SOC係透過監控及分析企業或組織內部系統、作業流程或相關設備所生資訊,除依一般系統或流程資訊之處理與事件應變通報外,倘涉及個人資料或隱私,另須注意相關法令。
雖全球在2020年遇到嚴重的疫情,但也因此讓相關科技應用興起或更加蓬勃發展,如遠距辦公、行動商務或數位支付。而在金融產業部分,各家銀行早已相繼推出網路銀行或相關服務,以符客戶需求。又三家純網銀經金管會許可,可能在2021年初正式上路,將使生活更方便。
然而便利的同時,為了因應層出不窮的資安風險,諸如網路攻擊、服務中斷、資料外洩或被竊取,金管會於2020年8月6日提出金融資安行動方案,自2021年起分四年執行。
前述行動方案除了強化主管機關資安監理功能外,也將深化金融機構資安治理、精實金融機構資安作業韌性,以及發揮資安聯防等功能。此外,金管會並將加強主管機關本身與金融機構中高階人員之認知提升與能力訓練、建置資安監控機制(Security Operation Center,SOC)、營運持續管理(BCM)及電腦緊急應變小組(CSIRT)等,列為一年內可完成之措施,希望能有初步成效。
SOC意涵與服務釐清
相較於BCM或CSIRT之功能或服務較為明確,像是BCM有ISO標準(如ISO 22301),或美國NIST有針對CSIRT發布相關指引(如SP 800-61),國內外對於SOC意涵或服務內容之認知卻有些差異,例如行政院資通安全處於2017年發布之國家關鍵資訊基礎設施防護-領域CERT、ISAC及SOC實務建置指引,其中SOC指資訊安全監控中心,依不同之領域與層級,功能也有所不同,如在國家層級是制定關鍵基礎設施(CI)資安威脅情蒐規範,掌握我國整體資安現況以及趨勢,收容領域主管單位關鍵基礎設施情資;各CI領域層級為主責領域內資安監看情資彙整,掌握領域整體資安現況以及趨勢,建構縱向該領域之SOC監看機制;而各CI提供者層級則是掌握該單位資安情資狀況,與建構事件情資向上回傳機制。
另根據2019年電腦軟體共同供應契約之資通安全服務採購規範,資通安全威脅偵測管理服務則係指提供網通設備、資安防護措施(如防毒軟體、網路防火牆、應用程式防火牆、APT防禦措施、電子郵件過濾及IDS/IPS等)、主機伺服器等資安事件監控、事件處理、資安威脅預警等服務。透過監控及分析,將監控設備所產生的日誌,系統化進行收集、關聯性分析後,提供給機關進行情資管理。
國際組織IEEE也曾在2018年針對SOC如何與組織內部既有政策、流程或系統之整合,發表過相關文章。其認為之SOC主要在於協助監控企業或組織網路使用狀況、事件或事故,並進行因應的集中式機制。但對於大多數的企業來說,SOC與原本作業流程或系統的設計或功能並不一致,故會面臨整合的議題。IEEE建議企業或組織首先要先決定對於內部系統或流程之監控順序;其次要求分析或操作人員,應詳實記錄與網路安全相關的事件。最後,對於SOC發現之狀況依內部作業程序(SOP)判斷後,應進行內外部報告。基此,配合明確定義或訂定具體規範,SOC始能較順利地與原有系統或流程整合。
若涉及委外須注意國內外規範
依上開定義可知,無論是企業或組織自行或委外建置SOC,其主要功能如行政院或IEEE資料所述,係協助監控企業或組織網路使用狀況、事件或事故,並進行因應。又,誠如金管會資安行動方案所言,希冀及早發現網路異常行為,以扮演資安防護「防微杜漸」關鍵角色。且完成SOC建置後,再搭配外部或領域聯防機制,逐漸建構整體資通安全防護。
由於SOC係透過監控及分析企業或組織內部系統、作業流程或相關設備所生資訊,除依一般系統或流程資訊之處理與事件應變通報外,倘涉及個人資料或隱私,另須注意相關法令。如資通安全管理法(資安法)及子法之應辦事項,對於受規範對象之管理面或技術面等,有具體要求。且若屬委外之情形,更應落實監督管理。如個人資料保護法(個資法)施行細則第8條規定,關鍵在於委託他人蒐集、處理或利用個人資料時,委託機關應對受託者為適當之監督。而委託機關對受託者之監督應至少包含二大事項:(一)預定蒐集、處理或利用個人資料之範圍、類別、特定目的及其期間。以及(二)個資法細則第12條之規定,如風險評估、資料或設備安全管理等措施。
然包含SOC在內,如有委外情形,企業或組織(如資安法之公務機關或特定非公務機關,或個資法之公務或非公務機關)常以契約約定作為前述法令遵循之依據。如委託機關於契約內約定,要求受託者(SOC服務提供者)依相關法令履行適當安全維護措施,且倘發生資安或個資事故時,受託者須自行承擔責任、或與委託機關共同承擔損害賠償之責任。或是要求受託者填寫制式表單、取得資安或個資相關驗證,作為佐證。不過須強調的是,無論是契約約定或通過驗證之方式,實未完全符合法遵,僅係將法律責任轉嫁或要求受託者分擔。更甚,SOC主要是協助監控企業或組織網路使用狀況,並進行通報以利因應。爰受託者發揮SOC功能提供資訊後,對於事件或事故之因應與處理,仍應由委託機關決定,並負起應負的責任。
除我國相關法令之外,歐盟GDPR第32條規範資料控管者(Controller)需要實施適當的技術和組織措施,以確保與風險相稱的個人資料處理的安全層級。基此,包含資料處理者(Processor)在內,如SOC等對象,須依GDPR規範處理安全相關內容,以降低可能之風險。或行政院國家資通安全會報技術服務中心(技服中心)於2018年亦有提供政府資訊作業委外安全參考指引(修訂5.2版),相關資料均可供參考。
綜前,除符合資安、個資法令遵循或落實應辦事項外,為貫徹風險管理之精神,企業或組織如有委外情形,建議委託機關除要求受託者強化自身管理能量外(透過建立資安或個資管理制度,如ISO 27001或27701),落實內部資料或數據治理,並確保安全管理,才是兼顧發揮SOC功能與確保隱私保護之關鍵。
<本文作者:陳宏志目前服務於資策會,專注於資料治理議題,如資安、個資政策或法令及管理實務,並協助零售、物流、智慧財產權等規劃區塊鏈應用。>