隨著電腦及網路的應用日趨普及與深入各個領域,資訊安全(包含通訊安全,簡稱資安)已成為現代社會的重要課題,資安的觀念也廣為各國政府和企業所接受、認知和重視。資安的落實,有賴妥適的資安控制措施,要求員工據以執行業務。資安控制措施必須文件化,其實施與稽核才能有所依循。為了規劃本院資安控制措施的框架(framework)(簡稱資安框架),計算中心同仁參考資安國家標準CNS 27001《資訊安全管理系統需求事項》、CNS 27002《資訊安全管理之作業規範》,以及資安法令《行政院及所屬各機關資訊安全管理要點》、《行政院及所屬各機關資訊安全管理規範》、《國家資通安全通報應變作業綱要》等,將本院資安控制措施的文件化工作,由上而下區分為政策、規範、要點及程序共4個層級,說明如下:
‧ 政策:《中央研究院資訊安全政策》(簡稱資安政策)為單一文件,說明本院對於保全資訊資產方面所抱持的態度、信念,以及控制措施要求。
‧ 規範:《中央研究院資訊安全管理規範》(簡稱資安規範)為規範本院資安框架的單一文件,係用以建構本院資安體系,以落實本院資安政策。
‧ 要點:「資訊要點」為一系列文件,係依據《資安規範》所訂定,分別適用於特定工作、安全步驟,或是保護某項資訊財產。
‧ 程序:「資安程序」包含資安相關計畫、參考原則、過程控管與紀錄等。
本院資安政策、資安管理規範及資安委員會設置要點經98年3月24日第827次主管會報通過、4月8日院長核可後,已公布實施。條文網址如下:
《中央研究院資訊安全政策》的網址:http://www.sinica.edu.tw/as/law/ascc/s-01.htm
《中央研究院資訊安全管理規範》的網址:http://www.sinica.edu.tw/as/law/ascc/s-02.htm
《中央研究院資訊安全委員會設置要點》的網址:http://www.sinica.edu.tw/as/law/ascc/s-03.htm
各種資訊要點因須適用於各單位,屬全院性事務,應由資安委員會審議、院長核可後公布實施。各研究所(處)、中心和計算中心再依據各種資安要點,訂定資安程序以落實各自的資安控制措施。
本院資安政策、規範及各項要點的進一步介紹,請詳見計算中心通訊電子報第8期,網址:http://newsletter.ascc.sinica.edu.tw/index.php?lid=138。
(總辦事處計算中心高級分析師曾士熊先生撰稿)
