「世界上大型企業分兩種：一種是已經被駭客入侵，另一種則是被入侵卻渾然不知的公司。」，美國聯邦調查局局長James Comey.

本篇預期成果畫面

管理議題

ISO 27001的稽核員稽核的時候大概都會問以下2個問題再追問1個細節：

• 你的異常事件有沒有紀錄?這一季網路或設備中斷/故障了幾次?一共幾小時?
• 你今年有沒有資安事件?有沒有處理和追蹤?
• 然後，你的紀錄和統計來源呢?

本系列前一篇的「使用者問題回報系統」是提供一個讓User進行異常回報的平台，由系統主動通知負責人員，進行協助異常排除。

而本篇的「資安事件及異常紀錄」是屬於MIS內部進行資安事件的通報及異常的紀錄。這一部分通常會配合ISMS (ISO27001驗證)的表單一起設計。

以下這張是常見的ISMS資安事件通報單/處理單。(圖01)

事件分類我們依據通安全管理法中資安通報單的分類列入考量。以下這張是資通安全署提供的紙本資通安全事件通報單。(圖02)

表單截圖來源：資通安全事件通報單，數位發展部資通安全署

以下1-4級事件我們依照資通安全法的定義來管理。但為了記錄設備異常，我們將設備異常但未構成1級資安事件等級的事故也要在系統上做紀錄，所以我們在1-4級之外，再加上0級事件以進行更完整的異常紀錄：

• 1級事件：
  (一)非核心業務資訊遭輕微洩漏。
  (二)非核心業務資訊或非核心資通系統遭輕微竄改。
  (三)非核心業務之運作受影響或停頓，於可容忍中斷時間內回復正常運作，造成機關日常作業影響。

• 2級事件：
  (一)非核心業務資訊遭嚴重洩漏，或未涉及關鍵基礎設施維運之核心業務資訊遭輕微洩漏。
  (二)非核心業務資訊或非核心資通系統遭嚴重竄改，或未涉及關鍵基礎設施維運之核心業務資訊或核心資通系統遭輕微竄改。
  (三)非核心業務之運作受影響或停頓，無法於可容忍中斷時間內回復正常運作，或未涉及關鍵基礎設施維運之核心業務或核心資通系統之運作受影響或停頓，於可容忍中斷時間內回復正常運作。

• 3級事件：
  (一)未涉及關鍵基礎設施維運之核心業務資訊遭嚴重洩漏，或一般公務機密、敏感資訊或涉及關鍵基礎設施維運之核心業務資訊遭輕微洩漏。
  (二)未涉及關鍵基礎設施維運之核心業務資訊或核心資通系統遭嚴重竄改，或一般公務機密、敏感資訊、涉及關鍵基礎設施維運之核心業務資訊或核心資通系統遭輕微竄改。
  (三)未涉及關鍵基礎設施維運之核心業務或核心資通系統之運作受影響或停頓，無法於可容忍中斷時間內回復正常運作，或涉及關鍵基礎設施維運之核心業務或核心資通系統之運作受影響或停頓，於可容忍中斷時間內回復正常運作。

• 4級事件：
  (一)一般公務機密、敏感資訊或涉及關鍵基礎設施維運之核心業務資訊遭嚴重洩漏，或國家機密遭洩漏。
  (二)一般公務機密、敏感資訊、涉及關鍵基礎設施維運之核心業務資訊或核心資通系統遭嚴重竄改，或國家機密遭竄改。
  (三)涉及關鍵基礎設施維運之核心業務或核心資通系統之運作受影響或停頓，無法於可容忍中斷時間內回復正常運作

• 0級事件：設備異常，但未影響企業運作且未達1級事件。

之所以加入0級事件，因為本範例的管理需求除了是資安事件的紀錄外，設計上也紀錄異常主機、網路故障的頻率，也就是系統、主機、網路的可用性、可靠性的程度，以做為ISMS風險評鑑及KPI異常來源的數據資料。

本篇將學習到Redmine的功能重點

• 自訂查詢及統計：例如查詢統計各系統在半年內出現的問題及總計中斷時間
• 舊的Redmine知識回顧
  • 模組的設定：請參考系列文Day 7-[Redmine]專案版面的規劃
  • 自訂欄位清單：請參考系列文Day 6-[Redmine]自行建立及維護表單
  • 專案建立基本邏輯：請參考系列文Day 5-[Redmine]Redime系統邏輯說明
  • 其餘本文有完成功能但沒做進行詳細畫面說明的：請參考系列Day 8開始的每篇文章的「本篇將學習到Redmine的功能重點」。每篇分享文都有當篇文章要新學習的Redmine某項功能的應用及設定方法的示範重點。

管理資訊需求

• 【議題名稱】：資安事件及異常紀錄
• 【權限需求】：未登入者可瀏覽，但要提出申請需先登入。MIS主管負責指派處理人員，被指派的負責人必須登入維護/更新申請的資訊。
• 【適用場合】：User對MIS提出服務或支援需求
• 【追蹤標籤】：
  • 設備問題_設備損毀
  • 設備問題_電力異常
  • 設備問題_網路服務中斷
  • 設備問題_設備遺失
  • 網頁攻擊
  • 非法入侵
  • 阻斷服務
  • 其他
• 【模組需求】：
  • (O)議題追蹤
  • (X)工時追蹤
  • (X)新聞
  • (X)文件
  • (X)檔案
  • (X)Wiki
  • (X)版本控管
  • (X)討論區
  • (X)日曆
  • (O)甘特圖
• 【欄位需求】：
  • 使用系統標準欄位
• 【自訂欄位需求】：
  • (1)事件等級(鍵/值 清單)
  • (2)原因分析(文字)
  • (3)矯正措施(暫時性對策)(長文字)
  • (4)預防措施(永久性對策)(長文字)
  • (5)中斷開始時間 (文字)
  • (6)修復恢復時間 (文字)
  • (7)總計中斷時間(小時)(浮點數)

專案設定

• [設定]/[專案]-[公開]：請不勾選
• [設定]/[成員]：請指定MIS群組成員
• [設定]/[議題追蹤]/[自訂欄位清單]：請新增7個新欄位
  • (1)事件等級(鍵/值 清單)
  • (2)原因分析(文字)
  • (3)矯正措施(暫時性對策)(長文字)
  • (4)預防措施(永久性對策)(長文字)
  • (5)中斷開始時間 (文字)
  • (6)修復恢復時間 (文字)
  • (7)總計中斷時間(小時)(浮點數)
• [設定]/[議題分類清單][建立新分類]
  • 建立ERP、MES、BPM、網路設備、其他，並指定負責人員

議題管理

依需求及設計進行相關設定，重點在：

• 追蹤標籤：設備問題_設備損毀、設備問題_電力異常、設備問題_網路服務中斷、設備問題_設備遺失、網頁攻擊、非法入侵、阻斷服務、其他
  事件等級：0、1、2、3、4級
• 中斷開始和恢復時間，以及總計中斷時間(未來才可以用數據檢討是否有超過RTO-復原目標時間，以及後續更進一步的統計)

完成後如下二圖
圖03、04

議題的檢視與查詢

當異常紀錄後，追蹤及事後分類的統計很重要。在本案例中，為了可以對設備問題可以更進一步的統計，所以追蹤標籤的設備問題又分了4類-設備損毀、電力異常、網路服務中斷、設備遺失。

• [概觀] (圖05)

• [概觀]/[摘要] (圖06、07)
  從摘要中Redmine就預設提供你[追蹤標籤]、[優先權]、[成本]、[分類]、[被分派者]等方面的資料統計。
  

自訂查詢-統計中斷類別、時間及次數

• [議題清單]/[自訂查詢]

• 選擇你要查詢的條件，以及分組統計的欄位
  (圖08)
  

• 設定統計的欄位和要分組的欄位
  (圖09、10、11、12)
  

• 得到依"分類"的分組統計中斷時間分類總總計。(圖13)
  

• 提供另一個有用的範例統計：用[事件等級]去分組異常事件紀錄及統計中斷時間，這些可能是你每季或年度KPI所需要的數據來源。(圖14)
  

立即獲得你報告及KPI所需要的資訊。
是不是很簡單又很厲害!!

明天預告

異常管理分享告一段落。下一篇做一個小結及心得分享

異常管理：redmin在問題回報及處理的應用

• [異常管理]整理及管理分享