ISO 27001 資訊安全管理系統—主導稽核員」上課心得報告

朱漢琳

 

  在全球資訊化時代,人與電腦、網路之關係益趨緊密、電子交易日趨普及。各個企業與政府機關為減少人力、物力、財力之成本,無不相繼採用電腦資訊化作業。但也因此衍生出的一些資訊安全或網路犯罪問題,利用電腦或網路從事犯罪行為,更有日漸增加之趨勢。資訊安全便成為組織中相當重要的課題之一。 

  有鑑於此,行政院國家資通安全會報,為加強我國資訊通訊安全基礎建設,以提升資通安全能力,於第十五次工作小組會議中訂定「各政府機關(構)資訊安全責任等級分級作業施行計畫」。在此計畫中特將各級政府機關依其重要性、敏感性區分為 ABCD 等資安四等級,依其等級分別建立相關之資訊安全管理系統(ISMS)。本校為國立大學,依此計畫被列為B級單位,而 B 級單位在行政國家資通安全會報的規劃中其組織內於 96 年度至少需有一人獲得相關資安專業鑑定證照一張。因此我在今年的五月下旬便參加了由 BSI 與中華民國電腦稽核協會合辦之「ISO 27001 資訊安全管理系統主導稽核員」五天的訓練課程。在此課程中除了學習資訊安全的規範與建立相關知識外,在課程的最後一天更需通過主辦單位舉行的測驗方能獲得由BSI英國標準協會台灣分公司所授予之「ISO27001:2005 資訊安全管理系統主導稽核員國際證照」,因此在行前便有心理準備這五天將重溫大學白天上課、晚上 K 書的時光,好好的為課程最後一天的考試做準備。 

  課程的前兩天,著重在 ISO27001 之發展歷史與條款的介紹。ISO27001 是以 BS7799 為基礎制定的,而 BS7799 為英國標準協會(The British Standards Institution,BSI)所推動的資訊安全管理標準。BS7799 包含兩部份:分別為 BS7799-1BS7799-2。其中 BS7799-1 發展成 ISO17799,主要是做為參考文件,提供組織實施資訊安全的指南;BS7799-2 發展成 ISO27001,提供資訊安全管理系統之建立實施與書面化之具體要求,是為驗證之標準。因此本課程主要的學習重點在 BS7799-2,亦即 ISO27001ISO27001 之條款主要規範在第四至八章與附錄A中之 11 個控制項目、133 個控制目標,其中第四至八章中之規範為不可排除項目;而附錄 A 之控制目標則由各組織依據自身實際情況挑選適用之項目做為驗證依據。組織在挑選出適用之控制項目後,可參考 ISO17799 所提供的相關實施指南來制定本身的作業準則。其實這兩天的課程是五天裡最辛苦的,條款的介紹枯燥生硬,但卻也是整個課程的基礎,而下課後的研讀更是不可缺少,將全部條款了解清楚與熟記也有助於後續的課程學習。

  第三天的課程內容為「風險評鑑及管理」,首先先教導我們如何列出組織內的資產清冊,並鑑別出每個資產之價值(將其分為 1-4 等級),由各個資產之特質列出該資產之脆弱性與威脅,再根據各個威脅評估出此威脅發生之機率與發生後對組織造成之衝擊(均以 1-5 之等級表示出),最後即可依此產出量化的風險測量質。一旦得出風險值,即可依此訂出組織中可容忍之風險範圍,剩下不可容忍的風險再選擇相關的控制措施做風險處理。我覺得此課程不僅對組織內的資訊安全管理系統之建立很有幫助,甚至可以應用在一般的日常生活中,其實每個人的生活周遭都會有不同程度的風險,即可使用此模式評鑑出個人的風險值並針對各個風險加以管理與控制。 

  第四天與第五天上午的課程重點就在教導我們如何執行稽核與成為一個優秀的稽核員。要通過 ISO27001 之驗證,除了組織內需定期舉行內部稽核外,也需接受認證單位的外部稽核。而不論是內稽或外稽人員,除了需熟悉與清楚了解 ISO27001 之條文內容外,也需具備有一些在稽核時需使用到的專業素養,如:與人溝通、問話技巧、分析判斷現場情況等。而在稽核前必項先擬訂一份稽核計劃,在稽核的過程中也必須依照計劃與規定之時程進行,因此稽核員如遇到受稽單位故意拖延時也必須有技巧的阻止與化解此情形發生。當然稽核員最重要的就是要依據實地的抽樣、訪查與面談發現此組織在資訊安全的實行上有何缺失,並明確指出不符合 ISO27001 何條規定。老師在課堂上也有跟大家分享他之前稽核的經驗,也舉出很多的特殊情況供大家參考。老師有提到,也許印象中大多數的人會對稽核員抱有些敵意,會認為他們是來找麻煩的,但依他的經驗,也有不少的組織非常歡迎稽核員儘量的“找麻煩,因為藉由稽核過程才能發現自己組織內還有那些做不好的地方,更進而改進讓自己能做到最好,畢竟資訊安全在現今的企業中是非常重要的一環,甚至會影響到一個企業是否能永續經營的重要指標,也因此愈來愈多的企業、組織相繼導入 ISO27001,並通過認證。老師也期許大家日後在做稽核時一定要確實盡到稽核員的責任,幫助組織做好資訊安全的相關工作。 

  在這五天的課程中,除了有 BSI 專業講師之解說外,更透過個案研究、實例研討與小組討論、報告,幫助我們了解相關之規範,及如何協助組織建立 ISO27001 資訊安全管理系統並通過驗證。除此之外,也意外讓我發現到很多資訊安全的理念都可以套用到日常生活之中,因此上課過程與課後的複習雖然很辛苦,但也讓我除了順利得到一張資安證照,同時對資訊安全與 ISO27001 有了更深入的認識,所以一切的辛苦都覺得很值得。