第 323 期

院務紀事
本院資訊安全與資訊服務管理制度之導入與遠景
Computing and Information Center implements information security management system

本院資訊中心因應竹南院區的資訊設備與網路設施建置初期,依資訊安全認證標準(BS7799)及資訊技術服務架構之規範(Information Technology Infrastructure Library, ITIL)建立資訊作業之制度與規範。目前已針對機房為認證範圍完成資訊安全管理系統(Information Security Management System, ISMS)之建置,導入部分資訊服務管理制度,希望除了能提供院內同仁可靠又安全的資訊使用環境外,亦希望藉由高品質的資訊服務平台,協助院內研究同仁迅速完成相關研究計畫。

資訊安全管理系統
本院資訊中心建立的資訊安全機制中,除了包含實體環境的管理,如機房的溫、濕度、電壓控制、門禁管理及警衛配置等,亦包含大家所熟知的權限控管、系統備份、防火牆安裝、防毒軟體、網路區隔、教育訓練、資安事件處理及業務人員簽訂的保密條款等,涵蓋了組織、程序、技術等所有組成資訊安全體系的構面。此外,因駭客攻擊等資安事件頻傳,針對院內重要資訊服務如NDS系統、電子郵件系統、全球資訊網、院內網站及行政系統等重要資訊服務系統,於2004年起即建置備援機制,以確保本院相關服務隨時處於正常運作狀態,每半年會舉行異地備援切換演練,以確認相關備援機制之可行性及正確性。

資訊安全與使用者方便性就像位於天平上的兩個端點,越注重資訊安全,使用者之方便性及自主性就相對越低如何在使用者方便性、自主性與資訊安全兩者中取得平衡,則隨時根據現況及趨勢隨時調整政策及方向。

資訊服務管理系統
在導入資訊服務架構時,若一次導入所有程序,可能強烈衝擊原有組織文化,甚至引起反彈而導致失敗,故以階段性導入為宜。本院資訊服務系統於初期即導入服務櫃台(service desk)、事件管理(incident management)及問題管理(problem management)等程序,原因在於這三者掌管了資訊服務的第一線營運,且只要藉由IT部門內部的工作權責、流程重新劃分,便能於短時間內讓使用者感受到IT部門資訊服務品質及服務效能的提升,成本支出相對較少,改變卻最立即可見。

在服務櫃台未上線前,同仁習慣找特定信任的資訊人員解決所有資訊問題,但資訊的領域很廣,往往需要再經過數次的電話專訪方能解決問題;服務櫃台的上線,不僅能由一線人員於直接於線上解決使用者簡單的需求或問題,同時也能讓其他同仁更專注於其專門業務,作更好的人力資源利用;過程中若一線人員無法解決,再由對應的二線人員解決。

在導入服務櫃台的過程中,相關作業人員需經過不斷的互相協調,建立標準作業程序,以快速回應同仁各式各樣的需求。在上線初期中心也確實面臨了種種的挑戰,例如同仁可能無法明確敘述需求或問題,可能因此延誤解決的速度與效率,或者使用者仍然習慣找特定資訊人員解決所有資訊問題,造成程序問題,諸如此類的狀況皆已一一克服。

在尚未導入問題管理及事件管理程序前,資訊中心無法馬上得知問題或事件的發生,或因為沒有統計追蹤的機制,而常導致問題或事件重複發生,甚至因為沒有專人判斷分層處理的機制,而導致重要的問題被忽略。在導入問題管理與事件管理後,因為統計追蹤、量化的報表、問題及事件分級的結果,使得問題或事件有了先後處理的判斷依據,針對重複發生的問題或事件進行改善及矯正,降低問題或事件重複發生的機率,也經由所有的紀錄找出潛在性問題,提早預防問題或事件的發生,確保所有問題或事件可以妥善被處理。

系統整合
本院在導入資訊安全與資訊服務時是以2個專案獨立運作,並沒有立即整併;但在後續營運的過程中發現,當資安事件發生,進而造成機房運作停擺時,其實在資訊服務運作的相關紀錄中,已有跡可循;資安事件的追蹤處理與預防矯正,可藉由資訊服務的問題管理程序與事件管理程序作良好的控管及事先預防;且資訊安全與資訊服務就像孿生兄弟一樣,對於作業面的要求,都是凡走過必留下痕跡,然後才能根據歷史紀錄進行分析,並且改善相關的作業流程與分工。

未來本院將把其他資訊作業逐步納入資安認證範圍內,並逐步導入其他資訊服務管理程序,最終的目標在於將資訊安全與資訊服務兩者作整合,提供一穩定安全之研究資訊平台及優質的資訊服務。
《文/圖:資訊中心劉永安、吳玓玲》