的資訊安全非常重要以致會影響組織生存目標。
-
核心業務:從前面兩項分析中尋找出組織賴以生存的核心業務,在從業務中尋找其依賴的核心系統,這個步驟與前面相同。
-
決定適用範圍:依照前面的分析,採取下列方式之一(或者可以用混合的方式),來決定ISMS最佳適用範圍:
(1) 以部門別定義:提供資訊中心辦公區之資訊安全管理活動
(2) 以應用系統別定義:供客戶服務系統、行政管理系統之開發、操作與維護之資訊安全管理活動
(3) 以產品/業務別定義:主機代管機房、網路維運部之資訊安全管理;資安檢測中心之安全維運管理
(4) 以實體區域定義:電腦機房、研發中心之資訊安全維運管理
-
範圍邊界及關聯性管控:針對邊界及關連性之風險明確規範管理的方式及要求(例如:委外)。
-
管理階層核准:高階管理者應針對範圍予以紀錄並正式核准,以確認高階管理者能接受之範圍。