美国联教材邦政府资讯安全管理系统稽核作业跟相关标准初探.pdfVIP

美國聯邦政府資訊安全管理系統稽核作業與相關標準初探 1、2 1 3 1 、徐鈺宗 、楊仲英 、李孝詩 樊國楨 1.鈺松國際資訊股份有限公司 2.交通大學資訊管理研究所 3.國防部陸軍總司令部 中華民國九十三年十月九日 摘要： 為落實資訊安全保證之標的，美國管理與預算辦公室(Office of Management and Budget，簡稱 OMB)自 2000 年起，每年公布其資訊安全評鑑報告。美國國家標準與技 術研究院(National Institute of Standards and Technology，簡稱NIST)等機構已頒布資訊 系統安全自我評鑑指引、聯邦資訊系統安全驗證與認證指導綱要等文件，堅實 OMB 之 稽核工作。本文研析美國聯邦政府資訊安全管理稽核作業的內涵，並探討已頒布及正 訂定之美國聯邦政府根基於共同準則的驗證與認證作業概要以及發展。 關鍵詞： 1. 稽核(Audit)。 2. 驗證與認證(Certification and Accreditation)。 3. 共同準則(Common Criteria)。 4. 框架(Framework)。 5. 資訊保證(Information Assurance)。 6. 標準(Standard)。 一、 前言： 為了對聯邦政府行政部門中的資訊技術（Information Technology，簡稱 IT）系統 進行驗證和認證（Certification and Accreditation，簡稱 CA），美國國家標準與技術 研究院（National Institute of Standards and Technology，簡稱NIST）制定了一個4 階段 標的之過程以及通用任務和具體的子任務，以提供 IT 系統安全之 CA 新方法，通過 使用標準化的流程來驗證IT 系統中的安全控制之正確性和有效性，以確保IT 系統具有 足够 的安全性。冀望在針對機密性、完整性和可用性的低、中、高三個級別來使用標 準化的最小安全控制規範，在實施標準化的查證技術和確認流程後【1】，能夠推動： 1. 更一致、更具可比性和重覆性的IT 系統認證工作； 2. 為負責授權的官員提供更全面的可靠的資訊－使得對複雜的 IT 系統及其中的 風險和脆弱性有更好的理解； 3. 管理層官員能够 做出更加明智的决策，以支援認證過程。 盡管CA 過程主要針對的是美國聯邦系統對敏感（非涉密）資訊的處理、儲存和 傳輸，但是相關的任務和子任務、安全控制以及查證技術和查證流程是在廣泛的範疇 內定義的，能够 普遍適用於各類 IT 系統（如果有關法令提出了這樣要求），其中也包 括國家安全或情報使用之IT 系統。 美國1983 年 9 月已頒布第 102 號聯邦資訊處理標準（Federal Information Process Standard，簡稱FIPS）「電腦驗證與認證指導綱要」，源自FIPS 102 的經由圖 1.1之機 制推動的成果，提出如圖 1.2 之安全模式以及如圖 1.3 所示 NIST CA 中的 SP 800-53 已成為國際標準組織（International Organization for Standardization ，簡稱ISO）據以起 草ISO/IEC TR 19791【2】之藍本。 - 35- 白宮 國會 總統令 法律 NIST OMB GSA OPM 其他 標準與指引