宜蘭縣教育局資網中心跑第一

宜蘭縣教育局資訊網路中心，繼開發完成教育資訊入口服務網（Education Information Portal，EIP）後，日前又建置完成資訊安全管理系統（Information Security Management System，ISMS），導入並取得BS7799-Part 2：2002認證，成為第一個導入並取得認證的C級政府單位。

2001年成立，負責政府資訊安全的「國家資通安全會報」將全國3713個政府機構依照重要性分成A、B、C、D四級，以建立不同程度的資訊安全防護。國家資通安全會報的計畫下，全國政府機關將進行分級。其中A級單位與金融局跨行交易、健保IC金鑰管理等20個民生重大系統，必須在93年底以前通過CNS17800／BS7799-2驗證。

宜蘭縣教育局資訊網路中心從2004年5月開始導入，到12月以196天取得認證，實際負責導入與建置的執行秘書夏明義表示，攻擊手法與技術日新月異，政府網站一向是駭客的主要目標，以及全縣師生、教育工作人員的重要身分學籍資料庫，在系統安全性上必須加強。再加上自行開發的EIP核心系統發展到3.0版，成熟與穩定度提升，比較有自信心。

「尤其是現在市面上的資安產品眾多，究竟需要建立怎樣的資安架構？採購哪些安全設備？要不要做異地備援？突然斷電時該怎麼處理？誰來處理？資訊主管通常都感到無所適從，包括系統管理、機房的設備規畫，像是空調、消防設施、保全系統、電力備援等等，BS7799提供了制度規範與管理標準。」夏明義接著指出。

其實該單位當初也可以只導入、不認證，但是後來還是決定，既然確定要做，就以取得認證為目標，讓組織內所有同仁有更高的參與感、認同感與榮譽感。不然對於同仁而言只是顧問來上上課，大可以置身事外。

導入初期其實並不順利，去年10月初提出第一次預評時，除了有13條以上的缺失，只有1％符合BS7799要求，其中高達88％的作業程序沒有標準化與文件化，當時的確大受打擊。最後在短短的26天內雷厲風行，到10月底只剩下1項缺失，12月底正式取得認證。

並不是取得認證就沒事了，在證照的有效期3年之內，每半年英國標準協會（BSI）都會派員抽查一次，以當初驗證最弱的一環開始，而認證單位必須自付複查費。至於如何選擇管理顧問公司？夏明義則是披露：「預算有限，又要求人員駐點3個月，願意接受的公司並不多。」