談到資訊安全,大家都很熟悉推動已久的ISMS(Information Security Management System,資訊安全管理系統)規範。在雲端服務將資訊運算進一步擴大到更廣泛應用後,僅依靠ISMS已很難對複雜的資訊應用進行安全管理,應該有一套更為完整且標準化的安全資訊服務管理典範,就是ISSM(Information Service Security Management)。
乍看ISSM和ISMS似乎差異有限,然而ISSM整合了ITIL/ITSM(Information Technology Service Management)方法論,以業務流程為基礎,結合業界最佳實務與技術,支援包括安全弱點、結構、變更、事件、警示、報告等主動式安全管理,因此更適合於複雜應用服務下的資訊安全管理。
ISMS雖然符合ISO標準,但是並未提供具體實踐的準則,ISSM則藉由ITIL/ITSM的IT服務管理最佳範例,有效定義與整合資安管理最重要的實作指引。
早在2008年,我目前任職的公司就提出了ISSM的導入建議,現在雲端服務開始被產業大量採用,這種由業務流程開始的資安管理就更受產業重視。基本上,ISSM就資訊服務台(Help Desk)、問題管理、變更管理、配置管理和版本管理,提供了完整的最佳資安作業範本和實作藍圖。ISSM模型包含風險建模、資訊安全框架、ISSM轉換引擎、參考指南、適用性地圖和控制實作範本等六個核心元件,定義出核心的資訊安全服務目錄,形成新一代企業資訊安全的基礎。
為什麼資安需要從業務流程著手?這牽涉到企業的IT治理問題。任何組織在IT治理上,必然會包含人員(People)、政策(Policy)、流程(Process)、產品(Product)和驗證(Proof)等稱之為P5的五項治理目標,而在資訊化應用程度愈高、普及度愈廣時,僅僅只依靠資訊設備的安全管理,並不足以克服現實中與人或事相關的資安困擾,許多狀況並非單純技術問題,必須提高到管理層次。
當資安可由業務流程進行治理後,企業的資安目標、作業和投資價值將更為明確,使資安管理與業務目標的需求達成平衡,並透過最佳資安作業強化法規遵從、提升企業聲譽和企業資訊安全。
資安問題在當今的資訊應用環境中已然十分複雜,未來雲端服務普及、資訊作業更趨近「無所不在」時,管理工作的導入將更加艱鉅。所以現在就應當著手,透過有系統的方式,開始正視企業原有的資訊安全架構,逐步邁向ISSM層級的資安治理。