臺大BIM研究中心
  • 首頁
  • 關於BIM中心
    • 組織成員
    • 歷年活動
  • BIM專欄
    • 營建知訊列表
    • 土木水利電子報列表
  • 出版/媒體
  • 教育活動
    • 暑期課程/高中職營隊
    • 年度訓練計畫
    • 開放式課程
    • 訓練活動
    • 研討活動
    • BIM for Owners
    • 學員回饋
  • 相關連結
    • 合作夥伴
    • 國內外 BIM 網站
  • 聯繫訊息
  • FB粉絲頁
  • 台灣BIM聯盟
  • 企業徵才

[營建知訊轉載]BIM 專案資安管理 ISO 19650-5提因應計畫 謝尚賢 (2020.10)

10/28/2020

0 評論

 
謝尚賢 國立臺灣大學 土木工程學系教授兼系主任 BIM 研究中心主任

應用 BIM(Building Information Modeling)進行建築與土木工程 資訊管理的 ISO 國際標準,ISO 19650,於 2018 年底正式發布了。雖 然只是先發布前兩個部分,ISO 19650-1 [1]及 ISO 19650-2 [2],但已 明確宣示 BIM 應用全球化的正式到來。2019 年夏天,由英國標準協 會(以下簡稱 BSI)、臺大 BIM 研究中心、臺灣營建研究院、台灣建 築資訊模型協會、台灣建築中心及台灣人居環境全生命週期管理學會 共同組成的 Taiwan BIM Task Group,完成了 ISO 19650-1 及 ISO 19650-2 中文版的翻譯與推出(歡迎至臺大 BIM 研究中心首頁下載電 子版:https://www.ntubim.net/),讓臺灣營建業能更容易地理解 BIM 資訊管理的概念和原則,還有在資產交付階段所應有的資訊管理流程 與作為,也掀起了新一波的 BIM 應用風潮與討論,時至今日,國內 已有數家顧問公司及營造公司取得 ISO 19650 之認證。

ISO 19650-5 今夏發布 協助瞭解 BIM 應用之資安弱點

今年(2020 年)夏天,ISO 又正式發布了 19650-3 [3]及 19650-5 [4]兩個標準,ISO 19650-3 指明應用 BIM 於資產營運階段所應有的資 訊管理流程與作為,而 ISO 19650-5 則提供了一個架構(framework), 來協助組織在應用 BIM 時,能瞭解資訊安全的關鍵弱點,並且管理 安全風險至相關單位都能容許的程度所需控制之本質為何,也是本篇 文章要介紹的重點。 
數位科技的進步與普及,在過去十多年來突飛猛進,人類也以越來越快的速度在數位虛擬空間中開疆闢土,好處是善用數位虛擬空間 的優勢來協助人類在實體物質空間中的各項作為,但同時人類的生活 也幾乎離不開數位世界。同樣的,數位化時代雖然為資訊管理帶來不少好處,但也帶來了一些新的風險,尤其是在資訊安全方面。相信大 家從報章雜誌中越來越多的資安事件報導,也應已感受到現今資安教 育遠遠落後於數位科技的發展與應用,民眾的資安意識普遍不足,加上駭客與詐騙手法的推陳出新,資訊管理必須有效控管安全的風險,才不會造成個人、組織及團隊之損失。

資訊安全管理要保障的主要是資料的機密性(Confidentiality)、完整性(Integrity)與可用性(Availability)。通常大家最常想到的資 訊安全問題就是機敏性資料的洩漏或盜取,可能是因為沒有適當地管 理權限與存取機制、系統中毒被植入後門木馬、或被駭客透過系統弱 點入侵,加上又沒有對機敏資料適當地加密保護,因而資料的機密性未能保障。另一種是資料受到不當的竄改,或因資料處理或儲存不當而損毀,造成資料的完整性未能保障。最後是資料的可用性問題。大 家應有聽說過,有人電腦中毒,結果所有的資料都被惡意加密綁架, 資料的機密性與完整性雖無損傷,但資料的可用性卻出了大問題,除非付贖金解除加密或能自行破解加密,才能恢復正常運作,這也是資訊安全管理要小心防範的。

啟動機敏性風險評估並審查安全策略

因為 BIM 應用常是跨組織的合作,針對組織、部門或系統所設 計的 ISO 27001 資訊安全管理標準並不適用,因此 ISO 19650-5 特別 提出一個具安全意識及以風險為基礎的資訊管理方法來因應 BIM 應用專案中跨組織的資訊安全管理需求。以下對 ISO 19650-5 中建議的 方法做些概述。

首先,要啟動機敏性評估程序,以瞭解安全風險範圍,並確認組 織本身及任何第三方組織的資訊機敏性。除了記錄機敏性評估結果,也要對機敏性評估進行審查,以確認使用安全意識資訊管理方法的必要性。
一旦確認了必要性,就會開始啟動具安全意識的資訊管理方法, 管理高層應先建立所需的治理機制與責任人員。再來才開始進行安全 風險評估,然後發展安全風險降低之方法,並記錄殘餘及容許之安全 風險。最後,還要建立週期性或事件觸發的機制來審查所有的安全策略。 發展資安管理計畫 有步驟控制與降低損失接下來便是要發展出一套資訊安全管理計畫,內容包括:資訊提 供給第三方之規範,建立有邏輯的安全管理手段;釐清個人的管理安 全責任,執行監督及審計;還要建立週期性或事件觸發的機制來審查 安全管理計畫。 在資訊安全管理計畫中,對於安全漏洞與事件也應發展出因應計 畫,從發現安全漏洞與事件開始,即能有步驟與手段地控制與降低損 害,同時回復損失,並透過事後審查來評估殘留風險與潛在的新風險,相關的政策與流程也須更新來反映評估結果,以避免或降低相同資安漏洞或事件再發生之風險。

與合作夥伴分享之機敏資訊

應明文規範管理標準 對於與合作夥伴間的資訊分享,尤其是機敏資訊,應建立資訊分 享協議,確保合作夥伴能符合資訊安全管理計畫中之要求,並在委任 文件中規範所需的安全管理手段與標準。

從以上對 ISO 19650-5 的簡介不難看出,具有資訊安全及風險管 理意識,掌握組織本身及任何第三方組織的資訊機敏性,是資訊安全 管理的開始。然後便可依循一定的方法來發展出一套資訊安全管理計 畫,包括能因應安全漏洞與事件發生的管理手段,再搭配適當的法律 文件與手段,應就能有效控管跨組織合作 BIM 應用中的資訊安全風 險。

參考文獻
  1. ISO(2018). ISO 19650-1: Organization and digitization of information about buildings and civil engineering works, including building information modelling (BIM) - Information management using building information modelling - Part 1: Concepts and principles, International Organization for Standardization, Geneva, Switzerland.
  2. ISO (2018).ISO 19650-2: Organization and digitization of information about buildings and civil engineering works, including building information modelling (BIM) - Information management using building information modelling - Part 2: Delivery phase of the assets, International Organization for Standardization, Geneva, Switzerland.
  3. ISO (2018).ISO 19650-3: Organization and digitization of information about buildings and civil engineering works, including building information modelling (BIM) - Information management using building information modelling - Part 3: Operational phase of the assets, International Organization for Standardization, Geneva, Switzerland.
  4. ISO (2018).ISO 19650-5: Organization and digitization of information about buildings and civil engineering works, including building information modelling (BIM) - Information management using building information modelling - Part 5: Security-minded approach to information management, International Organization for Standardization, Geneva, Switzerland. 

轉載自營建知訊第453期,頁80-84。
0 評論



發表回覆。

    RSS 訂閱

    文章類別

    全部
    中國工程師學會 工程雙月刊
    營建知訊

    發佈時間

    三月 2023
    一月 2023
    十月 2022
    九月 2022
    八月 2022
    七月 2022
    六月 2022
    五月 2022
    四月 2022
    三月 2022
    二月 2022
    一月 2022
    十二月 2021
    十一月 2021
    十月 2021
    九月 2021
    八月 2021
    七月 2021
    六月 2021
    五月 2021
    四月 2021
    三月 2021
    二月 2021
    一月 2021
    十二月 2020
    十一月 2020
    十月 2020
    九月 2020
    八月 2020
    七月 2020
    六月 2020
    五月 2020
    四月 2020
    三月 2020
    二月 2020
    一月 2020
    十二月 2019
    十一月 2019
    九月 2019
    八月 2019
    七月 2019
    六月 2019
    五月 2019
    四月 2019
    三月 2019
    二月 2019
    一月 2019
    十二月 2018
    十一月 2018
    十月 2018
    九月 2018
    八月 2018
    七月 2018
    六月 2018
    五月 2018
    四月 2018
    三月 2018
    二月 2018
    一月 2018
    十二月 2017
    十一月 2017
    十月 2017
    九月 2017
    八月 2017
    七月 2017
    六月 2017
    五月 2017
    四月 2017
    三月 2017
    二月 2017
    一月 2017
    十二月 2016
    十一月 2016
    十月 2016
    九月 2016
    八月 2016
    七月 2016
    六月 2016
    五月 2016
    四月 2016
    三月 2016
    二月 2016
    一月 2016
    十二月 2015
    十一月 2015
    十月 2015
    九月 2015
    八月 2015
    七月 2015
    六月 2015
    五月 2015
    四月 2015
    三月 2015
    二月 2015
    一月 2015
    十二月 2014
    十一月 2014
    十月 2014
    九月 2014
    八月 2014
    七月 2014
    六月 2014
    五月 2014
    四月 2014
    三月 2014
    二月 2014
    一月 2014
    十二月 2013
    十一月 2013
    十月 2013
    九月 2013
    八月 2013
    六月 2013
    五月 2013
    四月 2013
    三月 2013
    二月 2013
    一月 2013
    十二月 2012
    十一月 2012
    十月 2012
    九月 2012
    八月 2012
    七月 2012
    六月 2012
    五月 2012
    四月 2012
    三月 2012
    二月 2012
    一月 2012
    十二月 2011
    十一月 2011
    十月 2011
    九月 2011

Proudly powered by Weebly
  • 首頁
  • 關於BIM中心
    • 組織成員
    • 歷年活動
  • BIM專欄
    • 營建知訊列表
    • 土木水利電子報列表
  • 出版/媒體
  • 教育活動
    • 暑期課程/高中職營隊
    • 年度訓練計畫
    • 開放式課程
    • 訓練活動
    • 研討活動
    • BIM for Owners
    • 學員回饋
  • 相關連結
    • 合作夥伴
    • 國內外 BIM 網站
  • 聯繫訊息
  • FB粉絲頁
  • 台灣BIM聯盟
  • 企業徵才