iT邦幫忙

2023 iThome 鐵人賽

DAY 2
0
Security

資通安全管理法入門系列 第 2

[Day 2] 範圍(Scope)

  • 分享至 

  • xImage
  •  

資安法本身就有明確訂定範圍

包括公務機關與特定非公務機關
公務機關:指依法行使公權力之中央、地方機關(構)或公法人。但不包括軍事機關及情報機關。
特定非公務機關:指關鍵基礎設施提供者、公營事業及政府捐助之財團法人。

這規定的範圍涵蓋面向其實是相當廣泛的,因為管理要求裡面就會包括委外部分,因此若有跟政府機關業務來往的可能都需要遵守相關委外規定。

不提法律規定這麼大的包牌式範圍,之所以「範圍」要提出來談也是ISO 27001 裡面有規定的要做出範圍(scope)的訂定。雖然講起來很簡單,但實際上執行上必須定義的很清楚

以 ISO 27001 驗證來說,被驗證的範圍直接影響到要驗證的費用,過大的驗證範圍,會增加驗證所需更高的人天數、' 相關成本,尤其若導入顧問,如沒有定義好驗證範圍,增加的成本是很可觀的。

因此通常建議驗證核心系統即可,而核心系統的範圍不僅僅包括那特定的系統,還包括系統的邊界

舉人事系統為例,除了包括操作的AP端、Client端,也包括主機、操作系統、資料庫、網路架構、機房實體安全...等

基於可行性考量,最簡單實用的方式就是初期將資訊安全管理只納入資訊單位,而資訊單位同仁都需要知道資安法規範是包括全機關,在未來導入時以全機關作為目標時,從資訊單位作為標竿,再來推廣。

因此建議訂定範圍時,至少分為三層

  1. 核心系統 - 全部核心資通系統導入CNS 27001或ISO 27001 等資訊安全管理系統標準、其他具有同等或以上效果之系統或標準。
  2. 資訊單位 - 實務上驗證時會涉及的各項業務
  3. 全機關 - 法規來看,整個機關都適用資安法,可以分階段、分部門...等方式撰寫導入計畫並逐步實施。

其中資訊單位與全機關中,其實可以細分與資訊單位較有關的單位,但這跟每個機關的文化有關就不細談。

最後,由於資安法規定的為全機關,因此也規定須由「資安長」作為全機關資訊安全的負責人,資安長必須有跨部門管理的權限,資安法第11條規定,公務機關皆應設置資通安全長;資通安全長由機關首長指派副首長或適當人員兼任。

定義清楚的範圍,對於初期的規劃與未來的執行都至關重要,尤其資安雜事甚多、影響甚大,核心系統與資訊單位範圍需要訂清楚,對於資安人員的負擔才不會過大,逐步導入核心系統、資訊單位,能在面對主管機關的稽核時更能有效應對。


上一篇
[Day 1] 資安法範圍
下一篇
[Day3] 人員
系列文
資通安全管理法入門31
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言