隨著個資法細則公佈時程腳步逼近,再加上企業對於資訊安全之於公司治理的重要性觀念日漸抬頭,企業部署資訊安全必須從政策、流程與制度進行調整與重新建立,再將其建立好的政策與流程,落實在資訊安全解決方案上,同時達到自動化的目的。
此次我們將請管理顧問與資安專家,來談談企業面對法令規範、商業競爭與企業治理等需求,應如何著手佈署最符合需求、最健全的資訊安全制度。
培養風險意識 建立觀念為資安策略打底
根據國際驗證機構BSI針對645個已導入ISO/IEC 27001認證的組織所進行的調查報告結果顯示,企業認為通過ISO/IEC 27001認證並建立資訊安全管理制度(Information Security Management System,ISMS)所獲得的好處,受訪的企業組織中有60%認為提升了符合法規要求的能力、39%表示有效減少了資安事件、39%認為減少了IT系統停機時間、47%表示提高了組織的競爭力,顯見從法規遵循的角度、降低風險、客戶要求與市場競爭等各種驅力,企業對於建立資訊安全政策所能帶來的效益持正面態度。
佈署執行流程階段 藉驗證標準擬定落實政策
在理解並建立正確資安觀念之後,接下來,企業要開始擬定適合自身環境與需求的資安政策,從而導入與落實執行。在此一環節,企業的課題在於運用哪些方法與工具可協助釐清需求、加速導入與落實,同時能夠如何調整企業組織作業流程來符合資安政策。在此階段尋求資安管理顧問的協助,透過導入取得資安管理認證來擬定政策與確認成果,是最大多數企業的作法。
緊密結合IT技術與管理需求 由日誌管理開始個資法遵循
資安政策擬定與落實的最終目的,在於法規遵循與降低安全風險,企業要想透過資安政策來達到上述目的,除了管理面的觀念建立與流程佈署之外,IT技術解決方案也是不可或缺的一環。利用IT技術解決方案,可將資安政策自動化執行,也能夠做為法規遵循的舉證用途。由於資安政策擬定與執行的複雜性,擴大定義範圍來看的話,目前市場上用來協助企業達到自動化、調整政策與舉證用途的IT解決方案不在少數,舉凡可符合IT治理、風險管理與法規遵循相關的解決方案(如日誌管理系統即為其中一環),都可用來提供企業達到自動化執行與調整資安政策的目的。