謝尚賢 國立臺灣大學 土木工程學系教授兼系主任 BIM 研究中心主任 應用 BIM(Building Information Modeling)進行建築與土木工程 資訊管理的 ISO 國際標準,ISO 19650,於 2018 年底正式發布了。雖 然只是先發布前兩個部分,ISO 19650-1 [1]及 ISO 19650-2 [2],但已 明確宣示 BIM 應用全球化的正式到來。2019 年夏天,由英國標準協 會(以下簡稱 BSI)、臺大 BIM 研究中心、臺灣營建研究院、台灣建 築資訊模型協會、台灣建築中心及台灣人居環境全生命週期管理學會 共同組成的 Taiwan BIM Task Group,完成了 ISO 19650-1 及 ISO 19650-2 中文版的翻譯與推出(歡迎至臺大 BIM 研究中心首頁下載電 子版:https://www.ntubim.net/),讓臺灣營建業能更容易地理解 BIM 資訊管理的概念和原則,還有在資產交付階段所應有的資訊管理流程 與作為,也掀起了新一波的 BIM 應用風潮與討論,時至今日,國內 已有數家顧問公司及營造公司取得 ISO 19650 之認證。 ISO 19650-5 今夏發布 協助瞭解 BIM 應用之資安弱點 今年(2020 年)夏天,ISO 又正式發布了 19650-3 [3]及 19650-5 [4]兩個標準,ISO 19650-3 指明應用 BIM 於資產營運階段所應有的資 訊管理流程與作為,而 ISO 19650-5 則提供了一個架構(framework), 來協助組織在應用 BIM 時,能瞭解資訊安全的關鍵弱點,並且管理 安全風險至相關單位都能容許的程度所需控制之本質為何,也是本篇 文章要介紹的重點。 數位科技的進步與普及,在過去十多年來突飛猛進,人類也以越來越快的速度在數位虛擬空間中開疆闢土,好處是善用數位虛擬空間 的優勢來協助人類在實體物質空間中的各項作為,但同時人類的生活 也幾乎離不開數位世界。同樣的,數位化時代雖然為資訊管理帶來不少好處,但也帶來了一些新的風險,尤其是在資訊安全方面。相信大 家從報章雜誌中越來越多的資安事件報導,也應已感受到現今資安教 育遠遠落後於數位科技的發展與應用,民眾的資安意識普遍不足,加上駭客與詐騙手法的推陳出新,資訊管理必須有效控管安全的風險,才不會造成個人、組織及團隊之損失。 資訊安全管理要保障的主要是資料的機密性(Confidentiality)、完整性(Integrity)與可用性(Availability)。通常大家最常想到的資 訊安全問題就是機敏性資料的洩漏或盜取,可能是因為沒有適當地管 理權限與存取機制、系統中毒被植入後門木馬、或被駭客透過系統弱 點入侵,加上又沒有對機敏資料適當地加密保護,因而資料的機密性未能保障。另一種是資料受到不當的竄改,或因資料處理或儲存不當而損毀,造成資料的完整性未能保障。最後是資料的可用性問題。大 家應有聽說過,有人電腦中毒,結果所有的資料都被惡意加密綁架, 資料的機密性與完整性雖無損傷,但資料的可用性卻出了大問題,除非付贖金解除加密或能自行破解加密,才能恢復正常運作,這也是資訊安全管理要小心防範的。 啟動機敏性風險評估並審查安全策略 因為 BIM 應用常是跨組織的合作,針對組織、部門或系統所設 計的 ISO 27001 資訊安全管理標準並不適用,因此 ISO 19650-5 特別 提出一個具安全意識及以風險為基礎的資訊管理方法來因應 BIM 應用專案中跨組織的資訊安全管理需求。以下對 ISO 19650-5 中建議的 方法做些概述。 首先,要啟動機敏性評估程序,以瞭解安全風險範圍,並確認組 織本身及任何第三方組織的資訊機敏性。除了記錄機敏性評估結果,也要對機敏性評估進行審查,以確認使用安全意識資訊管理方法的必要性。 一旦確認了必要性,就會開始啟動具安全意識的資訊管理方法, 管理高層應先建立所需的治理機制與責任人員。再來才開始進行安全 風險評估,然後發展安全風險降低之方法,並記錄殘餘及容許之安全 風險。最後,還要建立週期性或事件觸發的機制來審查所有的安全策略。 發展資安管理計畫 有步驟控制與降低損失接下來便是要發展出一套資訊安全管理計畫,內容包括:資訊提 供給第三方之規範,建立有邏輯的安全管理手段;釐清個人的管理安 全責任,執行監督及審計;還要建立週期性或事件觸發的機制來審查 安全管理計畫。 在資訊安全管理計畫中,對於安全漏洞與事件也應發展出因應計 畫,從發現安全漏洞與事件開始,即能有步驟與手段地控制與降低損 害,同時回復損失,並透過事後審查來評估殘留風險與潛在的新風險,相關的政策與流程也須更新來反映評估結果,以避免或降低相同資安漏洞或事件再發生之風險。 與合作夥伴分享之機敏資訊 應明文規範管理標準 對於與合作夥伴間的資訊分享,尤其是機敏資訊,應建立資訊分 享協議,確保合作夥伴能符合資訊安全管理計畫中之要求,並在委任 文件中規範所需的安全管理手段與標準。 從以上對 ISO 19650-5 的簡介不難看出,具有資訊安全及風險管 理意識,掌握組織本身及任何第三方組織的資訊機敏性,是資訊安全 管理的開始。然後便可依循一定的方法來發展出一套資訊安全管理計 畫,包括能因應安全漏洞與事件發生的管理手段,再搭配適當的法律 文件與手段,應就能有效控管跨組織合作 BIM 應用中的資訊安全風 險。 參考文獻
轉載自營建知訊第453期,頁80-84。
0 評論
發表回覆。 |
文章類別
發佈時間
三月 2023
|