推動資訊安全工作,主要涵蓋的層面包括人員、作業流程和資訊技術,要如何將此三者串連起來,最好的方式就是建置一套適合組織的資訊安全管理制度。目前,實務上最好的參考指引就是國際資訊安全管理標準ISO 27000系列的規範,接下來的文章,將會說明如何協助組織導入符合標準要求的資訊安全管理制度。
一談到資訊安全,大多數人的直覺反應就是在抵擋駭客入侵,但事實上,這只是其中的一小部分而已。過去,許多企業組織對於資訊安全的投入,主要都是著重在技術面的資安基礎建設,例如建置網路防火牆、防毒軟體和入侵偵測系統等,希望藉由安裝資安軟、硬體設備來加強網路安全,以抵擋來自企業外部的各種資訊安全威脅。
可是,僅僅做好網路安全防護,並無法有效地解決各種資訊安全問題的發生,因為還有兩項大原則必須要同時兼顧到,那就是人員與作業流程。因此,確保組織資訊安全的最佳方式是從管理層面來著手,藉由建立一套完整的資訊安全管理系統(Information Security Management Systems,ISMS),才能有效防範資訊安全事件的發生,但是資訊人員們可千萬別誤會,這裡的「系統」指的並不是架設一台伺服器或是開發某個應用系統,它背後代表的意義,其實是要建立可以持續運作的資訊安全管理制度。
資訊安全管理標準簡介
目前,ISO 27000系列是國際上受到認可的資訊安全管理標準,其中在2005年通過的ISO 27001標準,是規範建立、實施資訊安全管理系統的方式,以及落實文件化的要求,可以確保資訊安全管理制度,在組織內部能夠有效的運作,同時它也可以作為資訊安全管理系統的驗證標準。截至6月為止,在全球已經有超過5600個組織通過驗證,台灣也有321個組織(包括公民營單位)取得ISO 27001證書,僅次於日本、印度、英國,位居全球第4位。
至於ISO 27002則是資訊安全管理作業要點,內容涵蓋了11個章節以及133個安全控制措施,提供很多實務上能夠運用的做法,可作為建立一個標準的資訊安全管理系統的參考。如果管理人員想要協助組織建立資訊安全管理制度,卻不知應該要如何著手時,就可以參照這個標準的內容來進行。
在ISO 27001標準中的要求,都是屬於一般性且可廣泛應用的,也就是說,它適用於任何型式的組織,而不受限於規模大小和營業性質。因此,只要是有心想要加強資訊安全的企業或政府單位,都可以藉由參考ISO 27001中的規範,自行選擇符合組織需求的資訊安全控制措施,來達成一定水準的資安防護能力。
管理制度的運作架構
在資訊安全管理系統的運作上,ISO 27001要求組織應該要在整體業務活動與其所面臨的風險之下建立、實施、運作、監控、審查,並且維持和改進一個已經有文件化的管理制度,如果要確保它可長可久,就必須要運用PDCA(Plan-Do-Check-Act)過程導向模式,作為整體管理制度運作的基礎。
所謂的PDCA是指「計畫—執行—檢核—行動」的過程,在一開始的計劃階段,組織必須要建立符合營運目標的ISMS政策,它定義了組織實施ISMS的範圍,並說明資訊安全的目標、需要透過哪些指標去衡量成效,以及管理階層應該擔負的責任。因此,資訊安全政策也可視為管理階層對於資訊安全的宣誓與支持,唯有如此,到了執行的階段,才可依照此一政策來逐步推動各項資安的控制措施,並且建立相關的作業程序。
在依照計畫並且執行之後,要如何得知實施成效?此時就要進入檢核的階段,針對ISMS政策、控制目標及實行的過程,依照政策中所設定的指標去分析、評量實施的成果與績效,然後再將此一結果回報給管理階層作為審查之用。最後,再依據審查的結果,若是發現執行過程中有一些不符合的事項,就要透過實際行動來進行改善,也就是採取相對應的矯正和預防措施,持續改進ISMS的整體運作。
ISO 27001標準條文內容
ISO 27001標準條文一共分為8個章節以及附錄,其中第1到3章,說明了ISMS的適用範圍、所引用的其他標準,以及相關名詞的解釋。ISO 27001條文的重點主要是落在第4到8章和附錄A,分別是「資訊安全管理系統」、「管理階層責任」、「ISMS內部稽核」、「ISMS之管理階層審查」、「ISMS之改進」,以及附錄A的控制目標與控制措施。
其中特別要注意的,就是在這5個章節之中,涵蓋了資訊安全管理制度的建立運作與文件記錄管制、風險評鑑、管理責任、內部稽核和持續改善等要求,如果組織有任何一項不符合,就表示此一管理制度是無效的,也就無法通過ISO 27001標準的驗證,所以務必要了解條款背後所代表的執行意義為何。
為了滿足以上所提到的PDCA架構,在ISO 27001標準條文中,也是基於此一運作模式來設計,以第4章為例,4.2.1是「建立ISMS」、4.2.2為「實施與運作ISMS」、4.2.3是「監督與審查ISMS」、4.2.4則是「維持與改進ISMS」,剛好就對應了從計畫建立(P)、實施運作(D)、監督審查(C)及維持改善(A)的四個循環過程,換句話說,只要組織能夠持續PDCA的管理模式,就可以確保資訊安全管理制度可以有效地運作。以下就先簡要說明4.2.1「建立ISMS」條文的內涵。
定義ISMS範圍
在此條文中,要求組織首先要依據營運、組織、所在位置、資產和技術等特性,定義出資訊安全應受到適當控管的範圍。一般都是依照組織本身的特性,以部門、系統、業務項目或實體環境來定義所要實施控管的範圍,舉銀行業為例,我們可以選擇銀行資訊部門作為導入ISMS的範圍,也可以將信用卡這項業務服務相關的部門、人員、流程或是信用卡服務中心所在地點作為實施範圍。
在實務上,當組織在定義範圍的時候,請謹記一項原則,就是務必要把核心的業務納進來,別忘了資訊安全的目標要與營運目標一致,如果不針對主要業務來進行資安控管,實施起來就不具有任何意義了。
界定ISMS政策
制定政策時需要考量組織營運與相關法規的要求,還有合約中所制定的資訊安全責任,例如法律要求必須要保障個人隱私、保護重大營運資訊,或是合約中要求必須保護客戶資料等,這些都是設定資安目標時的重要依據與參考。另外,在ISMS政策中,也要建立可以用來評估風險的準則,並且要能符合組織的整體風險管理策略。
界定風險評鑑作法
風險評鑑有各種不同的方法論,讀者可參閱網管人二月和三月號中有關資安風險管理的說明,自行發展出可以識別組織風險的方法,並訂出風險可以接受的等級。標準之中對於風險評鑑方法的要求,在於風險評鑑後所產出的結果,必須是可比較且可再產生的,換句話說,風險評鑑的方法,必須能夠重複使用,而且在不同時期進行的風險評鑑,其結果皆可用來相互比較分析,以作為風險處理與改善的方向。
管理階層審查
標準中提到在風險處理之後,所殘留下來的剩餘風險,必須要取得管理階層的授權與核可,整個風險處理過程才算完成。
擬定適用性聲明書
所謂的適用性聲明是指針對資安風險所選擇的控制目標與措施,組織必須要說明其選擇的理由,另外,在標準中所排除的控制項目,也必須提出合理的解釋。適用性聲明的主要目的,是為了要確保不會有存在於組織中的資安風險,受到忽略而缺少適當的控管。
資訊安全是一個管理過程
資訊安全是一個管理過程,而不是一項技術導入過程,在ISO 27002標準中提到,「資訊安全是為了有效保護資訊不會受到各種威脅,實施各項適當的控制措施,以使企業能夠持續營運,將可能受到的損失降至最低,並獲得最大商機。」所以,維護資訊安全並不單只是資訊人員的責任,而是必須提高層級由企業組織的管理階層做出承諾,要求成為所有人員必須遵守的規範,也唯有人員都具備了資訊安全的警覺與防護意識,才能降低資安事件發生的可能。