資安管理

 

「資安」為資訊安全的簡稱。

資訊可以有許多存在的形式,例如書寫、列印、電子媒體等;傳輸方式除了傳統郵寄、傳真之外,也能透過電子方式傳輸各種格式的電子檔案,包括影音、文件、圖片等等。不管任何形式的資訊,都應被視為資產,受到完整良好的保護。使資訊不會因為時間推移、存放地點變更,或者軟硬體升級而無法取得或識別。

而資訊安全就是要保障機構內的資訊資產免於不可承受的風險,資訊安全有以下三項特性:

  1. 機密性(Confidentiality)
  2. 完整性(Integrity)
  3. 可用性(Availability)

機密性指的是應確保資訊的存取須經過授權;完整性是確保資訊的內容正確且完整;可用性則是確保經授權後的使用者,能確實存取及使用。

 

若上述三種資安的特性無法達成,造成服務的失效,對機關形象的影響為害甚大!因應各機關為確保資訊資料、系統、設備及網路通訊安全,並能有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭毀損等風險的需求,資訊安全管理系統(Information Security Management System,簡稱ISMS)是全世界普遍使用的方法,透過控制措施把資訊風險降到各機關可以承受的範圍。

 

學術調查研究資料庫(Survey Research Data Archive,簡稱SRDA)收錄了會員資料、調查資料原始檔、釋出資料等各式檔案及文件,都需要被妥善收藏且安全保存;儲存資訊並提供服務的硬體主機,則為了服務品質的持續,應避免各種造成服務中斷的風險。

 

SRDA在2010年導入ISMS,制定資訊安全政策,針對SRDA工作人員、硬體主機(機房)及服務空間(限制性資料使用室)規劃一整套控制流程,除了管控實體環境的進出權限外,對於電子化的虛擬資料也設定一系列的處理程序,對於政策中不足的部份,都依政府相關資訊法規辦法執行,以達成資訊之機密性、完整性與可用性。

 

ISMS的運行模式依循著PDCA(Plan-Do-Check-Act)的模式循環。在Plan的階段規劃資訊安全管理架構、執行風險評鑑及相關管理作業;在Do的階段則將規劃的內容實際運作,建立管理文件、資安事件應變處理流程及演練措施;Check的階段為進行內部稽核,找出可以調整或改善的措施,並在Act階段執行。

 

「SRDA系統(主機端及個人端),及其電腦機房與限制性資料使用室安全維護管理」,於2011年4月通過英國標準協會(BSI)驗證,符合ISO 27001:2005 國際資訊安全管理系統標準。

 

SRDA在ISMS導入並取得驗證後仍持續進行相關工作內容,項目包括:資產盤點、風險評鑑、帳號清查/更新密碼、弱點掃描、業務持續運作演練、ISMS有效性量測、內部稽核、管理審核會議及第三方稽核等。除帳號清查/更新密碼必須每半年執行一次之外,其他項目每年均執行一次。

 

除了軟硬體設備及環境的防護之外,對於工作人員的存取權限也有相當的控管程序,資訊傳輸也以加密方式處理。因此提供資料給SRDA的個人,如會員,以及提供珍貴調查資料供釋出者,完全不需要擔心所提供的資料會有被破壞、或篡改後無法回復、或有被不當竊取的狀況發生,這是SRDA對會員及資料提供者應盡的責任。