在理解並建立正確資安觀念之後,接下來,企業要開始擬定適合自身環境與需求的資安政策,從而導入與落實執行。在此一環節,企業的課題在於運用哪些方法與工具可協助釐清需求、加速導入與落實,同時能夠如何調整企業組織作業流程來符合資安政策。在此階段尋求資安管理顧問的協助,透過導入取得資安管理認證來擬定政策與確認成果,是最大多數企業的作法。
先從風險評鑑與資產盤點分類開始
在擬定與導入建置資安政策階段,企業必須先從風險評鑑與資產盤點分類開始著手,行政院國家資通安全會報技術服務中心經理江衍勳表示,先盤點資訊系統(在此泛指實體資料與資訊化系統的集合)進行分類分級,可幫助企業找出較重要的系統來佈署導入ISMS資訊安全管理制度,「許多企業往往挑簡單的、或是單憑企業主直覺的系統先進行導入,但是規模小的部門並不一定沒有重要的資產,而大型部門也未必掌握重要資料,尤其當企業資源與預算有限時,更應該先分級分類之後,從重點環節先行佈署,再逐步補足強化其他環節的資安管理需求。」
|
▲ 最佳化企管顧問公司(Best Soultion Consulting,BSC)何銘燁表示,透過風險評鑑與資產盤點分類,可有效釐清企業環境的實際需求。 |
最佳化企管顧問公司(Best Soultion Consulting,BSC)何銘燁表示,透過風險評鑑與資產盤點分類,可有效釐清企業環境的實際需求,瞭解管理面的需求之後,便能夠找到合適的IT技術解決方案來因應,不僅可以提高資訊安全管理政策的精準度與可行性,也能讓資安政策與實際作法契合企業作業流程,降低內部同仁的反彈。換句話說,風險評鑑與資產盤點分類,可說是企業在投入資安政策擬定與落實執行階段的第一步,何銘燁表示:「風險評鑑可協助IT管理人員以ROI分析來評估資訊安全佈署與否將可能為企業帶來的好處與危機,以投資成本、產出效益等企業決策階層較易接受的方式提出分析結果。」
為了能夠協助企業快速釐清與建制資安政策制度,BSC顧問公司依照ISO 27005資訊安全風險管理的規範設計開發出一套管理平台Dr. Risk,其中包括多種可協助企業分析與管理的模組(如資產分級分類管理模組),讓企業能夠確認組織當中每一位使用者的所有作業流程所具備的風險與威脅,進而提供建議因應管理方式。何銘燁解釋,風險評鑑的流程方法,是以「人」為中心,針對「作業流程」當中可能接觸到的所有「資料」(包括實體資料與資訊化資料、應用程式、資訊系統等等),評估各項環節所面臨的資安風險與其可因應的措施,「與技術性的IT解決方案不同,Dr. Risk是一套輔助性質的管理工具,人才是主角,工具只是配角,用來找出問題、提供建議與管理。」
採用Dr.Risk管理平台進行評鑑與政策佈署,除了能夠符合ISO 27005規範要求之外,何銘燁表示,企業若需要取得其他如ISO 27001(資訊安全)、ISO 20000(IT管理)、BS 10012(個人資訊管理系統,Personal Information Management System,PIMS)以及BS 25999(營運持續管理)等標準認證,也同樣能夠大致符合規範要求,「這些標準皆著重作業流程與風險管理,只要針對標準規範細節進行微調即可完全符合要求。」
安全認證的合適性與目的
藉由風險評鑑與資產盤點分類來分析確認企業環境特性與需求之後,接下來企業便能夠依照需求來擬定資安政策,作法上可利用安全相關認證標準所提出的規範來達到落實的目的,同時也能在法令規範之下,當糾紛訴訟發生時,企業可藉由通過國際認證的證明來取得採信與免責。
|
▲ 財團法人中華民國國家資訊基本建設產業發展協進會(NII)資訊風險管理組協理王俊凱表示,導入資安管理制度的目的在於資安事件發生時,企業能夠在可控制的範圍之內快速反應與解決問題。 |
財團法人中華民國國家資訊基本建設產業發展協進會(NII)資訊風險管理組協理王俊凱表示,導入資安管理制度並非用來確保從此企業資安毫無後顧之憂,而是用來讓企業在問題發生時,能夠在可控制的範圍之內快速反應與解決問題。而不同的安全認證標準,適合不同的企業現況與需求,舉例來說,BS 10012的認證標準較適用於個人資料管理需求,ISO 27001則適合用來管理資訊安全系統,「換句話說,若是尚未佈署任何資安政策的企業,建議以全組織範圍佈署導入BS 10012安全認證,搭配ISO 27001達到完整的資訊安全管理,而已導入ISO 27001的企業,當然也建議搭配BS 10012安全認證來加強保護效果。」
王俊凱進一步解釋,大多數企業所取得的ISO 27001認證,以資訊單位作為局部性導入的方式居多,但資訊單位僅只負責儲存保管資料,前端使用者單位可取得與利用資訊,面臨個資新法上路,並不足以應付法規的要求。因此建議企業擴大ISO 27001實行範圍,或搭配導入BS 10012較能夠符合法令規範。
「不過ISMS牽涉到的資產較多且複雜,而PIMS屬於書面與電子化的個人資料範疇,導入佈署相對比起擴大ISMS範圍來得容易些。」王俊凱表示,為了因應個資法而導入ISO 27001的企業其實不多,大多數取得其認證的企業主要是受到上下游合作廠商與客戶的要求,目的不在於保護個人資料,而ISMS標準本身也不是為因應個人資料保護而制定出來的,建議企業在導入佈署資安政策標準時,可先評估需求與目的,再來選擇想要取得的標準認證,同時透過導入標準認證的過程,擬定與調整出最適合該企業環境與風險需求的資安政策。
王俊凱說,為了能夠提供企業導入經驗參考,NII已通過BS 25999與ISO 27001等認證,目前則正在導入BS 10012,希望未來能夠將導入經驗提供給企業參考,「以NII的環境來說,資訊人員只有兩位、電子郵件採用企業級Webmail,其他資訊相關系統多以委外或採購現成設備等,規模與需求正好是中小企業等級。等到導入完成之後,便可以把過程經驗提供給中小企業參考,協助他們導入佈署,以符合個資法規要求。」不過由於目前還在導入階段,導入建置過程則得等到取得認證之後才能提出更詳細的說明分享。