行政院資通安全辦公室副主任吳啟文表示,新的政府機關資安分級,只提供分級原則,不公布個別部會資安等級。
圖片來源: 

iThome

負責政府資安政策規畫的幕僚單位行政院資通安全辦公室副主任吳啟文日前表示,政府機關的資安分級制度從2009年制定後,都沒有修正調整,而在今年3月底,各政府機關從原本四級制改成三級制的新資安等級的分級,各機關部會已經公布,4月送交行政院覈核做最後定案。不過,基於國家安全的考量,並不會對外公布各個等級的機關名稱,只會對外揭露分級原則。此外,他說,為了推動資安治理,預計在今年下半年推動評估組織資安治理能力的成熟度評估機制。

將機關單位的資安分級,從原本4級改為新版3級

吳啟文表示,除了APT攻擊是政府最常面對的資安威脅之外,包括DDoS的應變以及傀儡網路的阻斷,都是目前政府亟需面對的資安風險。而就資通安全辦公室過去的經驗,只要是在政府機關中所發現的新型態惡意程式,目前各家防毒軟體對相關惡意程式的偵測率,平均為2~4成。也因此,面對APT攻擊和各種惡意程式,都必須採用多層次防禦方式,才能透過層層攔阻、確保網機關安全。

但他也說,目前相關的資安威脅已經在其他重要的產業發現類似攻擊手法,更令人擔心的是,關鍵資訊基礎設施(CIIP)遭到攻擊後,造成實體和虛擬損失的風險驟增。若區分受駭者的不同,吳啟文指出,網路犯罪型的APT攻擊會利用行動裝置和雲端運算的弱點,竊取個人隱私資料,進一步影響電子商務及金融運作;若是國家型的APT攻擊,目前駭客經常攻擊與政府有往來的合約承包商,而且這樣的現象,迄今仍未見緩和。

因為資安威脅越形多樣化,吳啟文表示,政府為了提升機關單位的資安意識與防護能力,在今年1月公布「政府機關(構)資通安全責任等級分級作業規定」,各機關依照新的規定,先自行評定新的資安等級,並已經於3月底將新的資安分級送交行政院,預計4月完成名單的覆核,若沒問題,就會按照新的分級分類執行相關的資安防護措施。

他強調,新的資安等級從原本4級區分成3級,而機關分類時很重要的評估關鍵在於,機關單位是否擁有重要的資訊系統和資料,如果有的話,資安等級就會越高。

吳啟文指出,因應資安分級而提出的政府機關資安應辦事項中,也從政策面、管理面、技術面以及認知與訓練等四個面向有所規範。其中,政策面已經很清楚訂出,在2015年底,完成資訊系統分級;預計2016年底前,完成資訊系統資安防護基準要求。至於管理面,就A級單位而言,必須在2016年底前,將全部核心資訊系統導入資安管理制度(ISMS),就是希望改善現有A級機關導入ISO 27001時,為了順利通過驗證,而只將驗證範圍縮小到單一系統,讓ISO 27001徒具形式的現象。

在技術面,吳啟文表示,A級機關都必須在今年年底前,完成SOC(資安監控中心),B級機關則是明年底完成。除此之外,資通安全辦公室為了改善機關單位在開發時,就已經落實Privacy by Design的概念,除了要求A級機關每年至少辦理2次網站安全弱點檢測外,也必須至少辦理1次系統滲透測試、1次資安健診;在進行程式或是App開發時,更應該一開始就導入SDLC(軟體生命周期)概念,讓開發出來的系統或App,預設就已經具備足夠的安全性。

制定成熟度分析模型,評估組織資安治理能力

各機關單位的資訊系統將依據「資訊系統分級與資安防護基準作業規定」,評量系統適用的等級,確認資訊系統高、中、低三級制外,也必須依照依照等級,執行資安防護基準。吳啟文表示,目前的資訊系統分級分類主要是依照C(機密性)I(完整性)A(可用性)以及搭配法規,作為資訊系統分級參考,但在新的資安健別機置中,則依照「資料保護」、「業務運作」、「法律規章」、「人員傷亡」、「組織信譽」和「其他」,作為評估個資訊類別的衝擊,並且會將資訊類別安全等級最高者,作為該資訊系統的安全等級。

他指出,政府機關規畫資安治理正在進行一個成熟度規畫,外部參考資安治理或框架分析,例如ISO 27991,或者是COBIT資安治理框架分析,基本的資安成熟度規畫,已經有4個面向和18個流程構面。「這個成熟度分析,則是更具體反應政府現況。」他說。

成熟度分析參考ISO 15504-7,用以評估組織資安治理能力的成熟度,總共分成5個等級,第一級基礎型,表示相關流程構面執行結果可達到設定的目的,並且可以支持組織的業務;第二級管理型,表示相關流程構面已經進行管理,包含:規畫、執行與監督的過程,並於檢討會採取適當的行動方案;第三級為制度化型,必須有效地定義和佈署標準化流程,使其成為常規作業,蒐集與分析流程構相關數據,作為改善依據。

第四級為可預測型,依照目標定義相關流程構面的量化指標,蒐集與分析相關數據,並持續進行矯正預防改善,以確保流程持續且穩定的績效表現。第五級則是創新型,依據數據分析結果,評估可能改善方案,或透過識別創新應用、技術、新的機會,或者是潛在風險、強化或優化個流程構面。吳啟文表示,這個成熟度模型已經訂出來,計在今年中針對成熟度模型做教育訓練,年底試推與修正調整。

熱門新聞

Advertisement