271 likes | 584 Views
世新大學 ISMS 經驗分享. 電算中心網路組組長 范修維 200 8 . 12 .22. ISMS 經驗分享. 導入時程 95年3月編列首期預算 95年9月開始導入 96年1月完成第一期工作 96年3月編列第二期預算 96年9月開始進行第二期導入 97年6月通過 ISO 27001 驗証 97年12月通過 ISO 27001 複評. ISMS 經驗分享. 導入經費 輔導 + 正評 (5 人天) = 350 萬,含 LA x 4 + CISSP x 2 之培訓 複評 18 萬 (証照維護費 6 萬/年,每半年複評一人天 6 萬).
E N D
世新大學 ISMS 經驗分享 電算中心網路組組長 范修維 2008.12.22
ISMS 經驗分享 • 導入時程 • 95年3月編列首期預算 • 95年9月開始導入 • 96年1月完成第一期工作 • 96年3月編列第二期預算 • 96年9月開始進行第二期導入 • 97年6月通過 ISO 27001 驗証 • 97年12月通過 ISO 27001 複評
ISMS 經驗分享 • 導入經費 • 輔導 + 正評 (5 人天) = 350 萬,含 LA x 4 + CISSP x 2 之培訓 • 複評 18 萬 (証照維護費 6 萬/年,每半年複評一人天 6 萬)
ISMS 經驗分享 • 導入成效 • 驗証範圍為全球大學之最:將整個電算中心所有活動均納入驗証範圍,包含系統開發與維運 • 驗証機構亦為全球之首:申請 BSI 驗証 • 七名同仁通過 LA 考試 • 同時通過 ISO 27001 與 CNS 27001 雙驗証 (BSI + UKAS + TAF)
ISMS 經驗分享 • 重要活動 • 教育訓練 • 差異分析 • 資產辨識* • 風險鑑別與處理* • 制度規範的建立* • 業務衝擊分析與持續營運計畫 • 內稽與管審
ISMS 經驗分享 • 瞭解導入之目的以及學校的生態環境 • 應付了事 vs. 徹底改善 • 快速導入、通過驗証並不困難,但對日後維運可能會造成很大的困擾 • 瞭解學校環境與企業生態的不同 (亦有別於政府機關、軍事單位、金融機構、醫療院所之生態) • 學校單位除了個資的保護之外,其餘皆無太大的要求 (幾乎皆可透過行政命令作補救) • 學校單位的人力規模亦不若其它組織,經常是 Admin 兼 OP、球員兼裁判,稽核工作會變得非常怪異 (自己稽核自己?)
ISMS 經驗分享 • 對於人員的投入 • 高階主管的投入扮演了重要角色 (本中心前、後任主任皆通過 LA 考試,且投入極大心力主導 ISMS 的進行),如果高階主管參與度不足,可以開列缺失 (高階主管承諾不足) • 管理階層的投入掌握了 ISMS 的成敗 (本中心各組組長皆通過 LA 考試) • 其餘人員則需按表操課,完成相關管控措施與紀錄
ISMS 經驗分享 • 對於範圍的選定 • 把系統組納入驗証範圍,網路組相對就無輕鬆許多 (機密性、完整性的要求相對較低) • 驗証範圍的大或小會影響參與的人數,但活動流程不會因為範圍的大小而減少,規章辦法也不會因為範圍縮小而大量減少 (減少幅度有限) • 驗証範圍內的人員都必須齊心協力才能通過驗証 (如果包含師生,那就完了)
ISMS 經驗分享 • 對於標準的瞭解 • 驗証有如上法院,對律法 (標準) 越熟越有利 • 面對稽核人員應辯才無礙,當稽核人員無法說服受稽方承認是缺失,稽核人員不得開列缺失 • 稽核人員要開列缺失時,可要求其展示違反標準哪項條文,並就條文字義作討論 • 未按照 ISO 27002 的建議實作並非缺失,但 ISO 27001 要求必須作到的卻未作,即可開列缺失
ISMS 經驗分享 • 對於資訊資產的辨識 • 適當地將資產群組化有助於辨識工作 • 將資料、軟體與硬體分開進行辨識 • 在學校環境中,機密性與完整性幾乎只存在於資料,因此當資料已獨立進行辨識時,其軟體或硬體就不再評機密性與完整性,只評可用性 • 若未將資料單獨抽離進行辨識時,相關之軟體或硬體則須同時辨識機密性、完整性與可用性 • 初次進行資訊資產的辨識時,容易擴大自身業務的重要性,宜多進行數次,讓真正重要的資產突顯出來
ISMS 經驗分享 • 對於風險的判定 • 風險是由受稽方所決定,而非稽核方所決定 • 如果無法辨識潛在風險,只能以經驗法則判定,若從未發生過,即使判定為低風險 (機率低),稽核人員也只能列為待觀查事項 (但請勿故意低估風險) • 過去未發生過的事件,不代表未來不會發生,也不代表未來一定會發生 • 若無足夠的事証可証明其缺失,須將利益歸於受稽方 (頂多開列待觀查事項) • 並非所有事件皆須防止其發生 (例如:防止 Switch 當掉並非一定要熱備援),若在可接受範圍內有替代方案仍視為合理管控 (例如:更換備品)
ISMS 經驗分享 • 對於風險鑑別的一致性 • 4.2.1 (c) The risk assessment methodology selected shall ensure that risk assessments produce comparable and reproducible results. • 外稽人員不一定質疑風險鑑別的方法論,但會比較各項資產的威脅與弱點的評估方式是否一致 • 風險鑑別活動時,常以縱向方式進行;但稽核人員常以橫向方式比較其一致性 • 如果低估風險,可能會被開列缺失 (風險鑑別之缺失);但如果高估風險,比較不會被開列缺失
ISMS 經驗分享 • 對於資訊資產的控制措施 • 管控措施比較容易降低威脅發生之機率,但比較不容易降低威脅之衝擊性 • 備援可降低硬體的可用性衝擊,亦可降低同時故障之機率 • 備份可降低軟體與資料的可用性衝擊 • 備分與主機料之 C 與 I 應該相同,但 A 應該稍微降低 • 一般人員皆會注意 C 與 A 的管控,但容易忽略 I 的管控
ISMS 經驗分享 • 官網的維運 • C (無)、I (困難)、A (簡單) • 如何防止外部惡意的竄改 (備分網頁自動化比對) • 如何防止內部過失的發佈 (上線時由業務單位確認) • 如何防止內部惡意的發佈 (除非有自動化機制,否則人為發佈就難以避免)
ISMS 經驗分享 • 對於資訊安全的要求 • 資訊安全不可無限上綱 • 資訊安全應分類分級進行管控 • 太多會造成管控成本的浪費 (人力、經費) • 太少會造成管控能力不足
ISMS 經驗分享 • 管控措施的合宜度 • 進入機房不可攜帶手機?(╳╳大學之規定) • 進出機房若攜帶隨身碟、資訊設備需要登記?(╳╳顧問建議) • 每天檢視系統紀錄?(╳╳大學之規定) • 每天檢視系統 CPU、RAM、HD 之使用率?(╳╳顧問建議) • … • 請評估施予某項管控措施所帶來的好處,以及未施予該項管控措施所造成的風險,進而評估成本效益 (人力成本亦須列入考慮) • 儘可能以自動化監控代替人工監控
ISMS 經驗分享 • 對制度規範的建立 • 勿將顧問的建議全部照單全收,應思考對組織自身的適用性 • 稽核人員除了按照法規、法條的要求進行稽核外,還會按照組織所制訂的規範進行稽核,瞭解是否真的按照規範落實施行 • 勿制訂一個說得到、作不到的制度 (自己害死自己) • 說、寫、作不一致,即為缺失 • 如果自己制訂每天要檢視系統紀錄,但如果未作到即為缺失;但每天檢視系統紀錄所付出的人力成本極高,所獲得之效益過少,這樣的制度是否適當?
ISMS 經驗分享 • 對於文件化的要求 • ISO 27001 並未要求每個程序都必須文件化 • 不一定所有程序都必須文件化,當所有人員都具有相同的認知,可免除紙本文件之要求 • 但是如果有人對作業程序不清楚,或對管理辦法不瞭解,卻又找不到文件化的程序或辦法,就可開列缺失 (A.10.1.1 文件化作業程序) • 如果已有文件化之程序或辦法,但同仁卻不清楚,仍可開列缺失 (A.8.2.2 教育訓練不足)
ISMS 經驗分享 • 對於紀錄的要求 • 紙本紀錄要保持完整性 • 注意各事件的連動 (異常事件紀錄、維護紀錄、機房門禁紀錄、攝影機紀錄) • 事件的追蹤與跟催 (須留下足夠稽核軌跡備查) • 可採用 Forum 軟體作為電子化紀錄保存 • 主機紀錄若未規定保存年限,須按照文管程序之規定進行保存
ISMS 經驗分享 • 對於共用密碼的要求 • A.11.5.2 User identification and authentication • All users shall have a unique identifier (user ID) for their personal use only, and a suitable authentication technique shall be chosen to substantiate the claimed identity of a user. • ISO 27001 並未要求管理者不可共用密碼:每個使用者須有一個個人專用的 ID,而不是每個 ID 只能讓一個人使用 (即未規定不可共用 ID) • Router、Switch、主機管理仍可共用管理者帳號,但應視資產的重要性作適當的區隔,並提供適當的鑑別度,以釐清相關責任歸屬
ISMS 經驗分享 • 對於 BIA 的進行與 BCP 的可容忍時間 • BIS 會影響 BCP 的可容忍時間 • BCP 的可容忍時間應由業務單位訂定 • 業務單位常會擴大自身業務的重要性,將 BCP 的可容忍時間訂的很短 • BCP 並非只有資訊部門,業務部門也須擬定 • 當災難發生時,資訊部門未能在 BCP 可容忍的時間內回復最小需求運作,業務部門即須啟動替代計畫 (例如:紙本或人工作業) • 當業務部門被要求須制訂啟動紙本作業或人工作業的條件時,BCP 可容忍時間就會變得較長
ISMS 經驗分享 • 對於 BCP 的回復計畫 • 並非平時最重要的業務在災難發生時仍是最重要的業務,並非平時不重要的資產在災難發生時仍是不重要的資產 • 學校平常最重要的活動:選課活動;但如果發生四川大地震,可能擁有數台印表機列印出傷亡或存活名單會比選課還來得重要 • 擬定回復計畫時,可針對不同災難情境設計多種不同腳本,並予以演練 (在平時,金庫比冰箱重要;在大地震時,冰箱比金庫重要)
ISMS 經驗分享 • 對於第三方稽核的選擇 • 專業、有經驗的稽核人員懂得分寸、不會有無理要求,即使誤踩地雷也會立即迴避,不會硬拗 • 專業、有經驗的稽核人員不會以找尋缺失為唯一目標 • 專業、有經驗的稽核人員不會與受稽方人員爭吵,會保持著「態度堅定有禮貌」之風範 • 部派稽核人員:是否為上級、下屬之關係?是否具有足夠之稽核素養?是否屬超然之第三方稽核?(實為第二方稽核)
ISMS 經驗分享 • 外稽教戰守則 • 外稽人員不可給予建議,只能提供經驗分享 • 觀察員不可發言 • 稽核人員不能要求指定特定受稽人員回答 • 可要求工讀生對稽核人員的提問不予回應 • 同仁們無法回答時,可由管理階層代為回答 • 受稽人員無法回答時,可請顧問幫忙回答 • 若從操作人員、管理階層乃至最高主管對管理方式皆口徑一致,外稽人員就不容易開列缺失 • 外稽有稽核人天的限制 (東拉西扯、拖延戰術、請吃牛排…)
ISMS 經驗分享 • 模擬問題 • 主機系統出現錯誤登錄的嘗試,是否有去查明原因? • 如何防止網頁發佈人員之蓄意破壞? • 如何確認內稽人員已按照規範要求實施稽核?(對內稽人員的稽核) • 如何確認自動化檢測措施是否正常運作而未失效? 25