資訊安全控制措施

資產管理與人力資源安全

2011-01-05
上一期文章內容談到在ISO 27001標準裡,11個控制領域中的安全政策和資訊安全組織,本期將分析說明資產管理與人力資源安全中的要求,協助讀者選擇並實施適當的安全控制措施,以降低可能的資訊安全風險。
在ISO 27001標準本文中的4.2.1提到,組織需要識別在ISMS範圍內的各項資產以及此項資產的擁有者,這個過程指的就是進行資產的有效管理。資產的識別與管理,目的是要找出組織中所有和資訊處理活動有關的人、事、物,以評估其可能的資訊安全風險。在第5章的管理階層責任中,標準要求管理階層需要建立資訊安全的各種角色與責任,並且要確保組織中的所有人員,有能力去執行和資訊安全有關的各項工作,因此人力資源安全,也是資訊安全管理系統中不可或缺的一環。

在ISO 27001標準中,對於資產管理與人力資源要求,呈現在附錄A中的A.7和A.8,這些都是組織在落實資安管理時,必要的執行和控管項目,在執行標準的第三方稽核驗證時,也會是稽核員審查的重點之一。

A.7資產管理

ISO 27001附錄A.7談到的是「資產管理」,又區分為A.7.1和A.7.2二大類。在A.7.1的資產責任中,需要識別所有的資產,並且指定負責的擁有者,其目標是要達成及維持組織資產有適當的保護。

A.7.1資產責任

A.7.1共有三項控制措施,說明如下:

‧ A.7.1.1 資產清冊
「所有的資產都應該被清楚的識別出來,製作成資產的清冊,並且進行維護。」實作上會針對ISMS範圍中的所有資產進行盤點,但是有哪些資產需要識別呢?最簡單的思考方式是,找出沒有它的話,業務就無法執行,也就是跟核心業務有關的資產。由於資產的數量不少,因此在盤點時,會事先設定資產的類別,例如可區分為資訊類(電子檔、紙本)、人員類(內部、外部)、軟體類(套裝、自行開發)、實體類(電腦設備、辦公處所)、服務類(電力、網路)等,仔細清查每一筆資產的型式、位置、數量、擁有者、使用者、保管者和營運價值,最後彙整成一份組織的資產清冊,要謹記,這份清冊不是財產的清冊,而且需要定時地加以更新。

‧ A.7.1.2 資產的擁有權
「組織中和資訊處理設施有關的所有資訊和資產,都應指定其擁有者。」在資產清冊中,必需為每筆資產指定其擁有者,這裡所謂的擁有者,並不是指對於資產本身擁有其財產權,而是指實際上能夠控制資產的處理、發展、使用和安全,也就對資產負有管理職責的個人或部門。 指定時需要考慮一些特別的清況,例如有些工作是委派他人進行,資產的使用與照顧是受託者,但最終的管理責任仍在委託者,所以資產風險不能光從委託者的情況來評估。另外,像是某些資訊系統集合了資產、軟體、硬體和不同人員,這時我們可以將它視為是一種服務資產,從這個角度來指定服務的擁有者,以及服務的使用者。

‧ A.7.1.3 可被接受使用的資產
「和資訊處理設施有關的所有資訊和資產,其可被接受使用的方式規則,都應被識別、文件化和實施。」這項措施強調的是資產的使用,都需要制訂相關的規範,例如內部網路和電子郵件的使用辦法、行動裝置的使用注意事項,以及USB隨身碟的申請與使用作業辦法等。

A.7.2資產分類

A.7.2是資產分類,對組織而言,各種不同資訊所具有的敏感程度和重要性都不一樣,尤其是針對一些特殊的資訊,像是產品研發資料、客戶交易資料、個人資料等,可能需要更多額外的保護或處理,所以透過資產的分類,可以指定不同資訊等級所需要保護措施、優先順序,目標就是要確保資訊都已受到適當等級的保護,它有二項控制措施,說明如下。

‧ A.7.2.1 分類指引
「資訊應依照其對組織的價值、法律要求、敏感性和重要性進行分類。」資產分類可以讓我們便於管理,針對不同資產類別採用不同的管理方式,在實務方面,建議資訊的分類不宜過多,以避免太過複雜而造成各營運單位實施的困擾,其保護等級可藉由分析資訊所具有的機密性、完整性和可用性來賦予。

要提醒大家注意的是,有些資訊經過一定的時間之後,其敏感性和重要性會改變,例如企業的年報,在製作過程時須確保資訊的機密性,但在公布之後,要控制的可能是資訊的完整性和可用性,因此在保護上就需要作適當的調整。

‧ A.7.2.2 資訊標示和處理
「依照組織所採用的分類方法,資訊標示和處理的適當程序應被發展出來並且實施。」通常我們在資產標示分類上,會採用貼上分類標籤的方式來進行,但要注意的是,有些電子檔案無法用實體的標籤來標示,所以在標示時須採取其他方式來進行,例如使用時會出現在螢幕上(pop-up),或標示在資料的meta-data之中。

A.8人力資源安全

附錄A.8是「人力資源安全」,分為A.8.1聘僱之前、A.8.2聘僱期間、A.8.3聘僱的終止或變更等三大類。標準中所指的聘僱包括了幾個不同的情況,像是短期和長期的聘僱、指派或變更職務的角色、合約的指派及所有這些安全事項的變更。

A.8.1聘僱之前的角色與責任

A.8.1是希望所有的人員,能認知其職務角色應有的資訊安全責任,因此其控制目標是要確保員工、承包商和第三方使用者了解其責任,符合被指派的角色職務要求,以減少竊盜、詐欺和誤用設施的風險。A.8.1共有三項控制措施,說明如下。

· A.8.1.1 角色與責任
「員工、承包商和第三方使用者的安全角色與責任,應依照組織的資訊安全政策予以定義和文件化。」簡單的說就是以書面的方式,說明新進人員的資訊安全責任,例如告知須遵守組織資訊安全政策、個人資料保護法、智慧財產權等相關的規範,以及資安事件發生的通報方式等。

· A.8.1.2 篩選
「員工、承包商和第三方使用者的所有應徵者,都應依照相關的法律、規範、倫理,並且相稱於業務要求、可被存取的資訊等級與察覺到的風險,進行背景的查核確認。」實務上的作法為先制定篩選的作業程序,說明由何人、何種方式、何時來進行查核確認的工作。在進行時,則務必徵求應徵者同意,並遵守個人資料保護法及隱私權的要求,可針對其學經歷資料,專業資格、信用記錄等進行查核。

· A.8.1.3 聘僱條款與條件
「作為合約義務的一部份,員工、承包商和第三方使用者應同意並簽署其合約的聘僱條款與條件,應清楚的陳述其和組織的資訊安全責任。」組織可擬定其資訊安全條款與保密切結書等相關文件,向相關人員說明,並取得其同意和簽署,才可讓其使用組織的資訊和資訊處理設施。

A.8.2聘僱期間的責任與義務

A.8.2在聘僱期間,是希望管理階層能有效管理人員的各項活動,以符合組織的安全要求,因此目標是確保所有的員工、承包商和第三方使用者能認知資訊安全威脅與關切事項,明白其責任與義務,並且在日常工作的過程中,有能力支持組織的安全政策,減少人為錯誤。

· A.8.2.1管理階層責任
「管理階層應要求員工、承包商和第三方使用者,依照組織所建立的政策和程序實施安全事項。」在要求之前,管理階層應適當說明並協助人員了解資安作業規範,並採取激勵方式,讓員工願意並落實各項的要求。有時過於強制性的作法,反而會導致負面的衝擊發生。

· A.8.2.2 資訊安全認知、教育與訓練
「組織所有的員工和相關的承包商與第三方使用者,應依其相關的工作職務,和組織定期更新的政策和程序,接受適當的認知訓練。」組織應定期並依照員工不同的職務,實施一般或專業的資訊安全教育訓練,以協助員工能針對資安事件作出適當的反應。在訓練的有效性方面,可使用問卷和評量進行量測,針對表現優良者給予適當的獎勵。

· A.8.2.3 懲處過程
「對違反安全的員工,應有正式的懲處過程。」這項控制措施的重點在於,是否公布懲處的程序與方式,是否以正確、公平的方式,收集客觀的證據,以證明員工造反安全規範。對於嚴重的不當行為,也可允許管理人員解除其職務,或要求其離開辦公作業處所。

A.8.3聘僱的終止或變更

A.8.3聘僱的終止或變更,是希望聘僱能夠符合組織的內部管理方式,目標是要確保員工、承包商和第三方使用者,以適當的方式離開組織或變更聘僱事項。A.8.3有三項控制措施,說明如下。

· A.8.3.1 終止責任
「執行聘僱終止或變更聘僱的責任,應被清楚的定義和指派。」針對人員的轉調或離職,內部須指定專責的單位來處理,一般而言,是由人力資源單位來負責相關的終止程序,確認其符合聘僱條件與合約的要求。

· A.8.3.2 資產歸還
「所有員工、承包商和第三方使用者,在聘僱、合約或協議終止時,應歸還其持有的所有組織的資產。」資產的歸還通常會以清單檢核的方式來進行,確認人員已歸還組織的門禁卡、電腦設備、軟體、作業手冊等資產,若人員使用自己的設備,也應確保所儲存的資訊已移轉回組織,並進行清除。

· A.8.3.3 移除存取權限
「所有員工、承包商和第三方使用者,對於資訊、資訊處理設施的存取權限,應在聘僱、合約或協議終止時移除,或依變更進行調整。」這是指人員的轉調或離職,需要確保其使用資訊系統的存取權限已進行適當變更,實務上建議在人員離職日起即暫時凍結使用者帳號,待確認相關資訊與權限已移轉完成之後,再將其帳號和權限移除。

參考資料
1. ISO/IEC 27001:2005
2. ISO/IEC 27002:2005

(本文原載於網管人第60期)


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!