資訊安全（Information security）

構建一項數位服務，您需要確保已經採取適當的步驟來保證其資訊安全。

資訊安全是一個話題既廣且深，範圍從經濟學和心理學的領域，延伸到涉及數學和機率的面向。

本文件並不會涉及到這些領域的探討。而是把主要的目的放在：

• 提供給您一個對於資訊安全概念的快速了解。
• 說明現存的社群及流程，將可以幫助您建立一個符合世界水準安全的數位服務。

什麼是資訊安全？

「資訊安全」這個術語，指的是一套為了保護資料免於受到下列項目危害的理論和做法：

• 未經授權或意外地存取資料
• 資料毀失
• 資料中斷
• 資料篡改

概念

有3個主要的概念，資訊安全專家經常提到：

• 保密性(Confidentiality)–確保資訊不會被洩露給未經授權可以接收這些資料的個人或系統。
• 完整性(Integrity)- 確保資訊不會被未經授權而被修改，或確保資料不會經過尚未檢測而被修改。
• 可用性(Availability)- 確保資訊在需要用到的時候都是可用的，以及確保即便發生事故或惡意事件時，當要求系統需提供資料的時候，是不會被影響到的。

在政府，許多都是由這三種主要的“資訊安全的概念，”構成，這將在下面說明。資訊安全系統(或管理制度)通常試圖點出下列一個或同時包括多個的考量，例如：

• 實體安全控制，如建物的牆，緊鎖的門禁，警衛
• 流程控制，比如管理監督，人員培訓，明確的緊急應變流程
• 法令監管措施，如法律，政策，行為規範
• 技術安全控制，如：加密軟件，身份驗證和授權系統，安全協議

不是每個資訊系統都需要一個全方位的資訊安全管控措施。「完全安全的資訊系統」是不存在的，而打造一個過度安全的資訊系統往往過於昂貴，或對用戶的操作及使用上將可能造成相當大的不方便性。

政府應該將目標放在建立一個有著適當安全性的數位服務，這將可以藉由風險管理的做法來達到。在實務當中，您將會獲得指導，學習到如何評估一項數位服務相關的機密性，完整性或可用性等可能產生失效的風險。

在政府的資訊安全

政府有一套固定的確保和認證流程。這提供了一套結構化的並且共通的辭彙，可以用來與其他團隊或專家討論、分析和指出資訊安全各方面的考量。

如果這套確保及認證的流程正確地運作時：

• 您將會清楚地和準確地了解你接受什麼樣的風險。
• 提供數位服務的單位或團隊，就知道要使用什麼控制活動，以降低風險。

「確保」和「認證」過程之間的不同之處在於：

• 「確保」是廣泛的一套作業項目，用來評估和管理正在開發一個系統相關的風險。
• 「認證」是「確保」工作的一個子作業，其中涉及類似於ISO27001管理制度正式和獨立檢驗的過程。

需要特別提醒，建立一個可以信賴的安全系統最重要的要素是，團隊合作。

不論專案多麼小，都至少應該要包括一定水平的資訊安全的審視。這可能只是透過簡單地記錄了有限的風險，並提出給高級資訊風險負責人（SIRO），即便該項專案其實並不需要一個正式的認證。

若處理的資料是涉及敏感數據或涉及很多人的利益，這樣的數位服務還是很有必要去通過一項「認證」。這樣的認證流程可能會包括各個團體的代表。

不要讓「確保」和「認證」這兩個工作，變成完全獨立不相關，或認為這是一個應該要跳過或迴避的障礙。最終，您會經由風險管理及基於一群廣泛的專家的建議做出種種決策，而打造了最好的數位服務。

政府內的確保和認證

下面的內容將為您介紹在政府內的確保和認證，這將會使用相當多的縮寫名詞。不幸的是，這些都是常見的用法，當處理這些文件和流程時，很難不使用這些業界常用的用語來使參與的團隊或專家能夠有效率的溝通。

這些縮寫名詞將會在本文中說明，希望當您在讀取相關的文件時，這些內容可以做為一個有用的參考資料。

角色

重要的是要了解在確保和認證的流程當中涉及了許多不同的角色。每個角色都需要正規的訓練和專業技能，所以，決定誰扮演每一個角色是要從一開始就要計劃好的：

• 資深資訊風險負責人 （ Senior Information Risk Owner SIRO ）
• 認證者（Accreditor）
• 資訊資產所有者(Information Asset Owner)
• 通信電子安全小組 （Communication Electronics Security Group CESG）
• CESG註冊諮詢計劃（CLAS）顧問

資深資訊風險負責人（ SIRO ）

SIRO通常是一位資深人員，帶領著整個團隊，建構整個數位服務並且對下列事項負責任：

• 該項數位服務的風險描繪
• 識別出所有的風險
• 確保適當的減低風險的措施已被考量並且實施，使得剩餘的風險是可以被接受的

認證者 (Accreditor)

比SIRO來得更多的人力，這些人將與專案團隊共同合作，以幫助完成下列事項：

• 了解數位服務的流程
• 識別風險
• 提出減低風險措施的建議

資訊資產所有者 (Information Asset Owner, IAO)

資訊資產擁有者是一位參與相關業務流程的資深人員擔任。

他們的職責是了解哪些資訊被保存，有什麼資訊被增加，有什麼資訊被刪除，資訊如何被移動，誰可以存取這些資訊以及原因為何。因此，他們都能夠理解和應對針對這些資料可能產生什麼風險。

CESG（通信電子安全小組 (Communications Electronics Security Group, CESG)）

CESG負責政府機構的資訊安全。他們可以提供有關專案上所需的技術援助或諮詢服務。

CESG註冊諮詢計劃（CLAS）顧問

CLAS顧問將會參與正式認證過程，負責了大量的正式文件。

業務衝擊水準

業務衝擊水準的，通常被簡稱為衝擊水準（Impact Level, IL）是一組用來指引政府專案內關於風險討論的數字集合。具體來說，它們是介於0和6的數字，分別針對前面所描述到的3個主要概念的每一項予以估算，並且測量：

• 保密性–當資訊被不應該看見的人所看見時的潛在後果。
• 完整性–當資訊的正確性或完整性受到損害時的潛在後果。
• 可用性–當資訊需要提取使用而不可得時的潛在後果。

有關0~6 各級別衝擊水準的詳細資訊，可以參照英國政府保險業監督準則第1號(extract from HMG IA Standard NO1) 。

敏捷設計

上面列出的各個角色，將會再與其他人合作組為團隊。以便在設計服務的流程當中，可以能夠考量各個面向更將周詳。您的團隊需要作出一系列關於類似下列項目的決定：

• 什麼資訊是需要被擷取的
• 資訊是如何處理的
• 資訊是否需要被存儲

因此，團隊內緊密的合作關係是很重要的，這樣可以確保：

• 當數位流程設計在演進發展時，團隊對業務衝擊水準和其他細節將能夠保持最更新的狀態。
• 「風險管理」在數位設計的過程當中，扮演了一個適當地提供了「限制和約束」性質的角色。

好的實務指南

好的實務指南（GPG）是一套由 CESG發行的文件，他提供了專案內您可能會有興趣的各個面向及型態的主題。這些資料可以作為一個很好的起始，便於在專案的過程當中開始識別風險並制訂減低風險的措施。

但是，很不幸的，GPG文件有許多都是限制讀取的。在您的專案設置時，應盡早與CESG建立夥伴關係，以便確保您可以讀取到這些文件。舉例來說包括：

• GPG13 – 保護型態的監控
• GPG8 – 保護與網際網路相連線的外部連接
• GPG12 – 使用虛擬化產品達到數據資料區隔

風險管理文件集(Risk Management Document Set, RMADS)

風險管理文件集或RMADS是您正式認證工作的結果。這很可能是一大組要提供給SIRO/0}簽核的文件，作為數位流程服務正式上線的過程紀錄文件，可能包括了下列項目：

• 設置控制活動基準（Baseline Control Set, BCS）
• 系統總覽
• 支持的證明文件

IT健康檢查 (IT Health Check, ITHC)

IT健康檢查（ITHC）也是作為正式認證的一部分。從本質上講，其實是由CESG核准的供應商(第三方)（特別是認證過IT健康檢查能力的供應商）所執行的「滲透測試」。請仔細閱讀滲透和漏洞測試指導(Penetration and Vulnerability testing)以便得到更多的細節。

持續運作

確保和認證的工作不只是使專案順利啟動，也會持續地涵蓋這項數位服務運作過程。隨著時間的推移，新的威脅可能出現，數位系統和流程可能會發生變化，並且原先的假設也可能變為無效。

您必須讓您的文件保持在最新狀態，並定期地或根據需要時執行滲透測試。

工具

開始了解風險的狀態，並且盡早開始在專案內開始考量確保和認證的流程。列清單是一個很好的開始，可以做為您的專案計畫的里程碑檢核點：

• 確定SIRO是誰
• 與認證者( Accreditor )合作，以確認業務衝擊水準
• 與SIRO確認目標業務衝擊水準
• 與SIRO確認是否需要正式認證
• 如果需要認證工作的話，則需規劃聘請CLAS顧問
• 在CESG設立一個聯絡窗口，以便盡可能地提供協助和技術指導
• 產生證明文件，如：
  • 架構文件
  • 風險和減低風險措施
  • 操作流程
  • 好的實務指南Good Practice GuidelineGood Practice Guideline
  • 控制活動的說明
• 與CLAS顧問合作，完成產出RMADS (Risk Management Document Set)資料
• 安排IT健康檢查ITHC
• 提交給SIRO，以獲得獲得最終的簽核紀錄

風險管理

要明確地知道，確保和認證的流程及工具，都是為了管控現行運作中的數位服務的風險。安全性是其中的一部分，但只是其中的一部分。

幾乎任何事物都包含風險：

• 技術選擇
• 工作人員
• 流程
• 存取受限制讀取的文件
• 資料的匯總

了解這些風險，並制訂合理和適當的減低風險的措施。在大多數情況下，目標在設計出一套沒有任何風險的數位服務系統是相當不切實際的，然而忽視了風險，卻也會導致未來數位服務系統的失效。

目標在於，打造一個能夠掌握其風險的系統；您的團隊，將會與專業的風險管理專家合作，小心慎重地做出每一項決定，以便處理每一項辨識出的風險。

延伸閱讀

• 資訊安全工程-羅斯·安德森 這是一個涉獵範圍廣泛的教科書，涵蓋了如何構建安全系統的理論與實務方式
• 英國政府IA準則第1號-技術風險評估，CESG指導了如何評估資訊系統風險
• 業務衝擊水準程度表
• 資訊資產所有者的角色指引手冊

翻譯：Daniel Lin
校稿：Sharon Wang
原始出處：https://www.gov.uk/service-manual/making-software/information-security.html