Information Security Management System
資訊安全管理系統

ISMS簡介

ISO 27001資訊安全管理系統(Information Security Management System, ISMS) 為國際標準規範，是一套有系統地分析和管理資訊安全風險的方法，適用各產業如何建置及獨立稽核驗證的資訊安全管理系統，並依循PDCA的管理循環建立、實作、運作、監視、審查、維持及改善資訊安全管理系統運作的有效性實施輔導。資訊安全的特性分別為機密性(Confidentiality)、完整性(Integrity)、可用性(Availability)，資訊安全管理系統以營運風險導向為基礎建立方法論，定義政策及程序，ISMS的目標為透過控制及風險評估把風險降低至可接受的範圍內，保障組織免於不可承受的風險所帶來的影響。ISO 27001資訊安全管理系統架構包含建立資訊安全組織、資訊資產分類與管理、資訊安全政策與目標、各項SOP流程、業務持續運作、法令遵循與風險評鑑等重要項目所組成，並須定期檢視與進行稽核。

導入ISMS

導入ISMS是為了保護政府機關的資訊安全，而資訊安全的目標是設定機關內如何持續運作的資安管理目標與相關機制。

資訊安全的定義是考量維持資訊的機密性、完整性及可用性；同時還可以包括資訊的鑑別性、可歸責性、不可否認性及可靠性等方向。

資訊安全是讓組織在有限的資源(包括時間、人力及預算)內，確保政府機關可以維持服務不中斷，達成業務服務水準的協議，並取得下列三項基本安全要素的平衡點。

機密性：確保只有被授權的人可以存取資訊。政府機關內部列入機敏性資訊分級者，皆應列入保護。

完整性：確保資訊從產生開始、處置、存放及廢止時，處理方式的正確性與完整性。例如，如何確保網站資訊不被篡改與誤用。

可用性：確保資訊在被授權人有需要時可以存取。例如：使用者在預先定義的時間或權限上是否可以存取。

組織風險考量

政府機關應考量所可能面臨之風險，面對這些風險來源時，是否已設定可接受之風險等級(Risk Acceptance Level)；如果風險為不可接受時，可考量ISMS所建議的最佳實作規範與控制措施是否為最佳的解決方案。

政府機關的風險來源可概分為以下幾種：

1. 資料外洩：因為業務流程相關資訊安全部分控管不佳，造成非授權人士可以存取。

2. 內部員工的疏失或惡意行為，印出的業務報表任意擺放或是使用懶人密碼等等。例如：公務人員利用職務之便，任意出賣民眾資料以牟利。

3. 駭客威脅：系統上的弱點，可能吸引來自全球的駭客攻擊；包括針對一般使用者的社交工程手法，與鎖定特定機關的目標式攻擊手法。例如，電子郵件社交工程的受害者，可能造成使用者成為無意的加害者。

4. 資訊交換風險：政府機關若與法人組織或民間團體進行資訊交換時，亦應考量資訊交換上可能產生的風險。

5. 公務家辦的風險：隨著一些儲存媒體的方便使用，公務家辦的趨勢與隨之而來的風險也逐漸增加。

政府機關需要考量不同的風險來源，分析現行的控制措施是否具備資訊安全管理的架構。當現行控制措施不足以降低風險等級時，或因現行控制措施缺乏一套管理機制時，亦可以列為導入ISMS的要素。