如何做好資訊作業委外安全管理 - mjib.gov.tw · 1....
TRANSCRIPT
清流月刊中華民國九十八年中華民國九十八年五五 月號月號
論述 大陸透視 法令天地 資通安全 科技新知 健康生活 生態保育 文與藝 友善校園、快樂學習 其他
業務可以委外,責任不能委外,採購作業各階段流程,務必採取安全控制措施。
如何做好資訊作業委外安全管理如何做好資訊作業委外安全管理
◎ 鍾榮翰
壹、電子郵件的黑暗面壹、電子郵件的黑暗面
我國政府機關為加速業務電腦化及網路化、提升資訊作業效率及品質、促進資源整合共用、節省成本、帶動資訊工業發展,自民國87年起推動機關
資訊業務委外作業,大幅提升我政府電子化之水準,於2002、2004、2005年相繼奪魁,並於198個國家中獲評比為世界第一,顯示我國電子化政府網路
服務的成果,已受到國際的肯定。
然隨著電子化程度之提升,資訊安全益形重要,加以個人隱私保護觀念逐漸獲得重視,委外作業之安全管理,遂成為重要之議題。行政院研考會為
強化各級政府機關之資訊作業委外安全管理,遂責成行政院國家資通安全會報技術服務中心(以下簡稱技服中心),編撰「政府資訊作業委外安全參考指
引」以供參考。
貳、委外之定義貳、委外之定義
係指各機關以全部出資、部分出資、民間自行出資或民營化等方式,委託廠商提供執行機關業務及服務所需的軟體、硬體、通信、人力、訓練、顧
問諮詢、專案管理、設施管理、營運管理、業務推廣及品質保證等各種資訊服務。資訊委外服務之範疇包含三大類:
一、政府一般資訊業務
含設備汰舊換新、程式設計、系統管理、硬體操作、軟體開發與維護、資料庫建置、資料處理、硬體維護、網路管理、機器操作與維護、機房設
施管理、備援服務等例行性工作。
二、政府資訊應用業務
具特定功能系統,單一機關可提供或需結合一個以上機關整合運作,其範圍含整體規劃、流程再造、顧問諮詢,及系統之分析、設計、整合與訓
練推廣等。
三、其他適合委外之資訊業務
如客服中心(Call Center)、軟硬體驗證檢測服務及網路安全服務等。另可將上述三類委外範疇綜整區分為三種委外作業型態,分別為:顧問訓練類、
系統發展類、維運管理類,詳細分類請參閱政府資訊作業委外安全參考指引。
圖1 採購階段資安管控流程圖
參、委外服務資安策略參、委外服務資安策略
前述委外作為依據其範疇或作業型態而有不同之區分,然最終委外案將以符合政府採購法規定之採購案件執行,故政府資訊業務委外應建立事前
規劃、事中招標、事後執行之維運機制,並妥善規劃服務移轉事宜,納入合約進行,以確保服務之延續;各機關應依施政業務實際需要,制訂委外服
務策略,以符合資安原則。
肆、委外作業資安要求肆、委外作業資安要求
技服中心編定政府資訊作業委外安全參考指引,供各級政府機關(構)參考,其內容係依據「政府採購法」以「計畫作業」、「招標」、「決
標」、「履約管理」、「驗收」、「爭議處理」等各階段作業流程,參照各項法令及資安管理標準與規範之安全要求,提供各項控制措施建議,以確
保資訊作業委外安全無虞,詳見前頁圖1所示。
伍、採購各階段應注意事項伍、採購各階段應注意事項
為使讀者更加了解,將採購過程之資安要求,依採購的重點階段流程摘要說明如下:
一、計畫作業階段
機關於辦理委外資訊作業時,契約文件為要求廠商專案執行履約管理階段之依據,撰擬合宜與否為專案資訊安全執行成效之核心,故規劃時應注
意置重點於徵求建議書文件(Request For Proposal,RFP)、委外契約書及服務水準協定(Service Level Agreement,SLA),宜謹慎訂定相關規範要求或要求投標廠
商於投標建議書中提出相對應作法。相關執行要求重點如下:
1. 適當限制規劃、諮詢、稽核、驗證業者不得參加後續專案之承包。
2. 所製作之「徵求建議書文件」規格對於資安相關要求事項與專案預算規模之搭配適當性。
3. 適切訂定承商評選之資安相關要求事項。
4. 設計及鑑別資安相關措施評選方法與程序,評選委員代表性及對評選委員人選之保密措施。
5. 明示承商必須遵守個資法之要求與相關義務及責任。
6. 承商資金來源與委外工作地區(點)是否需要限制。
7. 承商參與專案的人員中,必須擁有一定之資安專業證照數目,或公司已通過ISMS之認證。
8. 廠商建議之資訊安全防護計畫與措施
9. 訂定驗證項目,以鑑定資安服務水準。
10. 建立委外廠商駐點人員管理計畫。
11. 建立委外服務驗收或稽核服務之管理程序。
12. 提供委外人員服務異動時,承商應訂定與積極處置作為。例如:承商參與本專案人員安全管理與教育訓練之具體作法及人員安全查核(含僱用
前、僱用中、結束僱用或改變職務)。
13. 任何新應用程式和系統的開發。例如:本專案相關之電腦系統安全管理上之具體作法(含電腦病毒、惡意軟體及可攜性程式之防範;軟體複製的
控制;資料及軟體交換之安全管理)。
有關徵求建議書文件內容建議如表─ 1所示。
表1 徵求建議書文件內容大綱
二、決標階段
決標階段之重點為與廠商簽約作業,簽約行為重點於查核廠商是否完成保密切結與完成資安專案編組等事宜。例如:承商在簽約前須依據招標文
件之規定,提出各項保密切結並依規定制訂保密或資訊安全防護計畫、廠商專案組織人員之遴選與質量需考量重新調整,並賦予適當職掌,以利承辦
單位依據合約執行各項查核,並做成紀錄。
三、履約管理階段
履約管理階段為執行契約規劃項目,並找出納入資訊委外服務契約的資訊安全控制措施不符合處,而依契約監督和審查承商所提供之服務,要求
重點如下:
1. 承商應遵守的資訊安全規範及標準,及如何評鑑承商是否遵守資訊安全之衡量標準與評估作業程序。
2. 承商如何處理及通報資訊安全事件的責任與作業程序。
3. 承商提供之服務無法達到所簽訂的服務水準時的違約罰則。
4. 描述當任何一方終止服務時,應遵循的處理程序,或於約定的期限內,將機關(構)存在於承商處的資料或設備,移轉給機關(構)或協助後續承商
的交接工作。
5. 承商如何配合執行機關(構)之業務永續運作計畫。
6. 監督服務效能的標準是否符合協議要求。
7. 審查承商產生的報告,並按照協議要求定期安排會議行程。
8. 機關(構)提供資訊安全事件的資訊,由承商和機關(構)審查這些資訊。
9. 審查承商對於安全事件、操作問題、錯誤的稽核存底與紀錄。
四、驗收階段
機關執行「驗收階段」係依據契約文件及「履約管理」階段的執行成果辦理,以「專案工作計畫書」內容確認委外專案之進行方式、專案組織、
相關時程及資訊安全要求事項是否符合,而委外廠商也須將定期召開工作之進度報告會議內容,如應完成重要工作項目、已完成工作項目、預計工作
項目、問題與建議等,提供驗收單位佐證。
陸、結論陸、結論
政府機關保有大量人民相關權益與隱私有關之個人資料,惟依據國外之研究報告顯示,政府機關往往也是個資外洩之主要管道之一,因此,對於
資訊安全要求無論是機關首長、單位主管、資訊人員、採購承辦及政風監察等人員均應有相同之認知與責任,正所謂「業務可以委外,責任不能委
外」,務必由採購作業之各階段流程,採取必要之安全控制措施;尤其是在「計畫作業」階段,務必在RFP中謹慎訂定相關規範要求,或要求投標廠商
於投標建議書中提出相對應作法,並列為重點評選項目,決標後便可將廠商之建議書,修訂成工作計畫書,列為合約之附件,並落實履約管理,確實
防範機關所保有之機密文件或個資外洩,以維機關信譽。
柒、參考文獻柒、參考文獻
1. 行政院所屬各機關資訊業務委外服務作業參考原則,民國91 年11 月8 日行政院授研訊字第0910023766 號函頒實施。
2. 行政院研考會,政府資訊作業委外安全參考指引,民國97年2月。
(作者現任國家資通安全會報技術服務中心顧問)(作者現任國家資通安全會報技術服務中心顧問)
▲Top
清流月刊中華民國九十八年中華民國九十八年五五 月號月號
論述 大陸透視 法令天地 資通安全 科技新知 健康生活 生態保育 文與藝 友善校園、快樂學習 其他
政府機構保有大量人民相關權益與隱私有關之個人資料,研究報告顯示,政府機關往往也是個資外洩主要管道之一。
政府資訊作業委外安全導入經驗分享政府資訊作業委外安全導入經驗分享
◎鍾榮翰
壹、緒論壹、緒論
行政院研考會為強化各級政府機關之資訊作業委外安全管理,乃責成行政院國家資通安全會報技術服務中心於民國94年編撰「政府資訊作業委外
安全參考指引」,以供各級政府機關參考;復於96年度選定部分政府機關進行實務導入作業,以評估參考指引文件之適用性與有效性。
本次個案選定○○部資訊單位,以「96年度電腦設備委外維護案」及規劃辦理中之「97年度電腦設備委外維護案」作為導入標的,針對「96年度電
腦設備委外維護案」之「履約管理」階段作業進行實務訪查,並對96年度維護案之徵求建議書文件(RFP)、採購契約書、維護紀錄等文件進行書面審
查;依據「政府資訊作業委外安全指引」建議事項,以強化「97年度電腦設備委外維護案」之委外相關資安要求作為。
貳、參考指引審查方法論貳、參考指引審查方法論
技術服務中心於發展相關安全參考指引之過程,亦曾於行政院研考會進行雛形導入驗證作業,惟因欠缺相關審查方法,造成導入過程相關之指引
文件編撰者與導入機關及評鑑者之見解不一,以致成效難以衡量,故隨後發展參考指引審查方法論,以律定導入程序及評鑑方法。原設計之目的主要
用以審查文件之適用與有效,然與機關之導入流程一致,故加以簡述以供有意進行實務導入作業之機關參考。
整體審查流程共分成「1.開始」、「2.文件審查」、「3.機關導入前資安現況調查」、「4.參考指引導入」、「5.機關導入後資安程度調查」、「6.
參考指引導入前後分析」與「7.結案」等7個階段。本次導入經驗分享個案,主要運用「審查方法論」中的「Type-2實地審查」的階段程序,來進行安全
參考指引在「導入機關」的審查程序。
參、機關背景說明參、機關背景說明
指引導入個案○○組負責部本部各單位資訊軟硬體、伺服器設備平台、網路設施及作業人員個人電腦印表機等規劃、管理及維護作業,編組計有
組長及組員若干人,平時支援資訊單位各組任務之遂行,業務頗為繁重。近年來由於資安議題廣受重視,該組成員除配合進行各項內部設備管控,並
持續強化各項資安作為;另為有效推動資訊各項服務,提升機關作業效率,自91年起即配合行政院委外政策,將電腦設備維護改採委商作業,目前維
護各項作業均依契約及機關之內部程序實施,無因委外產生重大違反資安情事。
肆、「參考指引導入」重點摘要肆、「參考指引導入」重點摘要
一、「計畫作業階段」
透過前置作業、文件審查及資安成熟度評量的結果,導入顧問與該資訊單位共同研討「計畫作業階段」的導入,詳見次頁圖1所示,並運用「政府
資訊作業委外安全參考指引」所提及的實施要點,進行本階段的導入作業,要點詳見次頁表1所示。
圖1 計畫作業階段重點
表1 「計畫作業階段」導入要點
二、「履約管理階段」
履約管理階段為執行契約規劃項目,找出納入委外服務契約的資訊安全事項,並依契約監督和審查承商提供的服務安控措施,重點如下:
1. 應經機關(構)核准始得執行的事項。
2. 承商如何配合執行機關(構)業務永續運作計畫。
3. 承商應遵守的資訊安全規範及標準,及如何評鑑承商是否遵守資訊安全之衡量標準與評估作業程序。
4. 承商如何處理及通報資訊安全事件的責任與作業程序。
5. 承商所提供的服務無法達到所簽訂之服務水準時的違約罰則。
6. 描述當任何一方終止服務時,應遵循的處理程序;或於約定的期限內,將機關(構)存在於承商處的資料或設備,移轉給機關(構)或協助後續承商
的交接工作。
7. 監督服務效能標準是否符合協議要求。
8. 審查承商產生的報告,並按照協議要求定期安排會議行程。
9. 機關(構)提供資訊安全事件的資訊,由承商和機關(構)審查這些資訊。
10. 審查承商對於安全事件、操作問題、錯誤的稽核存底與紀錄。
11. 確認承商已解決並管制所有已知之問題。
本「履約管理」階段的導入重點詳見圖2,細部要點詳如表2所示。
表2 「履約管理階段」導入要點
伍、「參考指引導入前後分析」伍、「參考指引導入前後分析」
本指引導入後,該資訊單位針對原先未符合安全的控制措施,強化了11項控制措施後,將「人力資源安全(PS)」、「實體與環境安全(PE)」、「認
知和訓練(AT)」、「系統與資訊整合(SI)」、「識別與鑑別(IA)」此5個類別提升至L5等級;其中「組態管理(CM)」、「存取控制(AC)」2類提升至L4等
級。
另分析控制措施達成率,從導入前的54項(達成率73%),提升至導入後的68項(達成率91.9%)。導入後該資訊單位的資安成熟度更為提高,呈現出導
入資訊單位對於資訊作業委外安全管理的完備性。
陸、導入機關改善建議陸、導入機關改善建議
由於本次導入個案之「電腦設備委外維護案」係屬勞務採購性質,並未討論資訊軟硬體系統開發獲得等議題,關於本計畫對於導入機關提出以下
建議:
1. 徵求建議書文件(RFP)及委外契約書於作業階段前需詳盡說明雙方權利與義務,如機關無法確實描述各項資安管控作法時,建議由承商提出工作
計畫建議書以為因應。
2. 委外契約文件內容須要求承商配合機關內部各項資訊作業程序及規範辦理,並完成同意簽署。
3. 對於委外人員使用之可攜式媒體應訂定管制程序並落實管理。
柒、參考文獻柒、參考文獻
1. 行政院研考會,政府資訊作業委外安全參考指引,民國97年2月。
2. 行政院研考會,政府資訊作業委外安全參考指引實務導入報告,民國97年2月。