HiB2B - 邱榮輝

交易市集eMarketplace　　加值服務VAS　　網路資料中心IDC　　寬頻網路Network

產業別　　產品別　　成功秘笈　　

	製造業
	財經界
	資訊界
	學術界
	政府界
	媒體界
	IT產業
	文化通路業
	房屋仲介業
	壽險業
	其他業別

學術界名人專訪

說明
	企業體檢｜網站導覽｜會員專區

邱榮輝

藉由標準，企業能更了解自身，透過管理可在安全與效率中取得平衡

企業要實施CNS 17799之資訊安全管理規範，應掌握 PDCA (Plan-Do-Check-Act)之原則，持續經由規劃（Plan）、執行（Do）、檢核（Check）、行動（Act）模式，循環改善公司之資訊安全管理。
－長庚大學電機工程學系副教授

這幾年資訊安全事件層出不窮，譬如：中國網軍入侵參與漢光演習之教官所使用的電腦，植入木馬程式病毒，而使演習資料外洩；無線區域網路之WEP加密機制被破解，而使以無線互傳之資料被竊取；銀行提款卡被側錄盜拷，而使帳戶內之存款被盜領；台鐵網路訂票系統遭受搶票程式攻擊，而使訂票系統癱瘓；電腦資訊公司之不法職員盜取並販售客戶之信用卡卡號、電話住址等資料，而使顧客遭受損失。這些資訊安全事件發生的原因，有的是因電腦的系統有安全漏洞而被入侵攻擊，有的是因所使用之密碼演算法有弱點而受被破解，有的是因資料儲存裝置無身分鑑別與存取控制而被側錄盜拷，有的是因程式設計缺失而受阻絕服務(Denial of Service, DoS)攻擊，有的是因資訊系統或公司之資安管理制度之不健全而資料被洩密或盜售。由於社會的電子化，日常工作與生活愈來愈依賴資通訊系統，因此資訊安全事件的發生，在在影響到一般人生活，以及威脅企業的正常營運。

網路帶動企業及政府快速e化，使得資安問題不斷發燒中
誠如上述，資安事件發生的原因很多，但當企業驚傳資料外洩事件時，目前大部分問題仍是在於，對內部人員之資安管理面上出現漏洞。隨著企業資訊化程度的提升，企業營運所繫之電腦網路系統也愈來愈龐雜，這也方便外部病毒或駭客之入侵、內部不肖員工之惡搞。在彈指間，公司之資訊系統有可能遭受電腦病毒攻擊而癱瘓，或公司之商業秘密資料有可能遭受竊取而經由網路或電郵(email)外洩。這讓企業警覺到，資安事件之影響可能很大很深遠，甚至可能動搖到企業之生存。這也因此帶動企業的資安需求，讓企業開始重視資安管理、風險評鑑、和急難應變。

企業在這種資安事件頻傳之環境中，要如何因應？長庚大學電機工程學系副教授邱榮輝建議：企業首先應評估了解並訂定，公司之資訊安全政策，以宣示公司對各類資產之安全控管原則；再依此資訊安全政策，檢討擬訂電腦網路系統與各種公司作業及資料的資訊安全需求；接著，依此安全需求擬定公司之資訊安全管理制度及其作業規範。邱榮輝表示，企業在規劃建置公司之資通訊系統與資訊安全管理制度時，可參考中華民國國家標準 CNS 17799資訊技術－安全技術－資訊安全管理之作業規範與 CNS 27001資訊技術－安全技術－資訊安全管理系統－要求事項。這兩個標準是提供企業一套完整的資訊安全的管理機制，讓企業在導入後，可進一步降低因內外在威脅而造成的資安風險與公司損失，以防範未然。透過建置此套資訊安全管理制度，可提升企業重要資源與資料的可用性、完整性與機密性。

CNS 17799、CNS 17800就是一套資安國際認證標準
CNS 17799 是國際資訊安全管理標準BS 7799 與ISO 17799 之中文化標準。BS 7799是英國標準協會(British Standards Institution, BSI)之資訊安全管理標準，被ISO (International Organization for Standardization) 接納成為國際之資訊安全管理標準。BS7799 Part1被轉編為 ISO 17799：Information technology - Security techniques - Code of practice for information security management，BS7799 Part2被轉編為 ISO 27001： Information technology - Security techniques - Information security management systems - Requirements。經濟部標準檢驗局參考ISO17799 制定CNS 17799資訊技術－安全技術－資訊安全管理之作業規範標準；參考ISO 27001 制定CNS 27001資訊技術－安全技術－資訊安全管理系統－要求事項標準。CNS 17799是資訊安全管理之參考規範，內容包含11大管控項目（包括：安全政策、安全組織、資產分類與控制、人力資源安全、實體與環境安全、通訊與作業管理、存取控制、資訊系統之獲得發展與維護、資安事故管理、營運持續管理、遵循與稽核）、39個管控目標、133個管控措施。CNS 27001是資訊安全管理之驗證規範，依個別企業之不同需求，調整其所需之管控措施，並據以審查驗證該企業是否符合CNS 17799之資訊安全管理規範。

藉由標準，企業能更了解自身，透過管理可在安全與效率中取得平衡
邱榮輝副教授建議：企業要實施CNS 17799之資訊安全管理規範，應掌握 PDCA (Plan-Do-Check-Act)之原則，持續經由規劃（Plan）、執行（Do）、檢核（Check）、行動（Act）模式，循環改善公司之資訊安全管理。邱教授也提醒，安全是全面性之問題。譬如，公司之商業機密資料是使用最高安全等級之密碼演算法保護，但若其加解密之鑰匙未保管好，則也枉然。因為資訊安全需全面性之管理，任何一個環節出現問題，資安攻擊可能會隨之而至。而要資訊安全管理能面面兼顧，且要持續改善，確實是需要投入相當多之心力。邱教授也表示，資訊系統之安全防護是相對的，企業需評量的是，所要保護之資源的價值性多高，如此才能衡量需要安全等級多高之資安系統來防護與管理。同時，也需考量資通訊系統之安全防護性與使用效率性是相互衝突的，系統安全要求越嚴，其效率與便利性就越低。這對重視效率之企業而言，這是兩難的取捨。

如何兼顧資通訊系統之安全性與效率性？邱榮輝教授建議：企業宜針對所有之資產，評估其重要性及其相對之安全需求。在考量所需之安全性與效率性下，規劃其相對應之資安管理規範。為了彌補因公司運作效率之需求而犧牲之安全性，因不可能面面兼顧所產生之資安缺失，以及無法預期之系統潛在漏洞或意外資安事故，資安管理系統應有風險評鑑管理、以及危機應變處理之規劃設計，即定期分析評估資通訊系統的可能脆弱點與其威脅，建立資訊安全風險項目與其評等，規劃與落實降低風險之管控措施。邱榮輝認為，經由適當之風險評鑑管理，可讓資通訊系統，在所設計之安全性需求下，不但可提供企業所需之系統效率，也能將資安風險降低到可接受的範圍內。

CNS 17799 資訊安全管理系統雖然涵蓋之資安議題廣泛，但主要是著重於管理面的資安需求，而不著重在技術面的專業知識。這是否會影響所管理之資通訊系統之安全性？-邱榮輝副教授表示，CNS 17799 雖只著重於管理面，但這並不會影響所規劃建置之資訊系統的安全性。好比，公司依業務管理需求之不同，採購不同等級之汽車、機車供員工使用。雖然公司員工並無製作汽機車之專業技術，但在適當之維護管理機制下，該等汽機車應能發揮其應有之功能。同理，在 CNS 17799資訊安全管理系統之管控下，硬體設備之建置、軟體程式之開發，皆可委外處理。邱榮輝說，依循CNS 17799規範，定期進行資安系統之規劃驗收、控制措施之流程管理、持續運作之稽核改善，公司之資訊系統應能達到所規劃之安全等級與可接受之風險目標。

CNS有關資安標準之發布相當快速，且內容完整又豐富
邱榮輝副教授陳述，我國之資通安全標準，原則上是參照ISO國際標準而制定。目前ISO正計畫仿照ISO 9000品質管理系列標準，將所有資訊安全管理系統的系列標準規劃如下：
�{ ISO 27000 Principles and vocabulary
�{ ISO 27001 ISMS Requirements
�{ ISO 27002 (即目前之ISO 17799:2005)
�{ ISO 27003 ISMS Risk management
�{ ISO 27004 ISMS Metrics and measurement
�{ ISO 27005 ISMS Implementation guidelines
�{ ISO 27006-27010(保留未來發展用)
未來，標檢局應會比照持續制定 CNS 27000-27005之資訊安全管理系列標準。由此可知，政府或企業在資訊安全管理方面，遵循並導入CNS27000系列標準，應能獲得齊全與完善資訊安全管理規範。故企業導入CNS 27000之資訊安全管理系列標準規範，應能提供的必要性，

邱榮輝副教授強調，雖然上述內容只著重於介紹CNS 17799與CNS27001資訊安全管理標準，但CNS有關資訊安全之標準還很多。譬如，
有關鑑別(Authentication)之標準
CNS 13789資訊技術─安全技術─實體鑑別機制
有關數位簽章(Digital Signature)之標準
CNS-14105資訊技術–安全技術–雜湊函數
CNS-14510資訊技術-安全技術-不可否認性
CNS-14563資訊技術－安全技術－具訊息回復的數位簽章方案
CNS-14629資訊技術─安全技術─具附件之數位簽章
有關網路安全(Network Security)之標準
CNS-14992資訊技術－安全技術－資訊技術入侵偵測框架
有關金鑰管理(Key Management)之標準
CNS-14379銀行業－使用非對稱演算法的金鑰管理
CNS-14380銀行業－零售式金鑰管理
CNS-14381資訊技術－安全技術－金鑰管理
有關金融安全(Financial Security)之標準
CNS-13798銀行業–個人識別碼管理與安全
CNS-13936金融交易卡–使用ＩＣ卡的金融交易系統下的安全架構
CNS-14644銀行及相關金融服務業─資訊安全指引
CNS-14770銀行業－零售式安全密碼裝置
有關資安管理(Information Security Management)之標準
CNS-14731資訊安全管理系統驗證/登錄機構之認證指引
CNS-14929資訊技術－資訊技術安全管理指導綱要
CNS-17799資訊技術－安全技術－資訊安全管理之作業規範
CNS-27001資訊技術－安全技術－資訊安全管理系統－要求事項
有關安全檢測(Security Evaluation)之標準
CNS-15408資訊技術－安全技術－資訊技術安全評估準則

CNS之字字斟酌，精準度甚可凌駕其他國際資安標準
因為邱榮輝副教授是標檢局資通訊國家標準審查委員之一，基於多年來參與資通訊標準之審查經驗，他表示，CNS的標準大都為ISO、ITU等國際標準之中文標準，而標檢局在訂定CNS的標準過程中，對內容之正確與達意，要求非常高，可說是用『字字斟酌』的方式來制定標準內容。特別是近年來許多標準文件的翻譯，是由具有專業背景之產官學界人士擔當，在CNS的標準制訂過程中，能發現並更正原文標準之內容錯誤，這讓CNS的標準更能值得大家之信任。

資訊安全標準與其他標準一樣，並無強制性，但這是企業要建構其資通訊統及管理此系統之參考依據，也是企業在資訊安全管理及其產品上之品質指標。企業導入CNS的國家標準規範，可具有同等於符合國際標準之品質標示。邱榮輝副教授表示，雖然實務上並無絕對安全之標準規範，但企業若能遵循CNS的資訊安全相關標準規範，透過標準制度與控制措施的協助，應可避免許多不可預期的資安事件發生，可降低員工失誤洩漏、駭客入侵或病毒攻擊之損失與風險，讓企業的資訊安全防護更加完善。不論企業或個人，若能遵循CNS 27001之PDCA (Plan-Do-Check-Act)持續改善之方法，身體力行，則未來將受用不盡。