Fw: [閒聊] IT人從ISMS看臺鐵的關鍵人員缺席備援演練

看板NetSecurity (資安 資訊安全)作者 (~夜晚的星空~)時間7年前 (2017/02/01 11:12), 編輯推噓0(000)
留言0則, 0人參與, 最新討論串1/1
※ [本文轉錄自 Railway 看板 #1OaK-aVt ] 作者: zack2004 (~夜晚的星空~) 看板: Railway 標題: Fw: [閒聊] IT人從ISMS看臺鐵的關鍵人員缺席備援演練 時間: Wed Feb 1 11:01:54 2017 ※ [本文轉錄自 politics 看板 #1OaBAL0A ] 作者: zack2004 (~夜晚的星空~) 看板: politics 標題: [閒聊] IT人從ISMS看臺鐵的關鍵人員缺席備援演練 時間: Tue Jan 31 23:51:30 2017 今年春節臺灣也出現了難得的公營交通機構的罷工, 相較於歐美的鐵路罷工規模,臺鐵這次算是小意思了。 但不管怎麼說,總算是為了爭取合理權益踏出了一步。 為此,如果以我國最近狂導ISMS制度的角度來看, 我們可以觀察到臺鐵局這個「組織」的幾件事: ⊙對於一般民眾來說,臺鐵提供的運輸服務是很重要的,可以算是臺鐵局的「關鍵業務」 ,行政院長林全也說過:「鐵路還是非常重要。」 (摘錄自:台鐵員工春節「依法休假」恐脫班 林全:鐵路很重要 2017-01-26 14:30聯合報 記者侯俐安╱即時報導 http://tinyurl.com/gss5exs ) ⊙依據長官的態度,臺鐵局做了以下的「政策」:「台鐵保證今天除夕『班班準點到開』 。」(摘錄自:台鐵保證除夕班班準點 今估運輸量65萬人次 2017-01-27 10:26自由時報 記者林曉雲/台北報導 http://tinyurl.com/j6mzrj8 ) 有了臺鐵局的「關鍵業務」和「政策」,接著我們來盤點一下臺鐵局有哪些「資產」,雖 然不可能列出完整的「資產清冊」,但一些應該還可以。 ⊙「硬體」如各級火車、軌道、機場、電控、資訊機房…等。 ⊙「軟體」如火車運作的機載、控管程式…等。 ⊙「資料」如票價、乘客的訂票、搭車統計…等。 ⊙「人員」如售票員、剪票員、站務員、車長、巡軌員、各種維修工…等。 ⊙「服務」如承包軌道建設的廠商,以及電力供給。 接著來列各資產的定量重要性,分為「機密性」(C)、「完整性」(I)和「可用性」(A), 分數列1~4,數字越高越重要,各項的總價值就是該項資產的C+I+A。 1. 各級火車、軌道、機場、電控主要因為要以完整的樣貌提供預定的不間斷服務,故評 為C:2,I:4,A:4,總價值為10。 2. 資訊機房則為了可以正確提供運作命令、環境及資訊監測,不可以被外力破壞,故評 為C:4,I:4,A:4,總價值為12。 3. 火車運作的機載、控管程式考量如同資訊機房,故評為C:4,I:4,A:4,總價值為12。 4. 票價是需要被正確表示的公示資料,故評為C:1,I:4,A:2,總價值為7。 5. 乘客的訂票資料因為有身份證統一編號,該資料在我國被定義為極機敏資料,又不可 以有錯誤,不然會有爭議,故評為C:4,I:4,A:3,總價值為11。 6. 搭車統計資料會被用作未來的運輸決策參考資料,故評為C:2,I:4,A:2,總價值為 8。 7. 售票員因為遇到訂票的乘客,所以有機會接觸到身份證統一編號,又需要完整的售票 資訊與維持售票窗口的運作,乘客才可以正確的且買到票,才能搭車,故評為C:4, I:4,A:4,總價值為12。 8. 剪票員、站務員、巡軌員、各種維修工因為要可以讓乘客進到站內、火車可以完整正 確的在指定時間運作,故評為C:2,I:4,A:4,總價值為10。 9. 承包軌道建設的廠商主要是在建設軌道、賣火車時提供服務,故評為C:2,I:4,A:2, 總價值為8。 10.電力是現代電氣化軌道的關鍵服務,沒有電臺鐵局的電力火車就無法提供服務,其考 量和軌道一樣,故評為C:2,I:4,A:4,總價值為10。 有了資產清冊後,接著對資產做定量的「風險評鑑」。正常情況是要對每項資產做風險評 鑑,但這次主要是分析「最近臺鐵的關鍵人員缺席備援演練」,故先只對相關的資產「 人員」做風險評鑑。 依照國家資通安全會報技術服務中心經理 鍾榮翰先生的文章「機關需要做風險評鑑嗎?http://tinyurl.com/zprenpj 裡頭有提到「風險」的定義:已知「威脅」(Threat)利用單 一或一群資產的「脆弱性」(Vulnerability),造成「資產損失或損壞(衝擊)」的潛在「 能性」(Possibility) 其中「可能性」(P),分數列1~4,數字越高,風險越容易發生;「衝擊」(IP),分數列 1~4,數字越高,風險發生後所造成的衝擊越大。 而風險值(R)就是該項資產總價值×P×IP,R越大就是可能越需要被控制的風險。 依照這次臺鐵產業工會的罷工口號:「補足人力,我要休假!」(摘錄自:台鐵工會抗爭缺 人力 副站長支援當列車長 2017年01月27日14:27蘋果日報 吳慧芬、林振義/高雄報導 http://tinyurl.com/jkmpnvb )以及FB火車司機的日常的相片 http://tinyurl.com/hlg3l63,故先將脆弱點設定為「人員過勞無法正常上班」。 又因為有發生過多次的過勞死事件(參考自:超過300名台灣鐵路員工,為什麼要在除夕 「合法休假」? 2017-01-27 端傳媒記者 呂苡榕 發自台北 http://tinyurl.com/jyk9aza ),因為過勞造成員工死亡,無法正常上班提供乘客運輸服務,故P為4。 ⊙R1:若多數售票員因過勞無法正常上班,再遇上乘客多時,造成許多乘客無法依想要的 時間買、拿到票,搭到想要搭乘的班次。此乃民生重大事件,故IP評為4。=> 資產 總價值×P×IP:12×4×4=192,風險值為192 ⊙R2:若多數剪票員、站務員、車長因過勞無法正常上班,再遇上乘客多時,造成許多乘 客無法搭到想要搭乘的班次。此乃民生重大事件,故IP評為4。=> 資產 總價值×P×IP:10×4×4=160,風險值為160 ⊙R3:若多數巡軌員、各種維修工因過勞無法正常上班,沒有人力巡軌道完整性、檢查維 護火車完整性,造成火車無法正常運作。此乃民生重大事件,故IP評為4。=> 資產 總價值×P×IP:10×4×4=160,風險值為160 若將上述風險簡化為因故無法正常上班(包含過勞、罷工…),則風險敘述可改為如下: ⊙R1':若多數售票員因故,再遇上乘客多時,造成許多乘客無法依想要的時間買、拿到 票,搭到想要搭乘的班次。此乃民生重大事件,故IP評為4。=> 資產 總價值×P×IP:12×4×4=192,風險值為192 ⊙R2':若多數剪票員、站務員、車長因故,再遇上乘客多時,造成許多乘客無法搭到想 要搭乘的班次。此乃民生重大事件,故IP評為4。=> 資產 總價值×P×IP:10×4×4=160,風險值為160 ⊙R3':若多數巡軌員、各種維修工因故,沒有人力巡軌道完整性、檢查維護火車完整性 ,造成火車無法正常運作。此乃民生重大事件,故IP評為4。=> 資產 總價值×P×IP:10×4×4=160,風險值為160 回頭看此風險計算的方法論分數: 1.資產最低的風險分數為3(C+I+A:1+1+1)×1(P)×1(IP)=3 2.資產最高的風險分數為3(C+I+A:4+4+4)×4(P)×4(IP)=192 3.一半的值是(192+3)/2=97.5 4.若是最高資產價值,且最低的可能性最高衝擊,則風險值 是12(C+I+A:4+4+4)×1(P)×4(IP)=48 5.若是最高資產價值,且一半的可能性一半的衝擊,則風險值 是12(C+I+A:4+4+4)×2(P)×2(IP)=48 6.若是最高資產價值,且一半的可能性最高的衝擊,則風險值 是12(C+I+A:4+4+4)×2(P)×4(IP)=96 依照此風險計算的方法論分數的幾個數值參考點,R1'、R2'、R3'皆屬極高風險,故來看看 臺鐵局有哪些這些風險的「控制措施」。 先來看看因過勞無法正常上班,造成關鍵人員缺席的控制措施。我們可以看到最近的排班 表(朋友越來越少 台鐵售票員:我想休假 還我正常生活 2017/01/30 - 19:30 焦點事件記 者侯百千、陳品存報導 http://tinyurl.com/jookzsz ),所以尚無此原因的控制措施。 再來看看如果因罷工無法正常上班,造成關鍵人員缺席的控制措施。從最近的新聞可以觀 察到(員工「依法休假」 台鐵曠職單處分 2017-01-29 07:55聯合報 記者周志豪/台北報 導 https://udn.com/news/story/7314/2256446 ),故其控制措施是「曠職單處分」。 原則上整個運輸系統是要可以正常營運提供服務,但難免風險會發生,故ISMS有要求備援 演練模擬風險發生後,要如何至少回覆到最低運作水準,再回到正常服務運作的狀態。 因為風險很多,故可以有很多的備援演練情境。 臺鐵的臺鐵產業工會提出了一個「關鍵人員缺席備援演練」建議,打算在農曆春節發起 法休假行動,以罷工模擬過勞無法正常上班,造成關鍵人物缺席的情境。依照新聞紀錄(不 滿台鐵未協商工時 產業工會釀春節罷工 2017-01-01 14:22 東森新聞 http://news.ebc.net.tw/news.php?nid=47584 ),此「關鍵人員缺席備援演練」情境大約 是今年一月初報局。 因此臺鐵局也提出了相對的「關鍵人員缺席備援演練計畫」,台鐵局長︰已做好因應 將啟 動二線支援(摘錄自:台鐵千人罷工? 賀陳旦:不會耽擱民眾返鄉 2017-01-27自由時報 記 者鄭瑋奇/台北報導 http://news.ltn.com.tw/news/life/paper/1074301 )。 至於這次「關鍵人員缺席的備援演練計畫」的執行結果,就看諸位稽核員們認為是否有 或是正面可提供其它計畫的參考部份? -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 118.165.34.236 ※ 文章網址: https://www.ptt.cc/bbs/politics/M.1485877909.A.00A.html ※ 發信站: 批踢踢實業坊(ptt.cc) ※ 轉錄者: zack2004 (118.165.34.236), 02/01/2017 11:01:54 ※ 發信站: 批踢踢實業坊(ptt.cc) ※ 轉錄者: zack2004 (118.165.34.236), 02/01/2017 11:12:52
文章代碼(AID): #1OaL8rw1 (NetSecurity)
文章代碼(AID): #1OaL8rw1 (NetSecurity)