上一期說明了ISO 27001標準中有關「實施與運作ISMS」、「監督與審查ISMS」,以及「維持與改進ISMS」的作法,並且提到People(人員)、Process(流程)和Product(產品)是資訊安全管理的基礎,如果要將此三者在組織中予以串聯落實,那麼撰寫明確並可供參考的文件就顯得十分重要。
在ISO 27001標準中,開宗明義即提到它的適用範圍涵蓋了各種形式的組織,包括商業團體、政府單位和非營利機構等,標準中規定應在組織整體的營運活動和其所面臨的各種風險中,建立、實施與運作、監督與審查、維持與改進「已文件化」的資訊安全管理系統要求。
有關ISO 27001標準的文件化要求,主要是在4.3條文中說明,其所謂的文件化,除了政策的宣示、制訂作業程序規範及表單之外,還包括了管理階層針對資訊安全相關活動,進行各項決策所產生的記錄。
標準要求留下記錄的目的,是為了確保組織所實施的各項資安控制措施,都可以進行追溯,以便了解管理階層是在什麼時間點做出什麼樣的決定。
因此,管理階層的各項決策記錄,應該是會不斷重複產生的,透過這些決策記錄,就可以顯現出管理階層的作為,是不是依據風險評鑑的結果作出適當的風險處理,而不是僅憑個人臆測所作出的指示行動,也更能了解其資安作為是否符合組織的資訊安全政策,並且和組織的整體風險具有明確的關聯性。
ISO 27001要求的文件
組織在導入ISO 27001標準的過程中,需要產出的文件包括資訊安全政策、支援ISMS的各項程序書、風險評鑑方法論、風險評鑑報告、風險處理計劃、控制措施的有效性量測以及適用性聲明書。
資訊安全政策
在標準本文的4.2.1(b)中提到,組織應依其營運型態、所在位置、資產及技術等各項特性,來制定其ISMS政策,在政策中需要陳述確保資訊安全的目的為何,以及有關資訊安全的行動準則與目標。
一般而言,資訊安全的目標不會脫離確保資訊的機密性、完整性和可用性,但是為達到以上的資訊安全目標,在資安政策中應定義出可量化的指標,例如可歸責於資訊單位的駭客入侵和資料外洩事件,經外部通知後尚未處理的事件目標值為0;或是重要應用系統的可用率應高於99%等。
另外,組織應考量本身適用的法令法規要求,以及合約規範的內容,在資安政策中說明應有的資訊安全義務,還有管理階層本身應盡的責任,使其在執行管理工作時能有明確的依據。
支援ISMS的各項程序書
為了符合ISO 27001的要求,組織需要加強資訊安全的控管,也就必須建立起各種不同的標準作業程序。常見的作業程序有資訊資產管理程序、網路安全管理程序、資訊存取控制程序、實體安全管理程序、資訊安全事件管理程序和資訊作業委外管理程序等。
風險評鑑方法論
關於風險評鑑的方法,通常會寫在風險評鑑與管理程序之中,說明組織如何識別威脅與弱點所產生的風險,以及風險值的評價與計算方式,並定義出可接受的風險等級。
風險評鑑方法最重要的就是必須能夠產生可比較和可重複的結果,也就是說,同樣的風險評鑑方法應該能反覆實施,而其所產生的結果可以用來相互比較,以了解組織前後所面臨的風險現況。
風險評鑑報告
在風險評鑑報告中,必須記載此次風險評鑑的範圍和執行風險評鑑的時間,並且說明風險評鑑作業的執行方式與流程,若是首次執行風險評鑑作業,一開始需進行的是資訊資產的識別與盤點,若是重新進行風險評鑑的話,則是要確認組織是否有新增或是異動的資產,並給予適當的資產價值。
至於風險的分析,則是要確認是否有新的威脅與弱點產生,並且判斷每一項資訊資產中,威脅利用弱點而產生風險的可能性。最後則是要說明本次風險評鑑的結果,有哪些資訊資產的風險值在可接受的風險之上,以列表方式把它呈現出來。
風險處理計畫
根據風險評鑑報告的結果,組織必須針對風險過高的資訊資產,決定所要採取的風險處理方式。一般而言,最常採取的作法就是降低風險,因此需要提出改善的作為或是控制方法。
在風險處理計畫中,除了說明以上的處理方式之外,最重要的是要指定一位負責人或負責單位,並且註明預定完成處理的日期,以及預期將獲得的改善效益,也就是說明將如何去降低資訊資產的風險值。
控制措施的有效性量測
組織所採取用來降低風險的控制措施是否有效,不是自己說了就算數,而是必須有一套客觀的量測方法,以證明所面臨的風險已經被有效的控制住。針對有效性量測,在ISO 27001標準中著墨的並不多,它提到組織需要確保有效規劃、運作和控制其安全過程,並描述如何去量測控制措施的有效性。
在4.2.3條文中則指出,量測控制措施的有效性,目的就是要能證明組織已符合ISMS的各項要求,因此,組織所選擇採用的控制措施,每一項都要說明其量測的方法和量測的指標,並且記錄其量測的結果,以便稽核人員在審查時能夠一目瞭然,判斷選擇用來降低風險的控制措施是否適當。
適用性聲明書
適用性聲明是用來陳述在資訊安全管理的過程中,組織依據風險評鑑的結果,決定選擇適用或不適用的ISO 27001附錄A控制措施。ISO 27001標準中所提到的133項資訊安全控制措施,並非每一項都要求強制實行,而是可依照組織實際的運作狀況和評鑑後的風險來自行決定。只不過,如果控制措施適用的話,必須指出其參考的文件為何,不適用的話,則要說明其理由。
舉例來說,例如A.9.1.2實體進入控制措施,其採用的理由是為了確保只有經過授權的人,才能進入如機房等敏感實體區域,所以制訂了人員出入管制規範,而這項控制措施所參考的文件,則是實體安全管理程序和機房管理作業要點,讓相關人員可依照文件中的要求規範來遵照執行。
文件管制防護與作法
在ISO 27001標準中的各項作業程序文件,可說是整個資訊安全管理制度運作的骨架,因此在4.3.2文件管制的條文中,提到這些所需的文件應受到適當的保護與管制,其要求的作法如下:
1. 在文件發行之前,必須要有管理階層的核准,以確保文件內容的正確與適用性。
2. 如果因組織變動或作業流程的更改,在必要的時候,ISMS文件可以進行修訂與內容更新,但是必須經過管理階層的重新審查與核准後,才可頒布使用。
3. 文件如果經過變更或修訂,應該採取適當的標示,例如註明文件名稱、文件編號與版次,並且在變更記錄中記載修訂的內容摘要、頁數、發布日期、修訂日期及修訂人員。
4. 文件必須確保其內容易於識別和閱讀,並且要讓需要使用的人員能夠隨時取得,使用到最新版本的文件。
5. 文件的分發必須進行管制,依照不同文件的敏感等級,提供給授權的人員使用,並且依照其所要求的資料交換作法,進行傳送和儲存。
6. 文件若需要作廢時,應依據作廢流程確實執行,以避免作廢的文件遭到誤用,在特定的情況下,如果需要保留作廢的文件,也應該要有清楚的標示。
記錄管理要求與維持
除了各項文件需要受到適當控管之外,在ISO 27001標準4.3.3記錄管制的條文中,要求各項記錄應加以保護與管制,尤其是在法律或合約中有明訂要求保存的,更應該要有良好的控管。因此,在ISMS運作的過程中所產生的各項活動記錄,也應該要被適當的保存,以作為管理制度有效運作的證據。
所謂的記錄,包括像是機房人員的進出記錄、敏感資訊的存取記錄和資訊安全稽核報告等,都應保持容易閱讀、識別和檢索,並有適當的儲存方法與保存期限,而無論是文件或是記錄,都可採取紙本或電子形式,儲存於受到良好防護的實體,例如檔案室或硬碟、磁帶之中。
至於本文一開始所提到的「已文件化」程序,乃是指組織有一建立、文件化、實作和維持的程序,因此針對各項ISMS需要的文件與運作記錄,每個組織可能會有不同的文件化程度,但是在文件與記錄的管制要求上,兩者並無差別。所以,組織若想要維持一個有效且持續運作的資訊安全管理制度,那麼在文件與記錄的管理方面,勢必得要建立起符合標準要求的作業規範。