在資訊時代瞬息萬變的局勢下,組織要如何才能夠永續經營?一旦面臨困難挑戰,發展組織韌性(Organizational Resilience)將會是危機中的逆轉關鍵,所謂的韌性是指組織能夠預測、準備和應對可能突發的營運危機,擁有充份的能力可以因應變化,最後得以持續生存並且繁榮興盛。
今年農曆春節結束後開工的第一週,台灣有十家以上的證券業者遭遇了勒索式的網路阻斷服務攻擊,巨大的攻擊流量對於資訊系統的運作造成了重大的影響,同時也考驗了組織面對外來威脅的應變機制和能力。根據BSI英國標準協會過去對於資訊部門主管所做的調查結果指出,有九成以上的受訪者坦言,其組織曾經遭遇過來自網路的攻擊,更有五成的受訪者表示因為駭客試圖入侵或是惡意程式的潛伏運作,而使組織蒙受經營上的損失。
無論是大企業或是小公司,當面對來自四面八方的網路攻擊,或是潛藏在組織中伺機發作的惡意軟體,具備足夠的資訊韌性將是必要的生存要素之一,有韌性的組織可以藉由更好的供應商和產品工具的協助,建立標準化且迅速的事件回應處理流程,加上擁有足夠資安意識和應變能力的專業人員,能夠協助組織克服危機帶來的考驗,也就是說,具備資訊韌性除了可以確保業務的持續運作,更可同時維護重要資訊的安全。
有關組織韌性的國際標準
BS 65000是BSI在2014年底所發布的英國國家標準,它是有關組織韌性的最佳實務指引,目前正在發展中的ISO 22316更以它為本,將初稿內容公開以徵詢各方意見,未來即將成為正式的國際標準。BS 65000除了針對韌性的本質給予清楚的描述,也提到了發展組織韌性的方法,也就是透過整合現有的作業流程,讓複雜的組織運作能夠透過協同運作的方式,建立組織因應各項問題的能力。
|
▲ 資訊韌性是因應未來挑戰的重要一環。 |
根據經濟學人的研究指出,組織韌性已是現代企業邁向成功的驅動力,它主要包括了以下三大領域:
‧營運韌性(Operational Resilience)︰聚焦於提升組織的營運能力,強化產品、服務與流程的績效和永續性,進一步防範組織在財務與聲譽方面受到損害。
‧資訊韌性(Information Resilience)︰管理組織的實體與數位資訊,強調資訊的生命週期管理,從資訊的產生到終止,讓各方的利害關係人都能安全且有效率地取得、儲存及使用資訊。
‧供應鏈韌性(Supply Chain Resilience)︰它是量化與緩和供應鏈風險的能力,包含了採購、製造、運輸、銷售的生命週期,以適當的管理機制將供應鏈中斷的衝擊減至最小,並且保護組織免於財務和聲譽的損害。
發展資訊韌性的四大基礎
在現今的資訊時代,組織需要有足夠的能力去保護敏感資訊,也需要被客戶信賴。隨著資訊化的腳步愈來愈快,組織也面臨了伴隨而來的各種安全威脅,像是資訊詐騙、商業間諜及惡意破壞等。如今,大部份的威脅已不是來自於外部,而是來自於內部缺少適當的安全控制措施,並且也包括使用新興科技的雲端服務,還有委外的商業資訊和個人資料處理,也擴大了可能的安全議題。
|
▲ 組織韌性所包括的三大領域。 |
對組織而言,為了獲得利害關係人像是客戶的信任,導入有效的資訊安全管理(ISMS)體系已是強化資訊韌性的必要做法,而且還要讓它進一步融入於組織的文化之中,以支持在各個層級的內部營運和商務運作。基本上,在資訊從產生到終止的生命週期中,一個有韌性的組織必須考量從實體面、數位面來管理所擁有的資訊,並且在流程面採取資安內化的角度,讓資訊能夠安全且有效率地被蒐集、存取和利用。
對於想要強化資訊韌性的組織,以下四個層面將是必要的發展基礎:
1. 管理和保護資訊:首先組織必須了解需要妥善保護的資訊有哪些,這部分可以藉由盤點關鍵的營運流程和相關的資訊資產來進行。另外,對於資訊本身的生命週期,包括創建、處理、儲存、傳輸及銷毀的過程,也需要清楚地識別其作業方式和保留記錄。對組織而言,管制資訊的出入口是第一道防線,若能及時實施適當的存取控制,就可以大幅降低資訊外洩的風險。
2. 防護資訊基礎設施:組織內部與資訊處理相關的基礎設施,除了包括所在場域維持運作所需的基本公共服務,例如網路、電力、水力等,也涵蓋了自行管理的資訊設備、電腦機房和資料中心。換句話說,實體安全的控制是防護基礎設施重要的一環,無論是位於場所內或場所外的資訊設備,都需要事先評估無法運作時的風險。因此,組織需要制定對應的備援機制和營運持續計畫,同時還要安排定期的演練,確認相關計畫在災難發生時的可行性。
3. 強化信任和聲譽:組織想要長期的生存發展,並不是單靠本身的力量即可達成,尤其是許多的資訊服務與資源,可能來自於協力的廠商業者,因此,除了要主動強化彼此的信任合作關係,打造可信賴的資訊服務,還要去維持良好的供應商關係,進一步強化組織聲譽以成為重要供應鏈中的一環,以便讓業務得以長期的擴展。
4. 確保法令法規的遵循:對於組織來說,要求遵循適用的法令法規已是必要的責任和義務,隨著組織規模的擴大和資訊服務的無遠弗屆,除了了解當地的法令法規要求,更需要進一步了解業務範圍內的各國法規,否則一旦適法性受到質疑,伴隨而來的法律議題將會危及組織的生存發展,所以組織也需要有法規專業人才的協助,確保法令法規的遵循要求。
結合管理系統以提升資訊韌性
為了強化組織韌性,結合受到全球認可與導入,並且適用於各種產業與規模的管理系統標準,已是形塑組織內部文化與建構資訊韌性的最佳方法,以下是與提升資訊韌性密切相關的管理系統標準,可以作為組織的參考。
|
▲ 韌性是決定組織未來的生存關鍵。 |
ISO/IEC 27001資訊安全管理系統
ISO/IEC 27001是受到業界廣泛認可的資安管理標準,它定義了資訊安全管理系統(ISMS)的基本要求,這項標準的設計是確保有充分、適當的安全控制措施,協助組織保護其重要的資訊資產。導入ISO/IEC 27001可增強包括客戶在內的利害相關人各方的信心,它適合於全球任何規模和行業的組織,尤其適合於影響關鍵業務及特別需要安全保護的組織資訊。
ISO 20000 IT服務管理系統
資訊科技已是支持組織日常營運的重要支柱,不管員工位於何處或負責何種業務,任何規模的組織都需要仰賴有效的IT服務管理,以達成服務績效和營運要求。IT服務除了具有成本效益之外,還必須達成可靠性、一致性及有效性,無論是管理企業內部的IT服務,或是針對提供IT服務的委外服務業者,ISO 20000都能協助組織達成以上目標,並且可以因應不同產業的快速變化,提升資訊技術基礎架構(ITIL)來滿足業務所需。
ISO 22301營運持續管理系統
對於可能造成營運中斷的風險,ISO 22301提供了正式的營運持續管理架構,藉由營運衝擊分析來協助組織發展出營運持續計畫,以便在發生重大衝擊事件期間和之後還能夠持續地營運。若組織能有效遵循所制訂的營運持續計畫,將可減少中斷事故所造成的衝擊和影響,確保組織有能力快速恢復正常營運,並持續提供客戶所需的服務及產品。
ISO 31000風險管理標準
組織若採取有效的風險管理策略,可以幫助在事前進行危機分析和風險評估。因此,參考ISO 31000標準所提供全面性的原則和準則,能夠協助組織鑑別所面臨的風險。此一標準適用於大部分的業務營運活動,不論是公務機關或私人企業,都能藉由標準指引來建立風險管理機制,針對可能的風險進行評估,並且針對不可接受的風險進行風險處理。
強化資訊韌性 迎向未來挑戰
依據經濟學人智庫(The Economist Intelligence)針對全球411位企業高階主管的調查指出,有八成以上的受訪者認為韌性是組織營運發展的關鍵要素,並且是業務長期發展的必要條件,但是目前僅有三成的組織已實施相關的做法,因此相當需要實務上的指引和協助。
在資訊變動快速的年代,面對未來許多不可知的風險,組織可藉由發展資訊韌性,仔細地審視在整個資訊生命週期之中,包括產品、人員、流程存在著哪些可能的風險,再透過管理系統的導入與相互合作,落實風險管理並強化日常維運的基礎,正所謂「適者生存」,組織唯有具備了強健的韌性體魄,才有充分能力因應未來更多的挑戰。
<本文作者:花俊傑,現為bsi英國標準協會客戶經理,擁有BS 10012和ISO/IEC 27001、27017、27018、29100等主導稽核員資格,自詡為資安傳教士,樂於分享資安心得。>