敬請註冊 ... !    登入
關於本協會
登入
軟體品質資源專區
主選單
最新討論文章
討論區主頁
   資訊安全管理
     軟體專案中的資訊安全管理之實作過程--ISO/IEC 15288與ISO/IEC 12207
無發表權

樹狀顯示 | 新的在前 前一個主題 | 下一個主題 | 頁尾
發表者 討論內容
tyrone
發表時間: 2008-12-06 16:56
網站管理員
註冊日: 2003-04-19
來自: CSQA
發表數: 342
軟體專案中的資訊安全管理之實作過程--ISO/IEC 15288與ISO/IEC 12207
  在資訊安全管理成為顯學的此刻,有許多軟體產品與服務的獲取者,尤其是政府部門(含軍事單位)的獲取者,對於在軟體專案或軟體產品與服務的資訊安全管理議題,產生了濃厚的興趣,因此,常常會在相關之委外建置專案的建議徵求書(RFP)中述及此一議題,期使在未來的產品或服務獲取專案中,能將資訊安全做好。
  相對於這樣的要求,對於工程管理或專案管理具相當理解的人員,或許會想要從一些業界最佳實務上下手,看看是否能夠找到一些具體的作法,當然CMMI-能力成熟度模型這個業界[既成標準(de-facto standard)]也會是被探求的對象之一,但是,要注意到的是,CMMI談的是產品發展、獲取(以及服務,在未來的版本中)等方面的「組織能力成熟度」,因此,其中的最佳實務是圍繞在所提出的幾個過程領域(PA)上。基於對核心課題的說明,有關於這些核心課題的資訊或資料的安全性,是比較隨性提及的。如果,以"security"做為關鍵字,可能可以找到一些相關的敘述,但這些相關的敘述均是落在CMMI框架中所謂的「期望(expected)」或「說明(informative)」之類的實務(常規)或子實務(子常規)之中,同時在資訊的管理上,就沒有明確地以「資訊管理」字眼方式陳述,而是在專案規劃(PP)中之SP 2.3 Plan for Data Management(此為「期望」履行的活動)來引導,其使用的字眼為"資料管理",所提列的典型工作產品,包括:Privacy requirements(隱私權需求)、Security requirements(安全性需求)、Security procedures(安全性程序)、Mechanism for data retrieval, reproduction, and distribution(資料檢索、重製、與分發的機制)、Schedule for collection of project data (專案資料蒐集的時程)等(以上為說明性之資訊,非要求)。而有關的子實務則如下:
  1. Establish requirements and procedures to ensure privacy and security of the data.
    建立確保資料私密性與安全性的需求與程序。
  2. Establish a mechanism to archive data and to access archived data.
    建立資料封存與存取封存資料的機制。
  3. Determine the project data to be identified, collected, and distributed.
    判定將予識別、蒐集、與分發的專案資料。
  當然從資訊安全的角度上來看,CMMI對於資訊安全的要求並不夠全面,因為畢竟資訊安全管理在CMMI裡,並不是要角,就SEI而言,也無意讓CMMI中充滿了資安的議題,畢竟相對於資訊安全這個議題而言,亦已有SSE-CMM的框架問世。在CMMI中所提供的是一些可能的作為,而這些可能的作為,仍然需要透過一些”風險角度”的評斷,才能決定這些子常規是否須履行,以及履行的程度多深,畢竟,資安是一個花錢的課題,而且必須在風險應對的成本與效益之間取得平衡。
  另外,我們應瞭解到的是,從相關的定義來看,資訊安全管理乃是資訊管理的一個部分,因此,當我們看專案中的資訊安全管理的問題時,應該從「資訊管理」的角度來看,或許可以找到更為完整、可以應用於專案之中的資訊管理過程。
  在2008年版的ISO/IEC 15288 系統生命週期過程標準與ISO/IEC 12207 軟體生命週期過程標準中,均於6.3專案管理過程(Project Management Processes)的6.3.6資訊管理過程(Information Management Process)明確地對於系統生命週期間專案管理上的資訊管理,提供了目的、結果及資訊管理活動與工作的相關指引,而此資訊管理的範圍中,儘管用到"security"字眼的地方並不多,但確實涵蓋了資訊安全管理的相關工作,實可作為一般公司,即使未導入ISMS的情況下,亦能在專案之中,經由此資訊管理過程,達到一定的資訊安全管理程度。有關資訊管理的過程列示如下,其中,筆者將以括弧加注說明其與資訊安全管理的關聯性。
    6.3.6 資訊管理過程
    6.3.6.1 目的
        資訊管理過程之目的在系統生命週期間或酌情於之後,提供相關、適時、完整、有效、若需要、機密的資訊給指定的各方。(目的包含資訊安全管理,保護資訊的機密性、完整性、可用性)
        本過程在產生、蒐集、轉變、保存、檢索、傳播、廢棄資訊。其管理指定的資訊,包含技術性、專案、組織性、協議及使用者資訊。(此範圍較CMMI在資料管理所明示的範圍更加廣泛,當然對於CMMI而言,可能將資安管理議題散於各個PA中,但若對於資安議題缺乏完整之概念,則在實時各個PA、在專案或組織流程改善活動中,將可能遺漏了這些事項,因此最佳的方式,應該是從一完整的資訊管理角度切入,做全面性地規劃與執行,方能達成資訊管理與資訊安全管理的目標)
    6.3.6.2 成果
        資訊管理過程成功實作的結果為:
        (1) 將管理的資訊已識別。(這些會包括各個過程產生的資訊、產品資訊、專案管理資訊,諸如度量與分析、產品的功能性數據資料等等)
        (2) 資訊呈現的形式已定義。(以便能達成資訊的可用性與完整性)
        (3) 資訊已依需要轉變與處置。(達到機密性、完整性與可用性)
        (4) 資訊的狀態已記錄。(建立追溯性確保資訊與資料的完整性)
        (5) 資訊是最新、完整且有效的。(完整性)
        (6) 資訊已對指定的各方可用。(可用性)
        備考:軟體文件管理過程是資訊管理過程的一項特化,包含在軟體支援過程群組中。
    6.3.6.3 活動與工作
        專案應依照可應用、關於資訊管理過程的組織政策與程序實作下列活動與工作。
        備考:ISO/IEC 15289概述資訊項目(文件)需求,並提供其發展指導。
     6.3.6.3.1 資訊管理規劃。本活動由下列各項工作所構成:
      6.3.6.3.1.1 專案應定義在系統生命週期間將予管理,並依據組織政策或法令,於一定義的期間以上予以維護之資訊的項目。
      6.3.6.3.1.2 專案應就資訊項目的發源、產生、擷取、封存及廢棄,指定權責與職責。
      6.3.6.3.1.3 專案應定義與資訊項目之保存、傳送及存取有關的權利、義務及承諾。(與風險評鑑、風險管理有關,決定資訊如何管理、如何保護)
      備考:該有的關心投注在資訊與資料法令、安全性及私密性,例如,所有權、協議的限定、存取權限、智慧財產與專利。於限定與限制條件應用之處,資訊需相應地予以識別。知曉此等資訊項目之職員,其義務與職責要被告知。
      6.3.6.3.1.4 專案應定義資訊呈現、保存、傳送及檢索的內容、語意、格式與媒體。(與可用性、完整性及機密性的風險有關)
      備考:資訊可以任何形式(例如,口語式、文字式、圖片式、數字式)發源與終止,且可使用任何媒介(例如,電子式、印刷式、磁性式、光學式)儲存、處理、複製、傳送。投注應有的關心於組織的限制條件,例如,基礎建設、組織際通訊、分散式專案運轉。相關的資訊儲存、轉變、傳送與呈現標準及慣例,要根據政策、協議及法律限制而使用。
      6.3.6.3.1.5 專案應定義資訊維護措施。
      備考:本工作包括就完整性、有效性及可用性,以及有所複製或轉變至替代性媒體之需求的儲存資訊狀態審查。考慮若非於技術變革時,保存基礎建設,以使封存的媒體能被讀取,即是使用新技術重新記錄封存媒體的需要。
     6.3.6.3.2 資訊管理執行。本活動由下列各項工作所構成:
      6.3.6.3.2.1 專案應取得已識別的資訊項目。
      備考:本工作可包括產生資訊或自適的來源蒐集之。
      6.3.6.3.2.2 專案應根據完整性、安全性與私密性的需求,維護資訊項目及其儲存的紀錄。(已含資訊之機密性、完整性與可用性要求)
      備考:記錄資訊項目的狀態,例如,版本描述、分發紀錄、安全性分類。資訊宜為易讀的與可儲存的,且以易於使用設備檢索、提供適合的環境、預防損害、變質及損失的方式,予以保存。
      6.3.6.3.2.3 專案應依商定時程或定義之情況的要求,檢索及分發資訊給指定的各方。(已含有機密性、完整性與可用性要求)
      備考:資訊以適當的形式提供給指定的各方。
      6.3.6.3.2.4 專案應依要求提供正式的文件。(可用性要求)
      備考:正式文件的例子為證書、委任狀、機師執照及評鑑評等(rating)。
      6.3.6.3.2.5 專案應依照稽核、知識留存及專案結案之目的,封存指定的資訊。(已含機密性、完整性與可用性的要求)
      備考:依照規定的存與檢索週期、組織政策、協議與法令,選擇資訊的媒體、位置及保護措施。確保安排就位,以在專案結案後,留存必要的文件。
      6.3.6.3.2.6 專案應根據組織政策、以及安全性與私密性需求,廢棄不欲、無效或未經查證之資訊。(已含機密性、完整性與可用性的要求)

      從上列的資訊管理過程當中,我們亦可以瞭解到,在專案中的資訊管理應該履行的工作與應有的產出(成果),其具體包括了專案中之資訊安全管理的核心工作,當我們在進行專案的規劃時,對於想要做到的一些資訊安全管理工作,實可透過ISO/IEC 15288(同國家標準CNS 15008)或ISO/IEC 12207(同國家標準CNS 14837)中的6.3.6資訊管理過程的實作,來達成與檢驗相關管理的有效性。


----------------
引文:

凡所有相皆是虛妄。見諸相非相。即見如來。

林泰龍
◎軟體品質協會 理事
◎經濟部標準檢驗局資訊及通信國家標準技術委員會(TC21/SC3資訊軟體分組委員會)委員
Youtube Channel: http://www.youtube.com/user/tyrone9304

樹狀顯示 | 新的在前 前一個主題 | 下一個主題 | 頁首

無發表權
 
-=協會通訊地址:10449 台北市中山北路二段106-2號11樓=-
電話:(02)2523-6548 傳真:(02)2523-6547 電子信箱:register@csqa-tw.org.tw=-
-=本網著作權為中華民國資訊軟體品質協會所有,禁止未經授權轉貼節錄=-
Powered by XOOPS , Twe76.net