「管理面要做的就是文件化的管理,要白紙黑字寫下來。」花俊傑說,企業所訂定的資安政策要清楚列出,在政策之後的作業程序也要列出,例如機密資料的存取程序,要規範使用者存取機密資料時,必須先通過授權,並且填寫完相關表單。而在作業程序之後,當實際操作時就要遵循細項的作業辦法,例如對於機房內設備進出的管理辦法,當設備進入機房時,是由誰來放行?誰來做事先檢測?設備維護要拿走時,須要填寫哪些表單?而這些細項作業最後都要成為紀錄,以方便稽核稽查用,來檢測作業辦法有無落實,這就是ISMS的階層文件精神。
他表示,這些程序和措施都是資訊安全管理標準內規範的,項目細節相當多,目的是為了協助企業達到較完善的資訊安全保護,例如像是人力資源管理的規範也列在ISMS的控制措施中,例如當企業聘雇此員工來負責客戶資料,聘雇前就要調查此人有無犯罪前科,以及過往工作的紀錄如何,聘雇流程中還要包括簽保密協定,告知應該遵守的資安政策和規範,當要離職時還需要再簽署另一項保密協定。
ISMS當中的11大項規章共有133個控制措施,基本上,企業要拿到認證就需要全部遵守,也可以提出控制措施內對公司不適用的排除聲明,例如控制事項中有一項是針對電子商務的規範,但是如果是一家醫院導入ISMS,並沒有電子商務系統,就能提出排除聲明。花俊傑表示,管理標準內並沒有規定企業組織應該導入NAC或是DLP等IT解決方案,但是卻規定要做管理控制,因此企業就可以自行去決定應該導入哪種IT保護工具來加強內網安全防護,以達到標準的要求。
此外,他也指出,實體安全是無法依靠IT工具來保護的,需要資訊安全管理的作業程序來制定政策。以知名購物網站PayEasy為例,客戶的資料只在特定的情況才可以讀取,而且將可以查詢客戶資料的電腦關在一個小房間內,此電腦的周邊設備受到控管,網路也沒有對外連線,還需要老闆授權門禁以及登入權限,且有攝影機等24小時環境監控,加強實體安全。
管理參考ISO
花俊傑表示,導入ISO的好處是讓相關的作業做法能夠有制度面的標準來依循,導入前,企業應該先評估內部為什麼要導入資訊安全管理制度?導入的範圍在哪?什麼是公司的核心業務?資料都存放在哪裡?再去了解如何結合現有的管理制度。導入後則要注意管理制度是否持續有效在運作,可以透過稽核辦法,定期做資安稽核。
通常稽核的做法,第一步就是去抽查紀錄,例如機房門禁管制,首先出示門禁登記簿,然後配合調閱監視器畫面。他指出,稽核的精神就是「說、寫、做」一致,稽核人員不是去找企業麻煩,而是協助檢查有無落實資訊安全政策。
他也指出,資安管理一定是圍繞公司核心業務來進行,產業的重點是什麼,就配合導入適用的解決方案。有時不一定要導入ISO 27001,有些銀行的內規甚至比ISMS來的嚴格,但是如果一個企業不知道如何做資訊安全管理規章,卻有需要加強企業內資訊安全強度時,ISMS標準將是理想的指引參考。