根據國際驗證機構BSI針對645個已導入ISO/IEC 27001認證的組織所進行的調查報告結果顯示,企業認為通過ISO/IEC 27001認證並建立資訊安全管理制度(所獲得的好處,受訪的企業組織中有60%認為提升了符合法規要求的能力、39%表示有效減少了資安事件、39%認為減少了IT系統停機時間、47%表示提高了組織的競爭力,顯見從法規遵循的角度、降低風險、客戶要求與市場競爭等各種驅力,企業對於建立資訊安全政策所能帶來的效益持正面態度。
不過,在導入資安認證與佈署ISMS之前,企業應該具備哪些條件與觀念,才能擬定出最符合企業現況需求的資安政策?又有哪些問題與障礙,可能會造成資安政策落實的困難?讓我們先來瞭解一下資安政策規劃之前,企業應該建立哪些正確的觀念。
高階管理者支持為成功之鑰
一般來說,最瞭解資訊安全重要性與企業可能面臨的風險者,大多是在第一線負責控管防禦的資訊安全人員,但若缺乏企業組織集體共識,即便擬定資安政策也難以確實執行。企業所可能遭遇的資訊安全漏洞與風險必定會出現在各式各樣意想不到的情境中,光靠資訊安全人員以技術進行防堵,就像只有一面城牆的城堡,無法抵禦來自四面八方的危機。
也因此,擬定資訊安全政策的前提,即在於建立企業組織對於資訊安全風險的意識與共識,讓企業內部同仁瞭解,哪些行為可能危害組織安全,進而減少安全事件發生的頻率。
另外,企業要想推動實行資訊安全政策,高階管理者的觀念與支持立場必然是最基本的要件。BSI(英國標準協會)台灣分公司總經理蒲樹盛表示,不少企業遇到資安問題才尋求解決方案來處理,由IT管理人員往上推動建議與需求,可能面臨的阻力與挫折較多,資訊安全佈署較可能停留在單點思維,「建立資訊安全政策的前提,是企業主對於資安政策重要性的認識度以及風險意識,高階管理者若是支持,政策建立與推動也能相對較為容易,以完整的全面性角度來規劃安全政策,也較能擬定出符合企業需求的正確方向。」
負責推廣政府部門機關資訊安全資訊服務的行政院國家資通安全會報技術服務中心經理江衍勳表示,IT管理人員的溝通技巧,是說服高階管理者認同、進而建立資安政策與佈署資訊安全機制的重點,「以企業主的角度和語言,說明佈署與否將為企業帶來的好處與威脅,透過影響層面、衝擊層面來說服企業決策管理者,才有機會踏出第一步。」高階主管的支持,從實質面來看,同時也是人力與成本的來源、專案執行的根基。
成立資安團隊的必要性
 |
| ▲ BSI(英國標準協會)台灣分公司總經理蒲樹盛表示,建立資訊安全政策的前提是企業高層對於資安政策重要性的認識度以及風險意識。 |
當企業高層具備策略理念之後,蒲樹盛建議,企業應該成立一個跨部門團隊來負責擬定、落實資安政策以及進行內部教育訓練與稽核等工作,讓組織當中的各部門同樣具備安全風險意識,進一步依照資安政策調整部門作業流程,以因應符合政策規範。成立資安團隊不僅必要,理想的作法是由各部門的成員來共同組織成立該資安團隊,江衍勳也表示,最好是能有各部門具決策權的主管來共同組成,可讓擬定出來的資安政策更順利地推動到各部門,將資安政策的觀念廣佈深植在企業當中。
蒲樹盛說,「明定管理職責」是運行資安政策成敗的一大重點,由各部門主管共同參與該團隊的討論與分工,除了能夠強化各部門的參與度之外,也能讓工作交由較合適的人選來處理,「舉例來說,落實資安政策的IT解決方案,可由IT部門的成員進行評估與建議;如印表機、事務機等公共設備可由行政管理部門處理等等。」江衍勳表示,資安團隊依照不同工作屬性細分小組的作法,不僅可達到術業有專攻的好處,也能讓各部門相互交叉稽核。
不過,須注意的是,該資安團隊的成員,必須先接受資安教育訓練,具備資訊安全風險觀念之後,才能進行方向正確的擬定、落實與推動,否則就像瞎子摸象,同樣可能走向錯誤與迷失。