[營建知訊轉載]BIM 專案資安管理 ISO 19650-5提因應計畫 謝尚賢 (2020.10)

謝尚賢 國立臺灣大學 土木工程學系教授兼系主任 BIM 研究中心主任

應用 BIM（Building Information Modeling）進行建築與土木工程 資訊管理的 ISO 國際標準，ISO 19650，於 2018 年底正式發布了。雖 然只是先發布前兩個部分，ISO 19650-1 [1]及 ISO 19650-2 [2]，但已 明確宣示 BIM 應用全球化的正式到來。2019 年夏天，由英國標準協 會（以下簡稱 BSI）、臺大 BIM 研究中心、臺灣營建研究院、台灣建 築資訊模型協會、台灣建築中心及台灣人居環境全生命週期管理學會 共同組成的 Taiwan BIM Task Group，完成了 ISO 19650-1 及 ISO 19650-2 中文版的翻譯與推出（歡迎至臺大 BIM 研究中心首頁下載電 子版：https://www.ntubim.net/），讓臺灣營建業能更容易地理解 BIM 資訊管理的概念和原則，還有在資產交付階段所應有的資訊管理流程 與作為，也掀起了新一波的 BIM 應用風潮與討論，時至今日，國內 已有數家顧問公司及營造公司取得 ISO 19650 之認證。

ISO 19650-5 今夏發布 協助瞭解 BIM 應用之資安弱點

今年（2020 年）夏天，ISO 又正式發布了 19650-3 [3]及 19650-5 [4]兩個標準，ISO 19650-3 指明應用 BIM 於資產營運階段所應有的資 訊管理流程與作為，而 ISO 19650-5 則提供了一個架構（framework）， 來協助組織在應用 BIM 時，能瞭解資訊安全的關鍵弱點，並且管理 安全風險至相關單位都能容許的程度所需控制之本質為何，也是本篇 文章要介紹的重點。 

數位科技的進步與普及，在過去十多年來突飛猛進，人類也以越來越快的速度在數位虛擬空間中開疆闢土，好處是善用數位虛擬空間 的優勢來協助人類在實體物質空間中的各項作為，但同時人類的生活 也幾乎離不開數位世界。同樣的，數位化時代雖然為資訊管理帶來不少好處，但也帶來了一些新的風險，尤其是在資訊安全方面。相信大 家從報章雜誌中越來越多的資安事件報導，也應已感受到現今資安教 育遠遠落後於數位科技的發展與應用，民眾的資安意識普遍不足，加上駭客與詐騙手法的推陳出新，資訊管理必須有效控管安全的風險，才不會造成個人、組織及團隊之損失。

資訊安全管理要保障的主要是資料的機密性（Confidentiality）、完整性（Integrity）與可用性（Availability）。通常大家最常想到的資 訊安全問題就是機敏性資料的洩漏或盜取，可能是因為沒有適當地管 理權限與存取機制、系統中毒被植入後門木馬、或被駭客透過系統弱 點入侵，加上又沒有對機敏資料適當地加密保護，因而資料的機密性未能保障。另一種是資料受到不當的竄改，或因資料處理或儲存不當而損毀，造成資料的完整性未能保障。最後是資料的可用性問題。大 家應有聽說過，有人電腦中毒，結果所有的資料都被惡意加密綁架， 資料的機密性與完整性雖無損傷，但資料的可用性卻出了大問題，除非付贖金解除加密或能自行破解加密，才能恢復正常運作，這也是資訊安全管理要小心防範的。

啟動機敏性風險評估並審查安全策略

因為 BIM 應用常是跨組織的合作，針對組織、部門或系統所設 計的 ISO 27001 資訊安全管理標準並不適用，因此 ISO 19650-5 特別 提出一個具安全意識及以風險為基礎的資訊管理方法來因應 BIM 應用專案中跨組織的資訊安全管理需求。以下對 ISO 19650-5 中建議的 方法做些概述。

首先，要啟動機敏性評估程序，以瞭解安全風險範圍，並確認組 織本身及任何第三方組織的資訊機敏性。除了記錄機敏性評估結果，也要對機敏性評估進行審查，以確認使用安全意識資訊管理方法的必要性。
一旦確認了必要性，就會開始啟動具安全意識的資訊管理方法， 管理高層應先建立所需的治理機制與責任人員。再來才開始進行安全 風險評估，然後發展安全風險降低之方法，並記錄殘餘及容許之安全 風險。最後，還要建立週期性或事件觸發的機制來審查所有的安全策略。 發展資安管理計畫 有步驟控制與降低損失接下來便是要發展出一套資訊安全管理計畫，內容包括：資訊提 供給第三方之規範，建立有邏輯的安全管理手段；釐清個人的管理安 全責任，執行監督及審計；還要建立週期性或事件觸發的機制來審查 安全管理計畫。 在資訊安全管理計畫中，對於安全漏洞與事件也應發展出因應計 畫，從發現安全漏洞與事件開始，即能有步驟與手段地控制與降低損 害，同時回復損失，並透過事後審查來評估殘留風險與潛在的新風險，相關的政策與流程也須更新來反映評估結果，以避免或降低相同資安漏洞或事件再發生之風險。

與合作夥伴分享之機敏資訊

應明文規範管理標準 對於與合作夥伴間的資訊分享，尤其是機敏資訊，應建立資訊分 享協議，確保合作夥伴能符合資訊安全管理計畫中之要求，並在委任 文件中規範所需的安全管理手段與標準。

從以上對 ISO 19650-5 的簡介不難看出，具有資訊安全及風險管 理意識，掌握組織本身及任何第三方組織的資訊機敏性，是資訊安全 管理的開始。然後便可依循一定的方法來發展出一套資訊安全管理計 畫，包括能因應安全漏洞與事件發生的管理手段，再搭配適當的法律 文件與手段，應就能有效控管跨組織合作 BIM 應用中的資訊安全風 險。

參考文獻

1. ISO(2018). ISO 19650-1: Organization and digitization of information about buildings and civil engineering works, including building information modelling (BIM) - Information management using building information modelling - Part 1: Concepts and principles, International Organization for Standardization, Geneva, Switzerland.
   
2. ISO (2018).ISO 19650-2: Organization and digitization of information about buildings and civil engineering works, including building information modelling (BIM) - Information management using building information modelling - Part 2: Delivery phase of the assets, International Organization for Standardization, Geneva, Switzerland.
   
3. ISO (2018).ISO 19650-3: Organization and digitization of information about buildings and civil engineering works, including building information modelling (BIM) - Information management using building information modelling - Part 3: Operational phase of the assets, International Organization for Standardization, Geneva, Switzerland.
   
4. ISO (2018).ISO 19650-5: Organization and digitization of information about buildings and civil engineering works, including building information modelling (BIM) - Information management using building information modelling - Part 5: Security-minded approach to information management, International Organization for Standardization, Geneva, Switzerland. 

轉載自營建知訊第453期，頁80-84。