在整體的資訊安全框架之下,除了導入文件化的管理制度之外,還需要運用包括管理面和技術面的控制措施,才能有效防護資訊的安全,接下來一系列的文章,將說明ISO 27001標準中對於控制措施的要求,可協助您達成資訊安全的目標。
今日的組織在整體業務營運的過程中,資訊系統的有效運作,扮演了關鍵的角色,如果資訊的機密性、完整性受到不當的侵害,或是系統的可用性不足,連帶地將會影響組織的日常運作,甚至會造成不必要的損失。
因此,在資訊安全的領域之中,如何確保資訊的機密性、完整性和可用性已是最基本的要求,而且更將資訊視為是一種有價值的資產,如同組織其他的資產一樣,無論其存在的形式是什麼,都需要透過有效的控制措施進行控管,提供適當且足夠的防護。
實務可用的控制措施
什麼是控制措施(Control)?在ISO 27002中對於它所下的定義為「包括政策、程序、指導綱要、實務或組織結構等的風險管理方法,其本質可為行政、技術、管理或法律」。簡單地說,它就是我們降低資訊安全風險的各種作法,其最終的目的就是要防止資安事件的發生。
在ISO 27001中的控制措施呈現在附錄A.5至A.15,包括了11個控制領域、39個控制目標和133項控制措施(如下頁圖)。這些控制措施被視為資訊安全實務上的最佳建議與指導,換句話說,透過實施這些控制措施,代表了組織對於資訊安全的風險控管,已具有一定的安全程度。若組織想要通過ISO 27001的第三方驗證,並且獲得國際認證組織所頒發的證書,那麼這133項的控制措施,除了有合理的排除原因之外,基本上都是需要去一一落實的。
如果組織並不以通過驗證為目標,依據ISO 27002的說明,大多數的組織通常需要採取的控制措施,至少包括了資訊安全政策文件、資訊安全責任的配置、資訊安全認知教育和訓練、應用系統的正確處理、技術方面脆弱性的管理、營運持續管理、資訊安全事故與改進的管理、個人資訊的資料保護與隱私、組織記錄的保護、智慧財產權的確保等。
了解組織的資安要求
對組織來說,不同的業務營運型態,對於資安都會有不同的考量與要求,例如對金融業者而言,客戶的交易資料會是首要確保的目標;對醫院而言,病患的就診記錄與醫療病歷,其重要性也遠超過其他的行政資料。
面對不同的資安考量與要求,所選擇的資安控制措施也會不同,因此在選擇之前,組織必須清楚地識別所需的各項安全要求是什麼,一般而言,安全要求的建立,主要來自於三個方向:
由管理階層考量組織營運的策略與目標,並且藉由實施風險評鑑的過程,找出和營運有關的各項資產,然後識別出這些資產本身所具有的安全脆弱性與所面臨的可能威脅,再估計當威脅利用脆弱性,對組織造成損害的可能性與衝擊度,來決定需要針對哪些營運資產實施安全保護的要求。
由組織的客戶、交易夥伴、供應商及相關利害關係人,針對組織的營運活動,提出其安全的要求,例如產品設計業者要求生產廠商,針對生產過程中和產品有關的重要資訊,必須確保其機密性。
透過組織所屬的主管機關或所在區域國家的法律要求,必須實施適當的資訊控管,例如個人資料保護法針對個人隱私的保護要求。
在了解組織對於資訊安全的各項要求之後,就需要針對組織進行一次徹底的健康檢查,也就是透過實施風險評鑑的過程,來找出組織所面臨的資安風險,了解現況和理想的安全要求之間的落差。然後,才能選擇適當的安全控制措施,來協助達成這些可能來自內部、外部或法規的資訊安全要求。
A.5安全政策
ISO 27001附錄A.5是「安全政策」,在A.5.1的資訊安全政策中,其目標是要依照營運要求和相關的法律法規,提供管理階層對於資訊安全的指導與支持。A5.1主要有兩項控制措施要求,A.5.1.1要求資訊安全政策應經由管理階層的核准,並且公布傳達讓所有員工和相關的內外部團體知道,實作方面,在這份資訊安全政策中,主要是要傳達管理階層對於資訊安全的支持,確保資訊安全與組織營運目標的一致性,同時說明資訊安全的重要性與實施範圍,以及相關人員的職責。
所以,在資訊安全政策中,至少需要說明組織的資訊安全定義、範圍、要求與目標,其中關於目標的部份,最好以量化的方式說明,例如為確保同仁熟知資訊安全相關規定,故每人每年需要接受3個小時以上的資安教育訓練;為確保相關資安措施符合法令與法規的要求,組織每年應實施至少2次的資訊安全內部稽核。
A.5.1.2則是要求資訊安全政策若發生重大變更時,需要進行審查,以確保內容持續地適用、充分和有效。這也就是說,資訊安全政策不單單只是一份宣示性的文件,而是必須配合組織環境、業務型態、法律合約要求和技術更新等事項,進行持續的修訂與發行。因此這一項控制措施的重點就在於,許多組織可能會對政策內容進行修改,但是卻忽略了這些內容需要取得管理階層的核准,並且留下相關的審查記錄才行。
A.6資訊安全組織
附錄A.6是「資訊安全組織」,分為A.6.1內部組織和A.6.2外部團體,A.6.1的控制目標是希望在組織中建立資訊安全的相關責任與角色,協調安全工作的落實與執行,在這個控制目標之下,共有8項控制措施,分別說明如下:
● A.6.1.1管理階層對資訊安全的承諾:管理階層的支持是資訊安全管理制度能有效運作的重要關鍵要素,此控制措施強調管理階層應該在組織中,明確的指派並確認人員的安全責任,主動地支持各項安全工作,並提供所需要的資源。
● A.6.1.2資訊安全協調工作:在組織之中,資訊安全不會只是單一部門的工作,除了資訊單位之外,可能也需要人力資源、總務、行政、業務、稽核、法務等部門人員的參與,才能達成組織所設定資訊安全的目標,所以資訊安全的相關活動,需要不同部門的代表協調,才能順利地執行。
● A.6.1.3資訊安全責任的配置:管理階層需要指定各部門主管和個人的安全責任,並且界定各項資產的保護與作業流程,唯有執掌角色的定義清楚,才能夠履行所賦予的各項任務。
● A.6.1.4資訊處理設施的授權過程:所有的組織都會採購資訊相關設備,並且給予員工作業使用,但如何確認這些新設施符合資訊安全的要求?因此資訊設備的使用,必須要有管理階層的核准,組織應明訂此一程序流程,才可確保其符合資安政策的要求。
● A.6.1.5機密性協議:針對敏感性的工作,組織會要求人員簽署保密協議,但協議的內容是否適當?是否反映資安政策的要求?組織應該識別並定期審查對各項資訊保護的要求,再將其納入機密性協議的內容之中。
● A.6.1.6 與權責機關的聯繫:當發生資安事件時,組織往往也需要外部單位的協助,因此需要擬定適當的程序,說明何種事件需要由何人進行通報和聯繫,須連繫的權責機關包括哪些?例如發生火警時,由誰負責與消防隊、電力、水力、電信和執法等單位連繫。
● A.6.1.7與特殊利害相關團體的連繫:資訊安全的技術日新月異,所以組織也經常需要聽取專家的意見,或參與專業的論壇以取得更新的資訊。此一控制措施就是要求應與各種利害團體、專家協會等保持適當的連繫管道。
● A.6.1.8資訊安全的獨立審查:組織在實施資訊安全管理的過程中,若對於資安政策、程序、控制目標和方法進行了顯著變更,此時就需要獨立公正的單位,針對變更的內容進行審查,目的是為了確保組織資安管理的適切性和有效性,避免球員兼裁判的嫌疑,所以這些審查需要由組織內部的稽核部門或具適當經驗的第三方單位來協助執行。
至於A.6.2外部團體的控制目標,是為了確保組織在與外部團體有相關的資訊存取、處理、交換時,能夠維持資訊的安全,因此,A.6.2.1的控制措施為與外部團體相關的風險之識別,需要透過風險評鑑的過程,找出外部團體對組織資訊的處理和使用時,可能存在的資訊安全風險,像是可存取的資訊類型、人員的識別與授權是否適當等。
A.6.2.2處理客戶事務的安全說明,也就是在賦予了客戶存取組織資訊的權限之前,已考量到各項資訊安全要求,例如對於所提供服務的內容描述,以及客戶應有的安全責任與要求等。A.6.2.3則是第三方協議中的安全說明,也就是在與第三方所簽定的協議與合約之中,必須明訂組織的資訊安全要求、應遵守的相關法規,以及違反時應負的法律責任等。
(本文原載於網管人第59期)