前言

為何機關要做資安稽核,目的何在?

如果貴機關是公務機關或主管機關所指定之國家關鍵基礎設施,當然一個原因是:因為貴機關適用資通安全法,依據資通安全責任等級分級辦法,需定期進行內部資通安全稽核,

但是對於這個問題比較積極的回應應該是:藉由實施資通安全內部稽核,檢視資通安全執行之成效,並且為了機關內部作業因應業務持續,透過資安稽核找出可能的風險,以持續維護與改善資通安全管理。

稽核準備

一、稽核的種類

在進行稽核準備之前應先清楚要執行的稽核種類是第一方、第二方或第三方稽核。第一方稽核為內部稽核,稽核人員可以為內部人員。第一方稽核的準則是稽核員不應該稽核本身的工作,因此在機關內常常面臨的問題是內部沒有足夠的專業稽核人員,所以某些機關會將內部稽核業務委託外部資安顧問公司來進行,再由機關內部人員擔任觀察員;第二方稽核為主管機關或上級機關對管轄或下屬機關稽核,好處是主管機關對下屬機關的業務熟悉,又可站在督導與管理的角度上進行客觀了解;第三方稽核通常是屬於驗證稽核,由稽核公司驗證機關所建置之資訊安全管理系統是否符合國際標準之要求,例如ISO 27001的資安驗證稽核。

二、稽核的目的

一般稽核的定義:以有系統的過程,所有針對某項特定活動所進行之獨立調查均可稱為稽核。資安稽核的定義則為就所有資通訊實務作業,由稽核人員定期對機關之資訊安全管理,包括資訊資產管理、人員安全、實體安全、網路安全及系統安全等整體安全進行查核,並評估其與資安要求或標準相符合的程度,同時將稽核結果呈報管理階層。配合政策執行資安檢視,原本無可厚非,但機關管理階層應該思考資安稽核的定義與定位後,決定稽核目標是否著眼在發現現有資訊作業相關之風險,提出改善建議後,確保機關業務之持續性。

三、稽核的範圍-誰應該被稽核

定義資安稽核範圍時,可以先討論一個議題-資訊安全工作是由誰或內部那個單位負責?因為資訊化時代的來臨,幾乎所有業務都透過電腦進行作業,而電腦系統的建置與維護又是由資訊部門負責,因此可看到機關的資安聯絡人幾乎都是資訊處室的人員。從以上觀察得到的結論是:既然電腦是資訊人員負責,當然資訊安全也應該是他們規劃,那麼稽核的範圍當然是以資訊部門為主!不過這是正確的嗎?資安稽核是資訊人員的業務,其實是一種迷思。資安稽核應著眼於評估機關重要業務,分析可能風險所在,試著找出機關存在之資訊弱點與可能發生的風險後,提出建議對策供機關參考,所以確認稽核範圍與稽核目標應為機關規劃稽核的首要動作。

四、稽核的依據

機關除確認稽核時程規劃外,亦應先定義稽核時的依據,依據何種的資訊安全要求與機關內要求的遵循與符合性。現行的資安稽核依據有以下兩種:

  1. ISO 27001的國際資訊安全標準
    此為現行國際資訊安全標準,亦為資訊安全管理系統(ISMS)的驗證標準,於第三方稽核時使用此稽核依據。
  2. 資通安全外部稽核表
    目前行政院各所屬部會對於所屬公務機關或關鍵基礎設施的資安稽核,依據資通安全管理法及其子法、國家資通安全發展方案、資訊安全管理系統國家標準CNS 27001:2023或國際資訊安全管理標準ISO 27001:2022、服務管理系統國際標準ISO 20000-1:2018、受稽機關之資通安全維護計畫等,據以規劃稽核項目(請參考資通安全署:資安演練與稽核介紹)。

五、資安稽核人員資格與所需的技術要求

挑選稽核員除應確認稽核目標外,並須確保整個稽核之公平程序,同時誠如前言提及的稽核實景,稽核不單是看文件數量的多寡,亦應藉由稽核過程了解機關內的資訊安全管理系統是否有效地建置與被維護著。因此,醫院或機關在遴選稽核員時,除了要有稽核員的證照外,稽核經驗更是不可或缺的要求。稽核人員能力要求,應包括稽核規劃能力、稽核實務作業能力及報告撰寫編製能力等等。資訊安全管理系統雖然號稱是一個管理系統,但此系統是架構在資訊作業環境下,所以資訊技術的專業領域與觀念為資安稽核所必要之知識,如:資訊系統網路通訊技術(網際網路、區域網路等)、資訊系統技術(作業系統、應用系統與資料庫等),及資訊安全防護技術(防火牆、入侵防護系統與惡意軟體防範等)。

稽核程序

一、稽核過程

制定稽核計畫→執行稽核作業→產出稽核報告與改善建議。

二、稽核方式

  1. 人員訪談:與主要人員對談,或透過一般性會議進行訪談,確認整體資安安控流程。
  2. 書面審查:透過企業內部文件檢視資安安控要求,以利後續確認說、寫、做一致性。
  3. 資料紀錄:企業內部資安安控所產生之資料紀錄,透過檢視方式確認符合性、有效性。
  4. 實際觀察:經由企業內部人員帶領稽核人員進行環境訪查或是特定區域活動檢視環境安控落實程度。
  5. 技術檢測:根據資通安全署資安演練與稽核說明,包括實際執行電腦(PC)安全檢測、網路惡意活動檢視與各項安全防護檢測…等等各項技術性檢測來評估實際資訊環境的風險與弱點。

三、稽核評估

資安稽核會以資訊安全 CIA 金三角(機密性 Confidentiality、完整性 Integrity、可用性Availability)為評估重點,稽核員會依此判斷是否有潛在威脅與漏洞。

四、稽核報告

如何給予有效性的建議而非一些吹毛求疵的主觀性意見,為稽核員產出客觀性稽核報告的主要課題。稽核報告除針對管理優異處給予受稽核單位肯定外,主要是評估受稽核單位資訊安全管理制度之有效性。

稽核報告產出後,必須提報給管理階層,以剖析現行的完善性。稽核程序最後且持續的關鍵步驟是追蹤改善結果,才可以確保機關內所有不可接受之風險皆已妥善處理,並持續維護一個運作良好的資訊安全管理系統。

結論

資安稽核對於機關是必要的工作事項,但如何讓資安稽核發揮最大的效益,而非淪為管理制度文件的陳列,是在規劃資安稽核時應先列入討論的議題。當資安稽核開始流於形式、每年的稽核缺失結果都大同小異,而或是機關存在著頭痛醫頭、腳痛醫腳的症狀時,機關應開始細細思量是那個環節出了問題。如果可以定期執行稽核規劃、定義稽核頻率及分析稽核結果時,才不致於發生換了稽核人員或單位,稽核缺失就如雨後春筍般紛紛冒出的情況。

備註:本文內容參考國家資通安全會報技術服務中心黃小玲組長之「如何規劃機關資安稽核」一文。

 

資通安全宣導專區