筆者之前與幾位政府單位的中階主管談到導入資訊安全管理制度之後,為何仍然會發生資安事件,例如資料外洩、入侵、病毒感染、竊取、詐騙等等。在對談的過程中,筆者發現了兩個很有趣的現象,在這裡與各位讀者分享,也希望各位讀者的單位不要也犯了同樣的謬思。
資訊的事,與我無關
大部分的組織在導入資訊安全管理制度的過程中,首先都會選擇資訊單位作為導入示範單位,主要的原因在於,ISO標準中有55%的控制項目是屬於資訊技術管理,為了避免其他非資訊技術單位因為對這個領域不熟悉不了解的因素,影響導入的成果,因此,資訊單位就成為組織內的導入示範單位,而大部分的同仁也「理所當然」地認為,反正這是「資訊部門的事,跟我無關」。
問題就來了,大部分的資安事件並不是發生在資訊單位,而是其他營運單位的同仁,而且多數情況下的原因都是無心的,但卻造成很大的困擾與影響。歸咎其主因,無非就是導入過程中沒有邀請非資訊單位的同仁來參與,或是導入之後沒有繼續向其他非資訊單位的同仁推廣。
其實筆者在協助推動資訊安全管理制度導入的過程中,常常對高階主管說明,導入資訊安全管理的範圍絕對不是只有資訊單位,而是全組織,因為資料的產生、修改、查詢、存檔都是使用者經手的。
不管是先以資訊單位為示範單位導入,之後再繼續往其他單位推廣,或是一開始就全面導入,一定要讓所有的同仁都知道這件事,以及對組織的影響。
 |
| ▲導入過程未整合其他作業流程 |
冷眼旁觀 管理制度欠缺整合
事實上,多數企業組織在導入資訊安全管理制度之前,通常都已經具備某種程度的管理與流程,例如會計制度、客戶管理制度、進銷存管理等等,運作於企業體系之中。
在決定導入資訊安全管理制度的同時,若沒有考慮到現有管理制度的整合,往往會使得新制度與舊制度成為二條平行線而沒有交集,以至於在宣佈要導入資訊安全管理制度時,資訊單位的同仁會覺得「喔,不要再來了」,而其他單位的同仁反而會在旁邊看笑話。結果是 「又再」建立一套獨立的管理制度,卻和現有的管理制度不相容、沒有交集。
細讀ISO/IEC27001國際標準的Annex A的控制目標與控制項目,其實大部分的內容都是組織應該已經具備的管理範圍,而要求組織要檢討現有制度中,是不是對資訊安全的控制目標已經建置與要求。
例如A.8.3 Termination or change of employment其中提到的三個主要的控制目標:
這三個控制目標在一般組織中主要的管理權限應該是人事單位,但是在規劃與建置資訊安全管理制度的過程中,主事者是否邀請人事單位加入討論,並且說明與告知標準的要求,檢討現有人事管理制度是否已經考量上述三項控制目標卻是相當重要的。如果沒有這個步驟,又該如何調整修訂管理制度,以達到標準的要求,並且使制度更有效益。
結語
最近發生的資訊安全事件影響越來越大,不但造成一般民眾的恐慌,也影響企業的商譽、政府組織單位的信譽。筆者誠心的希望,不管是個人或是企業或是任何組織,重新檢討現有管理制度的合理性與有效性,同時重新將國際標準拿出來細細深讀,思考現有的制度是否不足,透過全體同仁的投入,檢討現有制度如何整合,同時要求所有同仁落實管理要求,達到安全與保護的目的。