一、前言
資訊安全管理制度（Information Security Management System, ISMS）在資訊界算是近幾年來極為新穎的一門領域，對於一般大眾也較為陌生，它的概念主要是經由企業透過有效的資訊安全管理，來達到降低資訊系統營運產生的風險，以達到永續經營的目標。因為只要經過導入ISMS的企業或系統，就是資訊安全的保證，而其中通過「BS7799資訊安全認證」，更為全球資訊安全之金字保證，有絕對的權威性、公正性及專業性。

行政院資通安全會報於民國92年初將政府3713個單位依其重要性區分為A、B、C、D四個等級，並賦予每個等級不同作業要項，含本局在內之最高等級A級單位計有126個（含外交部），再從中選出影響國家安全及社會安定之20個A+系統，本局「護照管理系統」即為其中一個。

在民國92年初剛收到公文時要求本局依作業規範需建置資訊安全管理制度（Information Security Management System, ISMS）並通過BS7799資安驗證，其資安條文10大項127條的規定，確實令人惶恐，雖然本局在安全管控、實體環境安全近幾年已經陸續強化，但是檢視條文後，似乎仍有很多的努力改善空間，畢竟本局資訊人力有限，平時已勉力維運各項資訊系統的正常運作，況且資安制度當時在國內亦極為陌生，經不斷洽訪相關專業廠商及參與資安講習，爰決定委請外部專業輔導單位來規劃輔導本局推動建置ISMS。

二、業務特性的需求

本局業務攸關民眾權益，並且與國家安全、國際經貿交流、入出國、外僑管理、外勞、衛生防疫、役政、戶政及僑務等各項業務都有相當密切的關係，在業務特性上，國人護照基本資料的敏感性自不在話下，倘資料遭破壞或竄改，後果不堪設想，所以如何維持護照資料的完整性、可用性及安全性是本局的重責大任，為了確保系統安全可信賴，導入ISMS並通過BS7799驗證就是必然的方法。

三、推動ISMS及BS7799資安驗證之進程

民國93年4月開始由專業輔導協同本局開始導入BS7799，9個月來，從無到有完成了這個艱鉅的任務，建置作業過程簡略如下：

第一階段：資訊安全管理系統評估階段
依現有業務特性、組織架構、現有制度及人員職責等，以政府相關資安規定及BS7799規範進行評估，評估結果作為本局ISMS建置規劃之參考。另成立資訊安全委員會，為本局推動資訊安全的最高指導組織，副局長擔任主席，各單位主管為委員，目的為提升整體資訊安全，透過資訊安全委員會之召集以提示管理階層支持重視，進而使本局資訊安全管理系統能持續並穩健的運作。

第二階段：資訊資產分類及風險評鑑報告
執行資訊資產調查與分類分級，將本局資訊資產分為6大類，包括電子類、文件類、硬體類、軟體類、服務類及人員類等。
為建立可靠且安全的護照管理系統，依照國際資訊安全管理BS7799驗證標準之要求，制定符合本局作業之資訊安全管理架構，並採用適當的風險評估方法執行風險評估及處理程序，完成「風險評鑑報告」作為管理階層管控風險之決策參考。

第三階段：依據風險評鑑報告再改善階段
根據上一階段「風險評鑑報告」，由BS7799規範的127項控制項目選定符合本局之控制要項，擬定適用性聲明（Statement of Application,SOA），並訂定風險處理計畫，對未來可能發生的風險做評估，降低至本局可接受範圍，以減少意外的衝擊事件對本局所造成的傷害。

第四階段：建立符合標準之資安文件
在決定各項資訊資產應採用的控制項目及程度後，便接續訂定詳細的資訊安全政策、作業程序及作業表單，作為管理和執行的依據。

第五階段：執行資安內部稽核及異地備援演練計畫
為檢視資安相關制度是否符合標準的被有效執行，本局成立資安稽核小組，每年至少辦理一次資安內部稽核作業及不定期檢查資訊運用情形，並定期進行「護照管理系統」的異地備援演練計畫，確保本局可符合BS7799規範之營運持續管理。

第六階段：資訊安全觀念之宣導及管理人才培訓
資訊安全管理制度的成功關鍵還是在於“人”的因素，本局每位同仁都必須堅守自己工作崗位，並隨時隨地確實遵循資安相關規範。為使本局所有同仁具備資安觀念，上（93）年已請專家至本局講授資安認知講習，深化同仁對資訊安全的重視，未來亦將繼續辦理。同時選派人員參加BS7799主導稽核員專業訓練，藉由通過認證考試，獲得主導稽核員證照等來補強本局資安管理能力，本局業有3人獲得該專業證照。

第七階段：BS7799資安驗證
本局於93年10、11月完成ISMS的各項建置作業，相關資安制度作業開始宣導與實施，並於同年12月以「護照管理系統」申請BS7799資安驗證，主要就本局資訊安全制度文件管制、紀錄管理、運作及落實情形等是否健全及抽查同仁是否遵守資安規定，並針對使用「護照管理系統」有關之單位及同仁，依據BS7799資訊安全控制項目標準進行實地稽核，「護照管理系統」風險是否被適當控制、資安制度是否有效的執行並符合本局資訊安全政策與目標、高層是否支持與提供足夠的資源等，於94年1月17日通過BS7799資安驗證，同年3月底獲頒BS7799資安證書。

四、關鍵性成功因子

（一）本局長官的支持及業務單位的全力配合，建置期間召開多次專案會議，持續不斷的溝通與宣導。
（二）領務局自民國81年由領務司升格以來，各項領務業務從人工作業方式逐步轉換為電腦處理，資訊處理能力從零到現在全面資訊化，經由近年來各項系統的建置經驗，資訊同仁對於推動資安的強力企圖心與凝聚力，才能完成這項艱鉅任務。
（三）透過ISMS制度的運作紀錄，我們可以分析出電腦系統經常出現的狀況，哪一個系統、哪一個設備常出現的問題，統計後供資訊單位據以改進，提升各項系統的效率，繼而提供使用者良好的操作環境及服務品質。
（四）BS7799最重要的是讓同仁明確的瞭解資訊安全並不是資訊單位的責任，而是每一個同仁都是責無旁貸的。導入ISMS之後，相關作業流程變的繁瑣及文件化，初期雖對局內同仁增加許多困擾，但是為了讓同仁認知資訊安全的重要性及資安制度的運作，經由不斷的宣導訓練，同仁也都轉變為積極配合的心態。

五、 結語

目前全球通過BS7799驗證取得證書者僅約1000餘家企業，而國內企業及政府機關通過BS7799驗證取得證書者則不到50個，本局能夠通過BS7799資安驗證，這樣的殊榮誠屬可貴。
本局前於民國87年榮獲行政院「服務品質獎」，88年榮獲經建會法治再造工作圈之「金斧獎」及「銀斧獎」，92年再取得國際標準的「ISO 9001品質管理系統」證書，證明為民服務之流程已達到文件化及標準化的要求，服務品質獲得肯定，並增加民眾對本局的信賴。

本局取得BS7799資訊安全證書係為一個重要施政成果，全體同仁仍當百尺竿頭更進一步，繼續提升為民服務的品質及更安全的資訊系統永續運作環境為努力的目標。