上一期介紹了目前廣泛被認可的資訊安全管理標準ISO 27001,可以作為企業建立資訊安全管理制度(ISMS)的參考規範,並且說明了支持管理制度運作的PDCA架構和「建立ISMS」條文的內涵,本期將繼續說明標準中有關「實施與運作ISMS」、「監督與審查ISMS」,以及「維持與改進ISMS」的作法。
資訊安全是一個管理過程,在建立資安管理制度的過程中,主要會牽涉到三個P,分別是People(人員)、Process(流程)和Product(產品),而在此三者之中,又以人員是管理制度成敗的首要關鍵。
因此,在企業建立資安管理制度的初期,要如何找到對的人來執行,也就是如何成立一個資安管理推動小組,驅動企業成員的參與,將是首要的任務,接下來才是去思考如何建立起安全的作業流程,然後在作業流程的各個階段,導入適當的資安技術產品,以作為資訊安全的控制措施。
就目前個人所觀察到的現況,大多數企業對於資訊安全的管理,主要仍是落在導入產品的這一部份,所採取的作法也偏重在頭痛醫頭、腳痛醫腳,缺少一個有效完善的資安對應策略。
相關人員對於資訊安全的概念,也是來自於銷售資安產品的廠商,往往會受限於只從技術的觀點出發,而忽略了管理的要求,以為添購了市面上最流行的產品之後,就可以解決所面臨的資安問題,但是事實上,資料外洩或是不當的入侵事件,在企業內仍舊層出不窮。
實施與運作資安管理制度
在上回所談到建立ISMS的過程中,我們必須界定能夠識別企業風險的風險評鑑方法,並且運用此一方法去識別企業各項具有價值的資產,評估資產本身所具有的弱點,以及所面臨的威脅是否會利用這些弱點,可能對企業造成機密性、完整性和可用性的衝擊。
然後再針對分析和評估各項風險的結果,依據所計算出的風險值大小和風險等級,決定要如何進行風險處理,也就是要選擇實施哪些資安控管措施。至於這些控管措施的作法,可能是透過建立標準作業流程來因應,或是添購產品以技術方法加以解決。
在ISO 27001標準4.2.2「實施與運作ISMS」條文中提到,需要建立一個風險處理計畫,評估企業現有的環境、資源和責任,然後制定出風險處理的優先次序。
在風險處理計畫中,人員的調派和責任的配置相當重要,針對各項想要處理的風險,必須指定一位負責人,並說明要採取何種方式去降低此項風險及處理時間,如果是導入產品,就要擬定導入產品的時程,以及預估其可達到的控制成效。
其中特別要注意的是,在產品還無法負起資安防護的工作之前,必須選擇短期的對應措施。舉例來說,若企業所分析出的風險是敏感作業區域缺少門禁管制,採取的風險處理方法為添購門禁刷卡系統,但是預估要三個月才能建置完成,那麼在這三個月之內,缺少門禁管制的風險依舊是存在的,因此必須要實施短期的控制措施,先行控制這項風險,具體作法像是可調派警衛執行定點監控,檢查出入人員識別證等,以避免可能的資安事件發生。
到了運作ISMS的階段,企業必須要能確保所選擇的控制措施是有效的,換句話說,可以透過量測的方式,來評估控制方法的有效性。俗話說:「預防勝於治療」,所以在量測指標的設定上,應以設定偵測性指標為主,而避免把發生資安事故的次數作為量測的指標。例如在資料安全性的量測方面,可以用人員違反作業規範的次數來進行評量,而不是以發生資料外洩事件的件數作為量測的指標。
監督與審查資安管理制度
為了確保資安管理制度能夠有效運作,企業必須要有適當的監督方法,像是剛才提到可以設定量測性指標作為控制措施是否有效的衡量依據,因此,若想要去進行量測,就要事先擬定出可行的監督審查程序。
在ISO 27001標準4.2.3的條文中提到,我們要能立即識別出可能危害資訊安全的事故發生,也要能夠判定所選擇的控制措施,都能如預期般地順暢運作執行。所以針對每項控制措施,就要在監督程序書中說明多久會進行一次有效性量測?如何去判定此項控制措施是否有效?多久會進行一次管理階層的審查?並且還要將安全稽核、發生的資安事故、有效性量測的結果,以及利害關係人所提出的建議,一併納入考量。
對企業而言,想要了解制度是否有效的執行,最常採取的作法就是定期實施內部稽核。所謂的內部稽核是指由企業內獨立的公正單位,像是稽核室人員,依照企業本身所遵守的標準、制度和法規,事先擬定查核項目,然後進行實地訪查和抽樣,以了解管理制度是否如文件中制定的要求來進行。
在稽核的過程中,若有各項符合或不符合事項的發現,都要留下包括人、時、地、事、物的完整記錄,以作為未來管理階層審查時的輸入參考,藉此才能提出未來的改善目標和計畫。
維持與改進資安管理制度
企業透過定期實施的資安稽核,就可以了解目前資安管理制度的執行現況,從中發現人員、作業流程和產品技術是否有不足或是需要再加強改進的地方。
因此,在標準4.2.4「維持與改進ISMS」條文中提到,企業需要定期實施各項ISMS之改進,並依據所發現的不符合事項,進行適當的矯正和預防措施。 像是作業文件的修訂、實施人員的教育訓練、加強技術性的弱點防護等,目的就是要達到預期的改善目標,並且確認各項資安控管措施是有效的,才能將可能的資安風險降至最低。
在ISO 27001標準的4.2條文之中,關於建立ISMS的篇幅較大,敘述也較為詳盡,這部份是企業一開始最用心且投入較多的地方,反觀維持與改進ISMS的內容,它說明應執行的事項並不多,也是整個管理制度中,很容易忽視或執行不夠徹底的地方。記得在西遊記裡有句諺語說:「起頭容易結梢難」,意思是指事情的開頭容易,但是要有令人滿意的結果卻很難。所以在此要提醒各位,可別忘了要確保資安管理制度可以有效地運作,就必須要持續PDCA的管理模式,例如維持與改進ISMS是屬於A的階段,若是沒有確實的執行,要再次銜接到下一循環的P就會有困難,可能會導致整個管理制度難以持續有效地運作下去。
熟悉標準將可事半功倍
所謂的管理制度,往往是說來容易做來難,以ISO 27001為例,在這薄薄數十頁的標準內容中,其實有著相當博大精深的內涵,要能夠完全理解它並不容易,但參照標準的好處是,可以快速地掌握各項資安管理制度的重點,然後再依據組織的現況和資源來予以彈性的運用。
至於本文一開始提到的三個P,則是執行資安管理的基礎,同時三者也是不可偏廢的,換句話說,想要只依靠單一要素來達到有效的資安管理,可說是難上加難,唯有融合專家智慧所凝聚出的標準規範,再讓上述三者能夠相輔相成,這樣才可達到事半功倍的效果,對於有心想落實資訊安全的企業,標準才會變身成為一項切實可用的神兵利器,而不只是所謂的紙上談兵,下一期,將會說明ISO 27001針對管理制度的各項文件化要求。