樊國楨
數聯資安股份有限公司資深顧問
國立交通大學資訊管理研究所兼任副教授
中華資訊安全管理協會秘書

資訊化目前已是全球發展之趨勢，無論政府、企業、金融、貿易、生產等機構暨行業的管理、經營與交易莫不依賴資訊及通信做為迅速、有效之媒介和工具，而成為內部作業以及相互連絡的重要資產與成功基礎。

上述的趨勢及運用固然帶來莫大之好處和便利，惟隨之而來的：「如何確保客戶與公司內部資訊之機密性、完整性及可用性，以至防範犯罪行為的發生。」已成為數位社會重要之課題。

ISO/IEC 17799:2000(E)：資訊安全管理之作業要點，於2000年12月1日頒布，首先自英國提倡後，逐漸成為建置如(圖一)所示的資訊安全管理系統之依據。為強化ISO/IEC 17799:2000(E)在技術控制與作業控制之方面的不足，國際標準組織(International Organization for Standardization，簡稱ISO)除立即制定ISO/IEC FDIS 17799:2005(E)新版外，並於2004年10月4日公布資訊安全管理模型做為資訊社會安全奠基之準繩。

經濟部標準檢驗局已分別在2002年12月5日公布中國國家標準(Chinese National Standards，簡稱CNS)之CNS 17799與CNS 17800，並於2003年5月12日根基於EA7/03：2000公布「資訊安全管理系統驗證／登構之認證指引」，完備資訊安全管理系統驗證作業相關的國家標準，經濟部標準檢驗局在2004年2月也頒發出第1張資訊安全管理系統之驗證證書。在共同準則方面，於2004年1月9日及4月12日，經濟部標準檢驗局依序公布「資訊技術－安全技術－資訊技術安全評估準則」之CNS 15408系列標準之第1部、第2部及第3部。前述計畫執行3年多來，於推動政府機關對於資訊安全之重視，與帶動民間對於資訊安全防護工作的投入不遺餘力，並已具初步成效，唯因資訊安全工作係一需持續推動之重要工作，「行政院國家資通安全會報」於2004年5月7日已正式公布我國94至97年的第二期「建立我國通資訊基礎建設安全機制計畫」，做為我國擬定資訊安全政策及工作要項以及解決各層級資訊安全問題關連性的依據。

資訊安全國際標準工作組織歷程與我國國家標準簡述

國際間資訊安全標準因密碼學研究之成果逐漸在政府大量使用，於1977年1月5日，美國頒布聯邦資訊處理標準(Federal Information Processing Standards，簡稱FIPS)出版品(Publication)第46號之資料加密標準(Data Encryption Standard，簡稱DES)起，藉著金融交易的需求，至1987年6月1日ISO負責：「銀行、安全與其他金融服務(Banking，securities and financial services)」之第68技術委員會(Technical Committee，簡稱TC68)根基於DES，頒布了ISO 8731，成為第1分ISO之資訊安全的國際系列標準【註1-2】。

為制定密碼技術之標準，負責訂頒資訊處理(Information processing)標準之ISO TC97於1981年1月召開第1次之第1工作會(Working Part 1，簡稱WP1)，自1983年起，TC97 WP1將此項工作轉交由德國標準機構支援的「資料密碼學技術(Data cryptographic techniques)」的第20分組(Subcommittee，簡稱SC20)，SC20下轄秘密金鑰演算法與應用(Secret key algorithms and applications)之第1工作小組(Working Group，簡稱WG1)、公開金鑰密碼系統與模型的使用(Public key crypto-systems and modes of use)之WG2與在通訊架構中使用加密技術(Use of decipherment techniques in communication architectures)的WG3，正式展開資訊安全國際標準的制定工作。1986年上半年美國書面建議TC97修正SC20之工作範疇，不要再發展加密演算法之標準；TC97在1986年5月召開會員大會(Plenary meeting)，將此數個會員國關切的政治上敏感之議題提交ISO會議(Council)，ISO會議決定不頒布加密演算法之ISO 8227，同時調整TC97 SC20的工作方向【註3-4】。

1989年，由ISO與國際電工委員會(International Electro-technical Commission，簡稱IEC)，在根基於共同與一般之安全測量標準已取代僅根基於密碼學應用之特定範圍標準的制定工作，成立如圖二所示之ISO/IEC第1聯合技術委員會(Joint Technical Committee，簡稱JTC1)的資訊技術(Information Technology，簡稱IT)安全技術(Security Techniques，簡稱ST)之第27分組委員會(Sub-Committee，簡稱SC27)。ISO/IEC JTC1/SC27下轄3個工作組(Working Group，簡稱WG)分別就資訊安全之「需求、安全服務與指導綱要」、「安全技術與機制」及「安全評估準則」遵循如下之步驟制定國際標準：

1. 研究階段(Study Period)：就一標準之需求非正式的交由委員會加以研究，將其結果就此需求刪除或提交新工作項目建議書(New work item Proposal，簡稱NP)進行票決。
2. 新工作項目建議書(NP)階段：完成提交JTC1秘書處之建議書。
3. 工作草案(Working Draft，簡稱WD)階段：分項委員會(SC)或工作小組(WG)內部文件集。
4. 委員會草案(Committee Draft，簡稱CD)或技術報告草案建議(Proposed Draft Technical Report，簡稱PDTR)階段：當WD考量其穩健性已足夠充分後，由分項委員會向ISO/IEC之資訊技術工作組(Information Technology Task Force，簡稱ITTF)登錄成為CD，由SC國家會員代表在3個月內投票並提出評論，相關文件由JTC1派送。
5. 國際標準草案(Draft International Standard，簡稱DIS)或技術報告草案(Draft Technical Report，簡稱DTR)階段：當CD或PDTR已充分討論，無技術面被期待之修改，SC向ITTF提出票決成為DIS或DTR，由JTC1國家會員代表4個月內投票並提出評論。
6. 國際標準(International Standard，簡稱IS)或技術報告(Technical Report，簡稱TR)階段：遵循IS或TR出版之程序，就各個國家會員代表發現技術錯誤的瑕疵報告(Defect Report)，SC決定此IS或DTR修正、取銷或頒布IS或TR。
7. 審核(Review)階段：每分IS在5年、TR在3年內應重新審核，由SC負責提出IS或TR宜修正、作廢或維持之確認報告後，由JTC1決定。

ISO TC68密碼演算法標準繼續TC97 SC20的類似工作，差別僅在銀行(Banking)還是資訊技術(Information Technology，簡稱IT)。1996年10月ISO與國際電工協會(International Electro-technical Commission，簡稱IEC)轄下之第1聯合技術委員會(Joint Technical Committee1，簡稱JTC1)之SC27的會員大會中建議恢復SC20的工作範疇，1986年12月之JTC1會員大會中，全體一致同意ISO/IEC JTC1 SC27之新工作方向。

1995年行政院成立國家資訊基礎建設(National Information Infrastructure，簡稱NII)，「資訊安全」亦列入主要規劃項目之一，其目的在確保NII中各項資訊應用資料的安全使用。自1996年起，以ISO/IEC JTC1/SC27 WG2的「實體驗證」與ISO TC68及ISO/IEC JTC1/SC27的「識別卡以及相關裝置(Identification card and related devices)」分組委員會制定之「金融交易卡」等國際標準等以委辦案方式轉訂成我國國家標準(Chinese National Standard，簡稱CNS)草案，再由CNS「資料安全技術」的11分組(SC11)負責審議，公布CNS標準【註5】。2001年起，前述委辦之方向，配合「建立我國通資訊基礎安全機制計畫」之工作，從密碼應用的特定範圍標準，轉換成ISO/IEC JTC1/SC27 WG1與WG3 之「資訊安全管理」及「資訊安全評估」相關國際標準和ISO/IEC JTC1/SC27的「軟體工程過程評鑑」與「軟體產品評估」等相關國際標準等，轉訂成CNS草案的現行方向。CNS 14731、CNS 17799、CNS 17800與CNS 15408系列標準及CNS 14785系列標準均是此階段產生之CNS標準。

TOP
1│2│3   下一頁 【回本期首頁】