擺渡人

我知道我不是他的明天，我唯一可以做的，就是把他送到彼岸。

I know I’m not his tomorrow, the only thing I can do is to send him to the other side.

-The ferryman

真的告別了嗎？

新工作才2天，突然覺得好像真的告別了台北，告別了馬來西亞，和舊同事的友誼只剩回憶…
強烈的感覺，尤其馬來西亞那些朋友們，想到就覺得心裡被挖了一大塊，變空了。甚至，那感覺就像生離死別，好想好想哭…

我，真的就此告別了昨日了嗎?不會再回頭了嗎？

夢

新公司、新領域上班第一晚，睡覺，一整個都是夢。一整個都是奇怪的夢。和新公司、新工作有關。
不是惡夢，也不是好夢，夢中只是呈現，再怎麼奇怪的工作、公司、任務，我都習慣了，因為人生就是這樣子，就是生活，就是過日子！

新生活，DAY1，從高鐵站出發

重新學習新的領域，DAY 1.
今天是當企業實習大叔的第一天。
希望一切順利。
第一站：屏東！

Reset my life.

導入ISO 27001 ISMS資訊安全管理系統之前置規畫

當上網變成跟「你吃飽了沒」一樣重要時，資訊安全變成生活中重要的課題。基於此趨勢，計資中心將導入ISO 27001 ISMS(資訊安全管理系統)，全面提升校園資訊管理防護網。

前言
本中心預計於2009年正式導入ISO 27001，建置符合國際標準之資訊安全管理系統（ISMS）。在導入之前，我們將進行落差分析工作，檢視現有作業流程，並針對資訊系統進行弱點掃瞄，以瞭解現實狀況與日後欲達成之目標相差幾何。本文將分為兩部分，首先介紹ISO 27001與ISMS，其次說明本中心導入前置作業的工作規劃。

1. ISO 27001與ISMS介紹
隨著資訊科技日益普及，人們對於資訊系統的仰賴與日遽增，然而近年來不時發生各式病毒攻擊、駭客入侵、資料竊取等事件，在在使得資訊安全的重要性逐漸成為各方關注的議題。

提升資訊安全防護的基本方向，大致可從技術面與管理面來談。傳統上架設防火牆、入侵偵測系統，或者是安裝防毒軟體、定期更新作業系統等，都是典型的技術手段。至於管理面的具體措施為建構「資訊安全管理系統」（ISMS, Information Security Management System），此處所指的「系統」與一般慣用的資訊系統、網站系統、Windows系統相差甚遠，比較貼切的解釋應該是組織內的管理規範、作業流程與文件表單。

簡單來說，在ISMS的範疇裡，資訊屬於有價值的資產（asset），攸關企業經營命脈，因此需要受到妥適保護。保護的目的在於維護資訊的機密性（Confidentiality）、完整性（Integrity）與可用性（Availability），一般簡稱CIA。機密性意指資訊需經授權方可存取；完整性表示客戶取得的資料必須正確完整，未經竄改；而可用性則代表當客戶有需要時，可隨時取得資料。ISMS從風險管理的角度切入，透過資產的鑑別，威脅與弱點的確認，讓管理者充分瞭解風險所在，並嘗試將風險降低至可接受的範圍內。舉例來說，系統管理人員最擔憂的狀況，不是價值數百萬的硬體設備故障，反而是便宜的硬式磁碟機損壞，理由是後者存放了寶貴無價的重要資料。為了控制這類突發狀況所衍生的風險，ISMS從管理面著手，不僅需要指出風險所在，還更進一步要求提出降低風險的具體方法。由技術面處理，不外乎將硬式磁碟機改為磁碟陣列，添購磁帶機等備份裝置，甚至規劃異地備援模式。然而採用了以上技術手段之後，該如何確認「有效性」，評估風險是否降低，又得回歸管理面，透過標準作業流程與表單，監督管理人員是否每日確實執行備份工作。此外，不定期舉辦災難復原演練，以確保磁帶資料可用、異地備援機制可順利接管系統，也是必要程序之一。風險管理的另一項重要目的，是讓管理階層能夠確實掌握，當類似災難發生時，人員所需應變時間，以及資訊系統需要多少時間可恢復正常運作。由此可知，要能有效強化資訊安全，必須由技術面與管理面雙管齊下，兩者相輔相成，方可收效。

在企業導入ISMS的過程中，經常發生的疑慮包括：是否有相關標準可供依循？未來當ISMS建置完成後，該如何評估適切性，量測有效性？最重要的是，該如何取信於客戶與商業伙伴，展現公司對於資訊安全的管理能力？為此，國際標準組織（ISO）於2005年頒佈了ISMS的國際標準—— ISO 27001:2005，提供有意建置ISMS的企業，一套完整的規範與標準；循此標準建置完畢後，可以透過公正獨立的第三方組織，進行稽核與驗證。基於ISO組織的公信力，在目前資訊產業界裡，ISO 27001可說是最廣為接受且受到尊崇的資訊安全管理標準。

2. ISO 27001 ISMS 之導入規劃
本中心屬於校內資訊單位，負責開發、管理、維運校內各式重要資訊系統，長久以來扮演著校內資訊樞紐的角色。雖然過去本中心接受校內外各式評鑑屢屢獲得評審委員的嘉許與肯定，然而我們不敢以此自滿，時時不忘自我警惕，積極思考如何能夠提供校內師生更為安全穩定的高品質服務。有鑑於近年來國內外各式資訊安全事件層出不窮，資訊單位面臨極大挑戰，中心決議自2008年九月起，規劃導入符合ISO 27001標準之資訊安全管理系統（ISMS）。我們期許藉由此次導入工作，有效提升核心業務的實質安全，而非僅止於文件上的表面安全。因此，我們額外投資人力物力，由技術面的角度切入，進行資訊系統的安全補強，這種工作模式有別於以往一般顧問公司所習慣的作業流程，對於導入與輔導的雙方來說，都是一次嶄新的挑戰。

　

照目前規劃（如上圖），在正式導入ISMS之前的重要工作有三：定義導入範圍（scope）、進行落差分析（Gap analysis）、實施教育訓練。

1. 定義導入範圍（scope）
本次導入作業，我們所定義的驗證範圍是特別挑選過的核心業務，包括：1.校務資訊系統入口、2.校務資訊系統資料庫、3.資訊機房。選擇這三者的原因是，入口網站直接面對使用者，其中更牽涉單一認證機制，安全性不容忽視；資料庫主機存放校內所有重要資料，舉凡人事、學籍、會計、薪資等，無所不包，重要性無庸置疑；資訊機房屬於基礎建設，作為所有資訊系統之安全根基，勢必列入重點工作項目。

2. 進行落差分析（Gap analysis）
以技術面來說，我們會分成以下四個步驟進行：
(1) 風險評估
委託專業資訊安全團隊，針對本次導入範圍，以駭客手法進行「滲透測
試」（penetration test），利用各式系統與程式弱點（例如：SQL Injection、Cross-Site Scripting等），嘗試破解重要資訊系統，最後提出系統安全漏洞報告。
(2) 弱點修復
針對被找出的漏洞與弱點，釐清問題根源，交由負責人處理，如果是人為疏失，應該立即修復。舉例來說，程式造成的安全漏洞，由程式人員修正解決；如果是作業系統問題，則請系統維護人員以更新方式修補；如果是機房管制不確實，則考慮加裝刷卡機制並配合監控攝影。
(3) 安全防護
資訊系統透過網路針對全世界開放，因此必須面對來自世界各地的惡意攻擊。即使自行開發的程式都已經過再三修補、確認無誤，但Microsoft Windows系統漏洞或者是IIS問題，卻得以讓惡意者有機可乘，發動Zero-Day Attack，在系統管理人員來不及修補應對的情況下，成功入侵。因此之故，過去多次進行系統弱點掃瞄結果，絕大部分的安全漏洞都是出現在Web端的應用程式。為了解決這類問題，中心決定採購Web Application Firewall，專門針對Web應用程式額外加強防護。
(4)風險履勘
完成上述弱點修復與安全防護兩項工作後，再次委託專業資訊安全團隊，進行滲透測試，比對先前測試結果，評估安全防護提升成效。

進行技術面的防護措施時，我們同時針對管理面進行落差分析工作：
(1) 資產清查
針對範圍內的所有資產，逐一清查列冊。此處所指資產，除了設備物品之外，尚包括人員、文件。以校務系統網頁主機而言，雖然硬體設備可能僅止於2-3台伺服器，但是為確保系統維運所衍生出來的網路交換器、資料備份設備、機房環境、不斷電系統等，都必須納入資產清冊。除此之外，系統文件、軟體程式、管理人員、甚至管理人員所使用的個人電腦等，也都屬於必須清查列管的資產。
(2)風險評鑑
完成資產清查後，則需針對每項資產，評估其風險值，俾使管理階層瞭解目前整體系統的風險威脅程度。評鑑風險的公式並非唯一，僅需針對業務需求選擇最適合方法即可。舉例來說，我們可以採用公式R=V*L*I計算風險。
Risk風險值
Value資產價值，參考CIA三項指標評定。
Likelihood發生機率
Imapct衝擊，災害發生所產生的影響程度。

一旦所有資產的風險值都計算完畢，後續在ISO 27001導入時，就可以套用規範所提出的133個控制項目，幫助降低風險。導入ISO 27001之最終目的，就是希望將所有資產的風險值降低至某一可接受程度，以「風險已受到有效控制」之立論，達成「資訊安全」的目標。

(3)實施教育訓練
中心將舉辦內部訓練，提升同仁之資安意識與技術能力，希望後續導入ISO27001之過程可以順利進行。目前課程大致規劃如後：

類別

科目

時數

資訊安全

技術面

網頁防火牆設定與管理

6

Windows 作業系統安全管理

3

Unix系統安全管理

3

安全程式撰寫

6

駭客攻防技術實作與演練

6

系統安全漏洞剖析

3

無線網路安全

3

資訊安全

管理面

資訊安全簡介與ISO 27001介紹

3

風險管理與風險評鑑

3

營運持續計畫與管理

3

ISO 27001架構與條文解析

6

ISO 27001導入範例與內部稽核

6

除了上述課程之外，我們也將薦送相關同仁，接受ISO 27001主導稽核員訓練，通過考試取得證照，未來擔任資訊安全稽核小組，負責中心內部稽核工作。

本中心預計自2009/02開始正式導入ISO 27001，期望利用六個月時間，完成ISMS建置與內部稽核等工作。並於2009年底前通過第三方獨立機構之稽核驗證，並取得ISO 27001認證，以昭公信。

http://www.cc.ntu.edu.tw/chinese/epaper/0007/20081220_7002.htm

[筆記]三篇ISO27001的文章

文章：

從ISO27001新版標準看企業資安管理之挑戰與因應

資訊安全管理系統ISO27001:2013與ISO27001:2005 差異說明

ISO 27001:2013 條文釋義

[筆記]新版ISO 27001：2013正式出爐，企業2015年適用新標準

因應未來國際標準管理系統一致性的趨勢，ISO 27001：2013推出一套新的標準化附件架構——ISO Annex SL，清楚定義架構，盡量做到所有管理系統作法趨於一致，降低組織標準整合的難度

國際標準組織於今年10月1日ISO年會中，正式推出新改版的資安認證標準ISO 27001：2013，這也是ISO 27001自從2005年正式成為國際標準之後的首次改版。

ISO 27001雖然是一張資安認證，但對於某些產業的營運發展而言，其實具有正面效益，例如，臺灣有許多金融業想要成立海外分行時，若銀行已經先取得一張ISO 27001的資安認證，相對容易取得當地國政府的信任，更容易核可成立當地分行。永豐銀行法令遵循處副總經理簡榮宗表示，臺灣有許多金控銀行都已經取得ISO 27001：2005的資安認證，對其他金融業者而言，ISO 27001：2005甚至是一個同業資安水準的參考指標。

但根據ISO國際組織截至2012年的統計資料，臺灣目前取得ISO 27001：2005的企業和組織數量高達855個，名列全球第6名。從這樣的數據也證明，ISO 27001一旦轉版，將影響臺灣許多已經取得ISO 27001的企業與政府部門。

臺灣BSI驗證部協理謝君豪表示，此次推出的新版ISO 27001：2013，除了在技術規範上跟上現在的IT技術潮流外，例如智慧型手機的控管外，也提供一個更高的標準架構，供企業重新界定新版標準和其他類似標準的整合。他說，預計企業最遲將在2015年全數適用ISO 27001：2013的新版標準。

因應未來標準管理制度趨於一致性的趨勢，國際組織也推出很多跨標準的共通參考的驗證準則，謝君豪指出，企業風險可以參考ISO 31000，ICT的營運持續可參考ISO 27031，資訊治理參考ISO 38500外，因應個資法的數位鑑識可以參考ISO 27037，軟體測試則可以參考ISO 29114等國際標準。

控制領域和控制措施條文減少，但內容更深

每當一個新版標準推出後，謝君豪表示，國際認可機構會依據新版標準與舊版內容差異的多寡，給予企業18～24個月的緩衝期，讓企業有時間從舊版轉換到新版。

他說，雖然目前認可機構尚未寫出轉版聲明，一般而言，新版標準推出半年後，企業可以評估是否要以轉版方式，擴大企業原有的認證範圍，進而取得新版的ISO 27001：2013認證。但是，企業如果在2年內沒有透過轉版取得ISO 27001：2013的認證，之後企業要重新取得認證時，就得全數適用新版ISO 27001：2013規範。

謝君豪指出，在舊版ISO 27001：2005有許多的內容規範重複性較高，等到2013新版推出時，已納入2005年版本的使用者意見，並考慮過去8年科技環境的改變而有所調整。

像是，整個控制措施從133個減少為113個，重新改寫控制措施的聲明並整併重複的條文，但是，控制措施的領域卻從原本11個增加為14個。首先，新增的是許多加密與安全基礎的「密碼學」（Cryptography），再者，隨著企業委外與合作關係的密切，「供應商關係管理」（Supplier Relationships）也成為企業資安重要的環節，在新版中，密碼學和供應商管理則成為單獨的領域。

其他新增的部份則是，舊版中的「溝通與執行」（Communications & Operations）領域，因應新科技的發展，拆成「操作安全」（Operations security）和「通訊安全」（Communications security），並正式納入行動裝置的控管。現在則將軟體開發和維護獨立出來，成為操作安全的一部分。未來所有國際標準將具有一致性的架構

謝君豪指出，此次新版ISO 27001：2013推出時，國際標準組織也意識到，許多標準之間雖然有一些精神雷同、作法類似，卻因為分屬於不同的條文章節，常常讓企業對於一些類似精神條文在整併及適用上，有無所適從的感受。

最明顯的例子就是，ISO 27001：2005中有一項「政策要求」，但同時要求企業制定「資安政策」和「ISMS政策」，彼此之間既相似卻又重複性高，導致企業在政策制定時，對於是否該當成同樣精神的條文制定並遵守感到困擾。

另外，有不少企業在取得ISO 27001：2005後，也會另外取得ISO 20000以提升整體IT服務品質，但ISO 20000的「資訊服務管理政策」與ISO 27001：2005中的政策要求差異點在哪裡，很多公司搞不清楚。此外從BS 25999成為正式國際標準的ISO 22301，也要求要有「BCMS政策」，但企業持續營運管理和ISO 27001中的「資安政策」之間的差異點多大，都有進一步探究的空間。謝君豪坦言，不同標準之間類似的政策內容雖然有其相似之處，但因為分屬不同標準，很難完全整合；假若認證的組織範圍又不一致，整合難度更高。

為了解決不同國際標準之間所面臨到的整合困境，國際標準組織在此次推出新版 ISO 27001：2013時，採用了一個可以清楚定義架構面、管理制度面、章節面、細部章節等面向的標準化附件架構──ISO Annex SL，簡化了與其他管理系統之間的整合。

謝君豪認為，先把架構定義出來後，才能盡量做到所有管理系統作法趨於一致，也降低組織標準整合的難度以達到整合的綜效。例如，未來所有國際標準的第4章節，就是要規範「組織的背景」，第5章節便載明「領導力」，第6章節則是與標準相關的「規畫」內容。

從企業風險角度重新評估資安驗證範圍

謝君豪表示，資訊科技發展持續進步，企業所處的資安環境卻是更複雜，因此，ISO 27001：2013推出之際，國際標準組織也期待企業重新檢視企業所面臨的風險，甚至可以引用ISO 31000的企業風險標準，作為企業重新檢視企業資安風險的標準。

企業在面對新版標準，必須重新定義資安認證範圍，就必須重新考量組織所面臨的風險、法規和客戶等要求。他說，舊版標準要求企業參照標準附錄的作法即可，但新版內容則建議，企業直接援引ISO 31000企業風險標準來評估企業的風險。

企業若依照ISO 31000精神，必須先鑑別出企業違反資安管理政策所面臨的風險，例如違反智慧財產權、違反同業競爭、研發資料外洩、專業人員流失及駭客入侵等；也必須鑑別利害關係人，像是研發部門的利害關係人就包括：客戶、供應商、內部員工及股東等。

在確認這些利害關係人對企業的資安要求後，才能決定認證範圍是否仍維持只有資訊部門進行認證，還是要將認證範圍擴大到業務單位。謝君豪認為，即便企業無法擴大認證範圍，也希望企業透過重新定義認證範圍後，做到「局部驗證、全面導入」，真正提升資安認證的成效。

許多導入ISO 27001：2005標準的企業或組織，大部分都是以資訊部門作為資安驗證的範圍，很少納入業務單位。但是，在新版標準中，國際組織在第4章節規範「組織的背景」，新版在制度面明確要求，不論企業是否要擴大認證範圍，面對新版標準時，要或不要都必須解釋清楚，像是界定第4章節「組織的背景」時，企業就得要做到：可以鑑別組織所面臨的內外部議題和挑戰，也得界定出誰是利害關係人及利益團體等。

Source：
https://www.ithome.com.tw/node/83807

[筆記] ISO 27001資訊安全管理系統簡介

推動資訊安全工作，主要涵蓋的層面包括：(1)人員、(2)作業流程、(3)資訊技術
要如何將此三者串連起來，最好的方式就是建置一套適合組織的資訊安全管理制度。目前，實務上最好的參考指引就是國際資訊安全管理標準ISO 27000系列的規範，

一談到資訊安全，大多數人的直覺反應就是在抵擋駭客入侵，但事實上，這只是其中的一小部分而已。過去，許多企業組織對於資訊安全的投入，主要都是著重在技術面的資安基礎建設，例如建置網路防火牆、防毒軟體和入侵偵測系統等，希望藉由安裝資安軟、硬體設備來加強網路安全，以抵擋來自企業外部的各種資訊安全威脅。 

可是，僅僅做好網路安全防護，並無法有效地解決各種資訊安全問題的發生，因為還有兩項大原則必須要同時兼顧到，那就是人員與作業流程。因此，確保組織資訊安全的最佳方式是從管理層面來著手，藉由建立一套完整的資訊安全管理系統（Information Security Management Systems，ISMS），才能有效防範資訊安全事件的發生，但是資訊人員們可千萬別誤會，這裡的「系統」指的並不是架設一台伺服器或是開發某個應用系統，它背後代表的意義，其實是要建立可以持續運作的資訊安全管理制度。 

資訊安全管理標準簡介 

目前，ISO 27000系列是國際上受到認可的資訊安全管理標準，其中在2005年通過的ISO 27001標準，是規範建立、實施資訊安全管理系統的方式，以及落實文件化的要求，可以確保資訊安全管理制度，在組織內部能夠有效的運作，同時它也可以作為資訊安全管理系統的驗證標準。截至6月為止，在全球已經有超過5600個組織通過驗證，台灣也有321個組織（包括公民營單位）取得ISO 27001證書，僅次於日本、印度、英國，位居全球第4位。 

至於ISO 27002則是資訊安全管理作業要點，內容涵蓋了11個章節以及133個安全控制措施，提供很多實務上能夠運用的做法，可作為建立一個標準的資訊安全管理系統的參考。如果管理人員想要協助組織建立資訊安全管理制度，卻不知應該要如何著手時，就可以參照這個標準的內容來進行。 

在ISO 27001標準中的要求，都是屬於一般性且可廣泛應用的，也就是說，它適用於任何型式的組織，而不受限於規模大小和營業性質。因此，只要是有心想要加強資訊安全的企業或政府單位，都可以藉由參考ISO 27001中的規範，自行選擇符合組織需求的資訊安全控制措施，來達成一定水準的資安防護能力。 

管理制度的運作架構 

在資訊安全管理系統的運作上，ISO 27001要求組織應該要在整體業務活動與其所面臨的風險之下建立、實施、運作、監控、審查，並且維持和改進一個已經有文件化的管理制度，如果要確保它可長可久，就必須要運用PDCA（Plan-Do-Check-Act）過程導向模式，作為整體管理制度運作的基礎。 

所謂的PDCA是指「計畫—執行—檢核—行動」的過程，在一開始的計劃階段，組織必須要建立符合營運目標的ISMS政策，它定義了組織實施ISMS的範圍，並說明資訊安全的目標、需要透過哪些指標去衡量成效，以及管理階層應該擔負的責任。因此，資訊安全政策也可視為管理階層對於資訊安全的宣誓與支持，唯有如此，到了執行的階段，才可依照此一政策來逐步推動各項資安的控制措施，並且建立相關的作業程序。 

在依照計畫並且執行之後，要如何得知實施成效？此時就要進入檢核的階段，針對ISMS政策、控制目標及實行的過程，依照政策中所設定的指標去分析、評量實施的成果與績效，然後再將此一結果回報給管理階層作為審查之用。最後，再依據審查的結果，若是發現執行過程中有一些不符合的事項，就要透過實際行動來進行改善，也就是採取相對應的矯正和預防措施，持續改進ISMS的整體運作。

ISO 27001標準條文內容 

ISO 27001標準條文一共分為8個章節以及附錄，其中第1到3章，說明了ISMS的適用範圍、所引用的其他標準，以及相關名詞的解釋。ISO 27001條文的重點主要是落在第4到8章和附錄A，分別是「資訊安全管理系統」、「管理階層責任」、「ISMS內部稽核」、「ISMS之管理階層審查」、「ISMS之改進」，以及附錄A的控制目標與控制措施。 

其中特別要注意的，就是在這5個章節之中，涵蓋了資訊安全管理制度的建立運作與文件記錄管制、風險評鑑、管理責任、內部稽核和持續改善等要求，如果組織有任何一項不符合，就表示此一管理制度是無效的，也就無法通過ISO 27001標準的驗證，所以務必要了解條款背後所代表的執行意義為何。 

為了滿足以上所提到的PDCA架構，在ISO 27001標準條文中，也是基於此一運作模式來設計，以第4章為例，4.2.1是「建立ISMS」、4.2.2為「實施與運作ISMS」、4.2.3是「監督與審查ISMS」、4.2.4則是「維持與改進ISMS」，剛好就對應了從計畫建立（P）、實施運作（D）、監督審查（C）及維持改善（A）的四個循環過程，換句話說，只要組織能夠持續PDCA的管理模式，就可以確保資訊安全管理制度可以有效地運作。以下就先簡要說明4.2.1「建立ISMS」條文的內涵。

定義ISMS範圍 

在此條文中，要求組織首先要依據營運、組織、所在位置、資產和技術等特性，定義出資訊安全應受到適當控管的範圍。一般都是依照組織本身的特性，以部門、系統、業務項目或實體環境來定義所要實施控管的範圍，舉銀行業為例，我們可以選擇銀行資訊部門作為導入ISMS的範圍，也可以將信用卡這項業務服務相關的部門、人員、流程或是信用卡服務中心所在地點作為實施範圍。 

在實務上，當組織在定義範圍的時候，請謹記一項原則，就是務必要把核心的業務納進來，別忘了資訊安全的目標要與營運目標一致，如果不針對主要業務來進行資安控管，實施起來就不具有任何意義了。 

界定ISMS政策 

制定政策時需要考量組織營運與相關法規的要求，還有合約中所制定的資訊安全責任，例如法律要求必須要保障個人隱私、保護重大營運資訊，或是合約中要求必須保護客戶資料等，這些都是設定資安目標時的重要依據與參考。另外，在ISMS政策中，也要建立可以用來評估風險的準則，並且要能符合組織的整體風險管理策略。 

界定風險評鑑作法 

風險評鑑有各種不同的方法論，讀者可參閱網管人二月和三月號中有關資安風險管理的說明，自行發展出可以識別組織風險的方法，並訂出風險可以接受的等級。標準之中對於風險評鑑方法的要求，在於風險評鑑後所產出的結果，必須是可比較且可再產生的，換句話說，風險評鑑的方法，必須能夠重複使用，而且在不同時期進行的風險評鑑，其結果皆可用來相互比較分析，以作為風險處理與改善的方向。 

管理階層審查 

標準中提到在風險處理之後，所殘留下來的剩餘風險，必須要取得管理階層的授權與核可，整個風險處理過程才算完成。 

擬定適用性聲明書 

所謂的適用性聲明是指針對資安風險所選擇的控制目標與措施，組織必須要說明其選擇的理由，另外，在標準中所排除的控制項目，也必須提出合理的解釋。適用性聲明的主要目的，是為了要確保不會有存在於組織中的資安風險，受到忽略而缺少適當的控管。 

資訊安全是一個管理過程 

資訊安全是一個管理過程，而不是一項技術導入過程，在ISO 27002標準中提到，「資訊安全是為了有效保護資訊不會受到各種威脅，實施各項適當的控制措施，以使企業能夠持續營運，將可能受到的損失降至最低，並獲得最大商機。」所以，維護資訊安全並不單只是資訊人員的責任，而是必須提高層級由企業組織的管理階層做出承諾，要求成為所有人員必須遵守的規範，也唯有人員都具備了資訊安全的警覺與防護意識，才能降低資安事件發生的可能。

Source:
http://www.netadmin.com.tw/article_content.aspx?sn=0907030010

[轉貼]-【防外敵而輕內賊，終釀企業資安重大危機】調整資安重心，正視內部威脅管理

企業如果打算建立內部威脅的管理作業架構，建立內部威脅管理作業流程是首要第一步
文/李宗翰 | 2018-04-05發表

我們對於資安威脅的認知，往往限於種種刻板印象而陷入迷思，卻並未察覺問題就出在組織內部。

而在2018臺灣資安大會的CISO論壇上，國際產業安全協會臺灣分會長楊博裕也呼籲，希望企業資安長能夠重視內部威脅，並分析管理上的盲點。

比起外部威脅，內部威脅更不易發現

雖然內部威脅發生的機率，的確比外部威脅低很多，但由於這樣的風險源於內部員工，並不容易察覺。為什麼內部威脅更是令人防不勝防？楊博裕表示，這些涉案者具有下列幾種特性，是外部威脅先天上所缺乏的優勢。

首先，在企業日常作業的過程中，他們已經取得了應有存取權限；第二，他們知道你重要資料存放的位置，也很清楚公司設立防護機制的所在。因此，這個時候，如果組織對於上述情況的發生，缺乏偵測或預防的機制，資料將被一點一滴地偷走，等到你發現時，可能就已經太遲了！

關於內部威脅所造成的災情，多數人可能了解不多，楊博裕舉出4種常見事件類型，來印證這樣的風險。

首先是一般使用者，經常會接觸到的網路釣魚攻擊，員工可能有意或無意地點選釣魚郵件，而開啟了惡意網址，導致個人電腦被入侵或遭到惡意軟體植入。第二種是與離職員工有關，他們可能為了跳槽，而在就職期間，偷偷竊取了企業的機密資料，然後攜往其他公司；或是因為不滿工作環境，員工在公司IT系統埋下了邏輯炸彈，等到解職之後，就啟動這樣的破壞。

第三種案例的主要發起對象是現職員工，他們可能利用職務之便來舞弊營私，為自己加薪。例如，在金融業，曾發生員工透過改寫程式，將他人帳戶利息轉存到自己帳戶。

第四種涉案者則是高階主管，且與社交工程攻擊有關。有家公司財務長帶全家出遊，因為家人在社群網站上打卡，意外暴露了自己正在旅遊的狀況，而使得駭客有機可乘，發動了社交攻擊，使員工聽從歹徒指示轉帳，而騙得款項。

牽涉到人性，使得內部威脅難以根除

既然內部威脅是真實而迫切的危機，為什麼大家還是繼續漠視、容許？楊博裕表示，我們習慣採取的三種態度——瞻前不顧後、無法衡量損失、家醜不外揚，所以，最終導致了這樣的結果。

所謂的瞻前不顧後，就是指關注外部威脅重於內部威脅的迷思。由於外部威脅較為顯著，且引人注目，例如，企業若發生網站被攻陷、應用系統面臨癱瘓、機敏資料遭人公布到網際網路等事故，許多媒體可能會爭相報導，連帶也吸引了社會大眾的目光。

也因此，不論是從人、科技、管理制度設計等方面，我們所投入的許多資源，都是為了防範外部威脅，而輕忽了內部威脅可能造成的影響。

而這樣的情況有多普遍？楊博裕引用SANS的數據來佐證，他們在2017年舉行的內部威脅調查，指出了認知的矛盾之處。在這份調查結果當中，多達62％的人士表示，從未遭遇內部攻擊，但同時，也有38％的人坦承，他們對於此類攻擊的偵測與預防不足，楊博裕認為，若將這兩個數據勾稽起來，代表可能有內部威脅正在組織中發生，但因為缺乏有效的預防與偵測機制，所以，根本不知道有內部威脅事件的發生。

而這樣的結果，也意味著，企業面臨的真正問題，可能是內部威脅無法妥善偵測，而不是沒有發生。

之所以無法正視內部威脅，另一個關鍵在於導致的損失無法衡量。楊博裕表示，在衡量內部威脅可能造成的影響時，缺乏量化的機制，所以，一旦發生這類事件時，資安長向公司高階經理人或董事會成員報告時，無法具體陳述究竟造成何種影響，使得組織內部必須持續面對這樣的議題，卻又無法有效聚焦。

至於家醜不外揚，也是面對內部威脅時容易採取的態度，我們不希望讓外人知道組織正處於這樣的危機，以免影響商譽，然而，這有可能會衍生出另一種局面，那就是，檯面下發生的內部威脅，其實遠比檯面上的多，原本存在的問題並沒有真正解決，而有可能隱藏在無人知曉的黑暗角落。

（圖片來源／卡內基美隆大學）

關於內部威脅管理的議題，楊博裕特別推崇卡內基美隆大學在這方面的研究，而在該校軟體工程研究所設立的內部威脅部落格文章上，也展現他們對於內部威脅的定義，當中區分四大領域：人員類型、組織資產、動機與意圖、負面影響。

內部威脅牽涉的人員，不只是正職員工

上述的種種狀況，影響到我們對於內部威脅的認知，楊博裕也引用美國電腦網路危機處理中心（US-CERT）的定義，來具體說明內部威脅具有的特徵，他認為，絕大多數內部威脅，都與「人」、「事件」等兩個因素有關。

以人的部份而言，US-CERT認為，這會包含到幾種人員，例如：在職員工、離職員工、約聘員工、企業合作廠商，尤其是可存取公司網路、系統與資料的人士。企業合作廠商為何也是內部威脅？因為許多企業把內部作業外包給廠商，而須納入內部威脅的範疇，因為這些合作廠商可能會派出人員到公司內部駐點，或是廠商的人員雖然位在企業辦公室外，但同時對你的公司提供服務。

接著，再從事件來看，US-CERT也認為，只要是因刻意或不小心誤用存取權限，而對公司資訊資產的機密性、正確性、完整性，造成負面影響的狀況，就屬於內部威脅。

為了印證內部威脅的真實性，楊博裕以2013年美國國家安全局（NSA）史諾登案，細數這類威脅爆發前的徵兆，提醒企業注意。

首先是組織對於人員背景調查、教育訓練的不足。

在事發當時，史諾登的身分是NSA的外包雇員，然而他在先前於美國中央情報局任職，就有非法下載資料的記錄。另外，NSA對於新人到職的教育訓練，囿於法令限制而無法涵蓋到外包雇員，所以，在這部分，也無法盡到充分傳達工作使命、凝聚向心力的作用。

其次，則是組織在效率與安全的取捨，有了重大偏差。

史諾登身為外包雇員，卻同時身兼系統管理員，以及資料庫管理師等兩種角色。或許在權責沒有區分，也缺乏預防與監控的機制，單位本身無法察覺這類異狀的狀況下，產生內部人員盜取機密資料的機會。

最後，則是與員工的日常人際關係，以及差勤表現有關。

據傳，史諾登在工作上與其他高階主管起了嚴重衝突，雖然當時他向對方道歉而落幕，但可能已埋下對組織心生不滿的種子。另一個狀況則是，史諾登開始改變上班作息時間，經常藉故晚上加班，可能是為了盜取資料；而在即將逃亡之際，史諾登也經常請病假、甚至直接曠職，雖然主管曾介入關心，詢問其是否需要協助，但最後仍沒料想到他失蹤多時之後，出現在香港，並將取得的國家級機密資料公諸於世。

而基於這些跡象，其實也顯示了，多數人對於內部威脅的防範，其實是掉以輕心的。因此，企業若已經有所體認，並打算建立相關的管理作業架構，楊博裕也提出幾點建議。

他認為最重要的部分是，需建立內部威脅管理作業流程；其次，是了解公司對於內部威脅的策略，以及預期達到的目標；接下來，則是資安主管經常進行的資訊資產盤點，並且要注意組織的事件反應機制，不能單就外部威脅的層面來進行處置，也必須要考慮到內部威脅的可能性。

全文：https://www.ithome.com.tw/news/122193

是這樣子啊！

一個少女，有了身孕，父母逼問少女，孩子的父親是誰。少女被逼無奈，說孩子父親是附近廟裏的一位高僧。

孩子出世後，這家人抱著孩子找到了高僧。高僧只說了一句“ 這樣子啊！”便默默地接下孩子。

此後，高僧每天抱著孩子挨家挨戶討奶喝。小鎮裏炸開了鍋，說什麼的都有。高僧被人指指點點，甚至辱罵。

一年後，少女受不住內心的煎熬，承認孩子的父親是另一個人，與高僧無關。

少女及家人慚愧地找到高僧，看到高僧很憔悴，但孩子白白胖胖。 少女滿心愧疚。 高僧淡淡地回了一句“ 是這樣子啊！”便把小孩還給了少女。

高僧被冤枉名聲掃地，卻始終不辯解，為什麼呢？高僧說：“出家人視功名利祿為身外之物。 被人誤解於我毫無關係。 我能解少女之困，能拯救一個小生命，就是善事。”

當我們被誤解時，會花很多的時間去辯白。但沒有用。沒人會聽, 沒人願意聽。人們按自己的所聞、理解做出判別，每個人其實都很固執。他若理解你，一開始就會理解你，從始至終的理解你，而不是聽你一次辯白而理解。

與其努力而痛苦的試圖扭轉別人的判別，不如默默承受，給別人多一點時間和空間，省下辯解的功夫，去實現自身更久遠的人生價值。

渡人如渡己；渡已，亦是渡人。

看不開，就背著。
放不下，就記著。
捨不得，就留著。

等有一天...
背不動了，就看開了！
記不清了，就放下了！
留不住了，就捨得了！

所以說有些事情不要太計較，睜一隻眼，閉一隻眼，就會過去的。

珍惜眼前的人，做好眼前的事。一切都是美好的！

陰天，不一定會下雨。
分手，不一定最傷心。
憎恨，不一定會一輩子。
失望，不一定是絕望。
面對，不一定最難過。
孤獨，不一定不快樂。
擁有，不一定要廝守。
沉默，不一定是冷漠。
失去，不一定不再擁有。
失敗，不一定會放棄。
奇蹟，不一定不出現。

凡事都要靠自己：
別哭窮，因為沒人會給你錢；
別喊累，因為沒人會幫你做；
別想哭，因為大家並不在乎；
別認輸，因為沒人希望你贏；
別靠人，因為只有自己最可靠；
別乞求，因為別人等著看笑話；
別落魄，因為一堆人在等著落井下石；
別回首，因為看到的是未修復的裂痕；
別離愁，因為只會才下眉頭卻上心頭；
別低頭，因為地上沒有黃金只有石頭；
別強求，因為硬摘的果實，沒有甜頭！

遇到愛你的人，學會感恩；
遇到你愛的人，學會付出。

遇到你恨的人，學會原諒；
遇到恨你的人，學會道歉。

遇到欣賞你的人，學會感激；
遇到你欣賞的人，學會讚美。

遇到嫉妒你的人，學會低調；
遇到你嫉妒的人，學會轉化。

遇到不懂你的人，學會溝通；
遇到你不懂的人，學會請教。