基於內容管理系統的資訊安全標準導入輔助系統 / A Content Management System Based Assistant for Implementing ISO Information Security Standard

彭應武, Peng, Ying-Wu

Unknown Date

隨著資訊科技日益普及，近年來資安事件仍層出不窮。行政院國家資通安全會報於94年5月，訂定「政府機關(構)資訊安全責任等級分級作業實施計畫」，針對各種資訊安全的潛在威脅，提出以建立管理機制並配合技術支援服務的方式，期能有效防護資訊資產，提昇資訊安全。其中管理面的具體措施為建構「資訊安全管理系統」（ISMS, Information Security Management System），並規範列屬資安責任等級為A或B級之機關，應在規定之期限內通過由第三方(third party)公正機構驗證符合資訊安全國際標準。根據行政院科技顧問組針對A、B級機關在2008年進行資安責任等級應辦事項調查顯示，B級機關在資安認證達成率只有43%，可見通過資安認證有其困難性。 本研究依據已通過資安認證的機關的經驗分享文獻，分析歸納導入ISMS所可能遭遇的主要問題，從而主張可以採用內容管理系統(CMS, Content Management System)的平台來協助組織導入ISMS。Drupal是一套結構簡單且具高擴展性模組化的開放源碼內容管理系統，不僅容易在其平台上建立客製化的應用系統，且有大量的社群可提供技術支援，故本研採用Drupal建置輔助系統，方便組織在導入符合國際標準的ISMS(如ISO 27001)時，可以集中管理各類相關資訊，評定資產價值，計算風險值，並提供組織申請ISO驗證時作為部份佐證資料的集中管理。 / As information technology is widely used in our daily work and life, incidents of information security also occurs from time to time. In May of 2005, the National Information & Communication Security Taskforce of R.O.C. instituted “The operational plan for classifying the information security duty grade of the government agencies”. The plan demands government agencies to establish technological support services along with management mechanisms for all potential security threats to provide effective information security management. In addition, all agencies whose security grade belongs to the A or B levels must pass the third party certification for ISO Information Security Standard within a specific deadline. However, as shown in the investigation report released by the government technology advisors in 2008, the achievement rate for information security certification on grade B government agencies is only 43%. Therefore, it is perceived that there are some difficulties in passing the information security certification This thesis analyzes and summarizes the main difficulties that organizations may encounter when establishing an ISMS by following the international IS standard ISO 27001. The analysis results show that document management is a key issue. Therefore, we claim that a content management platform is a good foundation to build an assistant for an organization to establish its ISMS. To demonstrate our proposal, we choose the open source content management platform, Drupal, to set up such an assistant. By fully utilizing the simpler yet extensible structures provided Drupal, we build up an assistant system that facilitates an organization to manage all related documents centrally, to assess asset values and calculate risk values by following the ISO 27001 information security international standard. These facilities will give the organization a very strong evidence of employing a centralized information security management system when applying for ISO certification

內容管理系統

資訊安全管理系統

CMS

ISMS

ISO 27001

Drupal

戶政資訊安全管理機制之研究-以新北市戶政機關為例 / The study of residence administration information security management:the case of household registration office,New Taipei City

蔡玫娟

Unknown Date

戶政機關所掌管個人自出生到死亡之機敏隱私戶籍記錄資料，為一切行政措施的基礎資訊，並與人民權益相關，在現今已全面電腦化，並透過資訊系統加以蒐集、使用、管理與流通之過程中，僅依現行法令規章及內政部制訂之系統安全管理規範似不足以確保個資之安全性，且無法完全防杜個資之外洩，造成民眾人身安全威脅與權益受損之風險。 面對個資保護等相關法制之推行及行政院於2009年1月訂頒「國家資通訊安全發展方案〈2009-2012年〉」之願景目標，新北市政府民政局預見其重要性並率先配合辦理，期為該市戶政機關建構一優質資安環境，於2011年6月份起擇轄內三重區戶政事務所導入資訊安全管理系統及中和區戶政事務所建置個資安全管理機制；本研究以上述兩戶政機關為個案，經由資訊安全管理觀點透過質性研究方式，深入探討戶政機關於資訊〈個資〉安全之相關實務管理問題，提出資訊〈個資〉安全管理重點與建議，以供新北市政府民政局未來規劃所轄戶政機關資訊安全管理之參據。 本研究歸結出新北市戶政機關資安管理現況問題，其分別為：一、新北市戶政機關普遍缺乏資訊專業人員與知能；二、新北市無訂定全市戶政機關戶政資訊管理規範；三、新北市戶政機關資訊安全編組及職掌疊床架屋；四、新北市戶政機關欠缺風險管理及評鑑執行能力；五、新北市戶政資訊稽核機制未完備且無專業稽核人員。 針對上述研究發現，本研究建議新北市政府民政局參照內政部規範之戶役政資訊系統安全防護需求，依據ISO 27001及個人資料保護法之規範，統籌律訂新北市各區戶政事務所資訊安全編組、風險管理及稽核機制，建立一套以落實資訊安全管理為目的，明確、有效、易於遵循之規範原則，供所屬戶政機關予以遵循，並透過教育訓練加強相關人員專業知能及執行能力，最後藉PDCA循環模型之作法，強化及落實個資保護目標。

ISO 27001

資訊安全管理系統

個人資料保護法

ISMS與PIMS整合導入之研究 -以國防部全球資訊網站系統為例 / Research on Importing and Integration of ISMS and PIMS – A Case Study of the World Wide Web for Military of National Defense, Taiwan, R.O.C

孫天貴, Sun, Tien Kuei

Unknown Date

隨著資訊科技的蓬勃發展，資訊技術可以提昇組織效率與競爭力，資訊系統或網站亦是組織營運重要命脈。而在近年來全球資訊安全事件不斷發生，資訊犯罪手法不斷翻新，所肇生的系統損害、資料毀損、個資外洩、財務詐騙事件近來更是層出不窮，對單位或公司而言風險不斷提高，傷害亦相對嚴重，甚至導致公司信譽破產，面臨倒閉威脅，為保護組織內部資訊相關資產與個人資料，並保持組織持續正常運作，資訊安全管理系統（ISMS）與個人資訊管理系統 (PIMS)便是一套可有效控制管理之方法；ISMS與PIMS分兩次來導入，造成組織增加工作負荷，有疊床架屋情形，成本有部分重複投資現象。本研究試著以資料的生命週期，資訊安全的機密性、完整性、可用性，PDCA運作模型...等角度進行本質上探討，來進行整合ISMS與PIMS的整合工作。 經文獻探討與專家學者建議，本研究突破各項盲點，從各角度分析進行多面向整合工作，並提出4點可有效整合具體作法：1. 清查作業流程須包含個人資料所延伸之流程。2. 進行作業流程上資訊資產及個資清查作業。3. 資訊資產及個人資料風險評鑑作業。4. 建立ISMS與PIMS四階文件，產出ISO27001適用性聲明須包含個資法。 本研究以國防部網站系統為例，運用整合結果進行實作，將實作經驗分享給未來有意導入ISMS與PIMS之IT人員，實作結果也證實本研究提出論點確實有效，更有效且更有邏輯性的面對各種資安與個資問題，以作業流程面來分析資安與個資，讓每個控制點更加明確，最後實作運用以各國均能接受的ISO標準(ISO 27001標準包含個資管理流程)來驗證本實作，也證明本研究整合後，在實施（Plan-Do-Check-Act）管理系統確實有效，均能符合相關標準與法規。

資訊安全管理系統(ISMS)

個人資料管理系統(PIMS)

MSS

個人資料保護法

ISO27001

TPIPAS

BS10012