資安認證範圍過小 人員資安意識不足 行動裝置控管有漏洞


行政院政務委員張善政日前出席BSI資安年會時，首度揭露過去沒有公開細節的政府年度資安稽核結果。他表示，許多機關在資安管理和資安技術有極大的落差，有些單位妥善落實資安管理，但資安技術能力極差而難以因應資安事件，有些單位則剛好相反。他說：「不均衡的發展讓行政院陷入高度的資安風險。」此次是行政院首度針對外揭露重點機關年度資安稽核結果，張善政表示，這些缺失將成為未來行政院資安優先改善重點。


資安認證範圍多數沒納入業務流程
政府每年9月、10月會針對重點機關進行資安稽核，除了檢查相關的資安管理政策外，也實際針對網路和系統弱點進行查核。行政院資訊處處長趙培因綜合本年度資安稽核結果，從策略面、管理面和技術面發現各機關面臨的共通問題，在策略面的問題就是，導入資訊安全管理認證範圍的適切性；在管理面上最大的問題就是「承辦人」資安意識不足；在技術面上，在行政院內則禁止BYOD（自帶設備）。


她進一步指出，雖然行政院許多A級和B級機關都被要求導入ISO 27001資安驗證，但從資安稽核的結果發現，許多單位ISO 27001資安驗證的範圍多數侷限在資訊部門，但許多資安漏洞往往出現在業務單位的某個作業流程中。再者，有許多單位的資安經費是依據單位年度預算做調配，甚至是從編列的IT預算中，再挪出些許的資安經費，杯水車薪的資安預算對於各種資安業務需求，往往無法及時因應。趙培因說，包括資安驗證的範圍過小以及資安預算不足，都成為政府各機關在資安政策上面臨的主要缺失之一。


「人」永遠是資安管理上最複雜，也最難以掌握的關鍵因素，趙培因表示，許多機關最大的資安風險不在各種資訊系統的弱點，許多業務的承辦人員才是真正的資安弱點。她說，許多政府政策從規畫初期，到中間的討論及後期的政策成形，各個業務承辦人員是掌握第一線消息的關鍵人物，若沒有做好機敏資料與個人資料妥善保護，就有嚴重的資料外洩風險。因此，行政院院本部在導入ISO 27001資安驗證時，不僅以全機關作為導入範圍，更重要的關鍵點在於，所有的「人」都納入資安認證的範圍，上至行政院院長，下至工友、司機與隨扈等，都必須接受資安教育訓練。


避免行動裝置成資安缺口
在資安技術面上，除了資安事件通報不力，相關的經驗沒有辦法回饋到資安認證ISMS的PDCA循環外，行動裝置控管也成為各機關必須重視的新興議題。


趙培因舉例，今年初便發生過一次機敏會議內容外洩，經過詳細的追查發現，竟然是某位長官因為手機沒電，將手機插在行政院會議室裡面的電腦充電。但是，該名長官的手機已經被植入惡意程式，當使用一般電腦充電的同時，也同時啟動該長官手機的錄音功能，所有會議內容都被錄音後再對外傳送，以至於機敏會議的內容外洩。


因此，行政院也建議各機關人員行動裝置充電時，一律採用交流電充電，避免使用電腦充電。

轉載自http://www.ithome.com.tw/itadm/article.php?c=83923＿