1 / 25

世新大學 ISMS 經驗分享

世新大學 ISMS 經驗分享. 電算中心網路組組長 范修維 200 8 . 12 .22. ISMS 經驗分享. 導入時程 95年3月編列首期預算 95年9月開始導入 96年1月完成第一期工作 96年3月編列第二期預算 96年9月開始進行第二期導入 97年6月通過 ISO 27001 驗証 97年12月通過 ISO 27001 複評. ISMS 經驗分享. 導入經費 輔導 + 正評 (5 人天) = 350 萬,含 LA x 4 + CISSP x 2 之培訓 複評 18 萬 (証照維護費 6 萬/年,每半年複評一人天 6 萬).

chace
Download Presentation

世新大學 ISMS 經驗分享

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 世新大學 ISMS 經驗分享 電算中心網路組組長 范修維 2008.12.22

  2. ISMS 經驗分享 • 導入時程 • 95年3月編列首期預算 • 95年9月開始導入 • 96年1月完成第一期工作 • 96年3月編列第二期預算 • 96年9月開始進行第二期導入 • 97年6月通過 ISO 27001 驗証 • 97年12月通過 ISO 27001 複評

  3. ISMS 經驗分享 • 導入經費 • 輔導 + 正評 (5 人天) = 350 萬,含 LA x 4 + CISSP x 2 之培訓 • 複評 18 萬 (証照維護費 6 萬/年,每半年複評一人天 6 萬)

  4. ISMS 經驗分享 • 導入成效 • 驗証範圍為全球大學之最:將整個電算中心所有活動均納入驗証範圍,包含系統開發與維運 • 驗証機構亦為全球之首:申請 BSI 驗証 • 七名同仁通過 LA 考試 • 同時通過 ISO 27001 與 CNS 27001 雙驗証 (BSI + UKAS + TAF)

  5. ISMS 經驗分享 • 重要活動 • 教育訓練 • 差異分析 • 資產辨識* • 風險鑑別與處理* • 制度規範的建立* • 業務衝擊分析與持續營運計畫 • 內稽與管審

  6. ISMS 經驗分享 • 瞭解導入之目的以及學校的生態環境 • 應付了事 vs. 徹底改善 • 快速導入、通過驗証並不困難,但對日後維運可能會造成很大的困擾 • 瞭解學校環境與企業生態的不同 (亦有別於政府機關、軍事單位、金融機構、醫療院所之生態) • 學校單位除了個資的保護之外,其餘皆無太大的要求 (幾乎皆可透過行政命令作補救) • 學校單位的人力規模亦不若其它組織,經常是 Admin 兼 OP、球員兼裁判,稽核工作會變得非常怪異 (自己稽核自己?)

  7. ISMS 經驗分享 • 對於人員的投入 • 高階主管的投入扮演了重要角色 (本中心前、後任主任皆通過 LA 考試,且投入極大心力主導 ISMS 的進行),如果高階主管參與度不足,可以開列缺失 (高階主管承諾不足) • 管理階層的投入掌握了 ISMS 的成敗 (本中心各組組長皆通過 LA 考試) • 其餘人員則需按表操課,完成相關管控措施與紀錄

  8. ISMS 經驗分享 • 對於範圍的選定 • 把系統組納入驗証範圍,網路組相對就無輕鬆許多 (機密性、完整性的要求相對較低) • 驗証範圍的大或小會影響參與的人數,但活動流程不會因為範圍的大小而減少,規章辦法也不會因為範圍縮小而大量減少 (減少幅度有限) • 驗証範圍內的人員都必須齊心協力才能通過驗証 (如果包含師生,那就完了)

  9. ISMS 經驗分享 • 對於標準的瞭解 • 驗証有如上法院,對律法 (標準) 越熟越有利 • 面對稽核人員應辯才無礙,當稽核人員無法說服受稽方承認是缺失,稽核人員不得開列缺失 • 稽核人員要開列缺失時,可要求其展示違反標準哪項條文,並就條文字義作討論 • 未按照 ISO 27002 的建議實作並非缺失,但 ISO 27001 要求必須作到的卻未作,即可開列缺失

  10. ISMS 經驗分享 • 對於資訊資產的辨識 • 適當地將資產群組化有助於辨識工作 • 將資料、軟體與硬體分開進行辨識 • 在學校環境中,機密性與完整性幾乎只存在於資料,因此當資料已獨立進行辨識時,其軟體或硬體就不再評機密性與完整性,只評可用性 • 若未將資料單獨抽離進行辨識時,相關之軟體或硬體則須同時辨識機密性、完整性與可用性 • 初次進行資訊資產的辨識時,容易擴大自身業務的重要性,宜多進行數次,讓真正重要的資產突顯出來

  11. ISMS 經驗分享 • 對於風險的判定 • 風險是由受稽方所決定,而非稽核方所決定 • 如果無法辨識潛在風險,只能以經驗法則判定,若從未發生過,即使判定為低風險 (機率低),稽核人員也只能列為待觀查事項 (但請勿故意低估風險) • 過去未發生過的事件,不代表未來不會發生,也不代表未來一定會發生 • 若無足夠的事証可証明其缺失,須將利益歸於受稽方 (頂多開列待觀查事項) • 並非所有事件皆須防止其發生 (例如:防止 Switch 當掉並非一定要熱備援),若在可接受範圍內有替代方案仍視為合理管控 (例如:更換備品)

  12. ISMS 經驗分享 • 對於風險鑑別的一致性 • 4.2.1 (c) The risk assessment methodology selected shall ensure that risk assessments produce comparable and reproducible results. • 外稽人員不一定質疑風險鑑別的方法論,但會比較各項資產的威脅與弱點的評估方式是否一致 • 風險鑑別活動時,常以縱向方式進行;但稽核人員常以橫向方式比較其一致性 • 如果低估風險,可能會被開列缺失 (風險鑑別之缺失);但如果高估風險,比較不會被開列缺失

  13. ISMS 經驗分享 • 對於資訊資產的控制措施 • 管控措施比較容易降低威脅發生之機率,但比較不容易降低威脅之衝擊性 • 備援可降低硬體的可用性衝擊,亦可降低同時故障之機率 • 備份可降低軟體與資料的可用性衝擊 • 備分與主機料之 C 與 I 應該相同,但 A 應該稍微降低 • 一般人員皆會注意 C 與 A 的管控,但容易忽略 I 的管控

  14. ISMS 經驗分享 • 官網的維運 • C (無)、I (困難)、A (簡單) • 如何防止外部惡意的竄改 (備分網頁自動化比對) • 如何防止內部過失的發佈 (上線時由業務單位確認) • 如何防止內部惡意的發佈 (除非有自動化機制,否則人為發佈就難以避免)

  15. ISMS 經驗分享 • 對於資訊安全的要求 • 資訊安全不可無限上綱 • 資訊安全應分類分級進行管控 • 太多會造成管控成本的浪費 (人力、經費) • 太少會造成管控能力不足

  16. ISMS 經驗分享 • 管控措施的合宜度 • 進入機房不可攜帶手機?(╳╳大學之規定) • 進出機房若攜帶隨身碟、資訊設備需要登記?(╳╳顧問建議) • 每天檢視系統紀錄?(╳╳大學之規定) • 每天檢視系統 CPU、RAM、HD 之使用率?(╳╳顧問建議) • … • 請評估施予某項管控措施所帶來的好處,以及未施予該項管控措施所造成的風險,進而評估成本效益 (人力成本亦須列入考慮) • 儘可能以自動化監控代替人工監控

  17. ISMS 經驗分享 • 對制度規範的建立 • 勿將顧問的建議全部照單全收,應思考對組織自身的適用性 • 稽核人員除了按照法規、法條的要求進行稽核外,還會按照組織所制訂的規範進行稽核,瞭解是否真的按照規範落實施行 • 勿制訂一個說得到、作不到的制度 (自己害死自己) • 說、寫、作不一致,即為缺失 • 如果自己制訂每天要檢視系統紀錄,但如果未作到即為缺失;但每天檢視系統紀錄所付出的人力成本極高,所獲得之效益過少,這樣的制度是否適當?

  18. ISMS 經驗分享 • 對於文件化的要求 • ISO 27001 並未要求每個程序都必須文件化 • 不一定所有程序都必須文件化,當所有人員都具有相同的認知,可免除紙本文件之要求 • 但是如果有人對作業程序不清楚,或對管理辦法不瞭解,卻又找不到文件化的程序或辦法,就可開列缺失 (A.10.1.1 文件化作業程序) • 如果已有文件化之程序或辦法,但同仁卻不清楚,仍可開列缺失 (A.8.2.2 教育訓練不足)

  19. ISMS 經驗分享 • 對於紀錄的要求 • 紙本紀錄要保持完整性 • 注意各事件的連動 (異常事件紀錄、維護紀錄、機房門禁紀錄、攝影機紀錄) • 事件的追蹤與跟催 (須留下足夠稽核軌跡備查) • 可採用 Forum 軟體作為電子化紀錄保存 • 主機紀錄若未規定保存年限,須按照文管程序之規定進行保存

  20. ISMS 經驗分享 • 對於共用密碼的要求 • A.11.5.2 User identification and authentication • All users shall have a unique identifier (user ID) for their personal use only, and a suitable authentication technique shall be chosen to substantiate the claimed identity of a user. • ISO 27001 並未要求管理者不可共用密碼:每個使用者須有一個個人專用的 ID,而不是每個 ID 只能讓一個人使用 (即未規定不可共用 ID) • Router、Switch、主機管理仍可共用管理者帳號,但應視資產的重要性作適當的區隔,並提供適當的鑑別度,以釐清相關責任歸屬

  21. ISMS 經驗分享 • 對於 BIA 的進行與 BCP 的可容忍時間 • BIS 會影響 BCP 的可容忍時間 • BCP 的可容忍時間應由業務單位訂定 • 業務單位常會擴大自身業務的重要性,將 BCP 的可容忍時間訂的很短 • BCP 並非只有資訊部門,業務部門也須擬定 • 當災難發生時,資訊部門未能在 BCP 可容忍的時間內回復最小需求運作,業務部門即須啟動替代計畫 (例如:紙本或人工作業) • 當業務部門被要求須制訂啟動紙本作業或人工作業的條件時,BCP 可容忍時間就會變得較長

  22. ISMS 經驗分享 • 對於 BCP 的回復計畫 • 並非平時最重要的業務在災難發生時仍是最重要的業務,並非平時不重要的資產在災難發生時仍是不重要的資產 • 學校平常最重要的活動:選課活動;但如果發生四川大地震,可能擁有數台印表機列印出傷亡或存活名單會比選課還來得重要 • 擬定回復計畫時,可針對不同災難情境設計多種不同腳本,並予以演練 (在平時,金庫比冰箱重要;在大地震時,冰箱比金庫重要)

  23. ISMS 經驗分享 • 對於第三方稽核的選擇 • 專業、有經驗的稽核人員懂得分寸、不會有無理要求,即使誤踩地雷也會立即迴避,不會硬拗 • 專業、有經驗的稽核人員不會以找尋缺失為唯一目標 • 專業、有經驗的稽核人員不會與受稽方人員爭吵,會保持著「態度堅定有禮貌」之風範 • 部派稽核人員:是否為上級、下屬之關係?是否具有足夠之稽核素養?是否屬超然之第三方稽核?(實為第二方稽核)

  24. ISMS 經驗分享 • 外稽教戰守則 • 外稽人員不可給予建議,只能提供經驗分享 • 觀察員不可發言 • 稽核人員不能要求指定特定受稽人員回答 • 可要求工讀生對稽核人員的提問不予回應 • 同仁們無法回答時,可由管理階層代為回答 • 受稽人員無法回答時,可請顧問幫忙回答 • 若從操作人員、管理階層乃至最高主管對管理方式皆口徑一致,外稽人員就不容易開列缺失 • 外稽有稽核人天的限制 (東拉西扯、拖延戰術、請吃牛排…)

  25. ISMS 經驗分享 • 模擬問題 • 主機系統出現錯誤登錄的嘗試,是否有去查明原因? • 如何防止網頁發佈人員之蓄意破壞? • 如何確認內稽人員已按照規範要求實施稽核?(對內稽人員的稽核) • 如何確認自動化檢測措施是否正常運作而未失效? 25

More Related