近年IT環境改變大,不管是攻擊型態的改變、新科技的導入應用,都對企業原有IT管理方式造成衝擊,企業組織過去的IT策略勢必要進行調整。從更高層級來看,在主管機關要求下,許多上市櫃公司都開始重視公司治理(組織治理),並從組織治理延伸到資訊治理,例如藉由IT來協助內稽內控制度的落實。而企業要做好組織及資訊治理,那麼資安治理也是一個重點。
BSI英國標準協會驗證部協理謝君豪認為,從BS 7799到ISO 27001:2005,台灣許多企業組織已經取得資安管理系統(ISMS)的驗證,但取得ISO 27001驗證只是代表組織資安有基本基礎,在這一兩年內面臨上述環境的改變時,過去的資安策略與做法都須面臨調整,必須以全組織的觀點來規劃資安工作,例如過去是以資訊部為資安制度主要導入範圍,但隨著智慧手機BYOD以及社交網站使用等管理問題的浮現,這些都已超出原本ISMS導入的範圍。因此,ISO 27014提供很好的資安治理指引,ISO 27014包含六大原則,其中一個非常重要的原則強調組織必須以全面性的觀點來實施資安 (Principle 1: Establish organization-wide security),而非過去僅以資訊部門觀點。其次是必須採取以風險為基礎的做法,以及投資應透明化等。
謝君豪進一步指出,過去在大型企業或組織,常會有不同部門IT設備重複投資佈署的情形,甚至有的部門還可能買貴,這就是因為沒有好的資訊治理流程的關係。又如許多組織是業務單位自己將IT專案發包委外,資訊部門沒有涉入,這樣一來除了造成重複投資也衍生許多後續維運上的資安問題。因此,企業可從資安治理框架來從新思考資安策略。
對已經導入ISMS企業的實務建議
由於即將在今年10至11月公布的新版ISO 27001:2013已經公告最終草稿本(FDIS),資安專家認為此次改版算是大改版,因此,企業必須及早準備因應。謝君豪針對已經導入ISO 27001:2005的企業提出4點規劃轉版時的實務建議:
1)進行人員教育訓練以了解新版內容;2)做新舊版落差分析;3)啟動專案,定義角色與權責;4)進行相關活動的調整,包含制度面要求及控制措施面要求。
與過去不同,在新版ISO 27001:2013強調幾個非常重要的精神:
* 如同上述,需以企業組織全面性觀點去思考資安,透過思考以下三個問題,再來決定ISMS導入範圍。包括必須瞭解企業組織及其背景與情況,並進而找出將影響企業組織達成ISMS預期結果及目的之內部及外部議題,內部議題如組織文化、角色權責。此外,應了解與組織相關利害關係者的需求與期望,即決定與ISMS有關之利害關係者,以及這些利害關係者對資安的要求,例如相關合約上應盡的義務等。思考完上述三個問題後,再來定義企業ISMS的導入範圍, 就可鑑別出最需要受保護的範圍、服務、業務、系統等。例如在醫療產業、高科技、人力仲介、資訊服務業或政府機關等,最重要的不會單單只有資訊部門的活動而已,很多資安事件往往是在業務單位造成的。
* 新版ISO 27001與過去相比,在許多部分上做了更明確的定義與要求,包括要求PDCA各章節該做些甚麼,而非企業自行定義。更重要的是在高階主管的leadership上也要求應展現更多的支持。例如要求資安必須能與內部既有制度結合。而在資安政策的制訂上,則要求相關的CIA政策要與組織目的結合。例如某企業的組織營運目的是要成為網路上的數位內容第一品牌,那麼相關資安政策則要偏重網路服務提供機制的機密性。
至於企業所關注的轉版時程,SGS國際驗證服務部ISO 27001產品經理林志明指出,在新版正式公告後的18~24個月是轉版過渡期,現有證書須在這段期間內於定期追查(surveillance audit)或換證稽核(recertification audit)時升級成新版。若超過轉換期限,ISO 27001:2005的驗證證書將自動失效。
一般來說,定期追查僅抽查部分範圍,而換證稽核則是全範圍的檢查。但此次轉版不管是定期追查或換證稽核都會抽查轉版內容差異的部分。至於企業若等到超過轉換期限,證書失效都仍尚未進行轉換,屆時將需要重新進行外部稽核與驗證,也相對需要規劃更多的稽核人天才能完成新版驗證。
至於有部分企業為了因應個資法,而正計畫導入ISO 27001,又該如何將個資管理與新版ISO 27001進行整合?林志明認為,個人資?保護法施行細則第十二條所提及的適當安全維護措施,企業組織為了符合法規要求,應已具有一定程度的個資管理機制,或個資管理系統,而部分控制程序也應已具備部分新版ISO 27001資訊安全管理系統要求的符合性。可在導入ISO 27001資訊安全管理系統之前,先分析現有個資管理機制與新版ISO 27001要求的差異,在新版ISO 27001導入過程,再採納及調整適宜的個資管理機制,以減少重覆的程序或辦法製作,最後整合出符合新版ISO 27001要求及有效個資管理的組織系統。
對於要因應個資法,而計畫導入ISO 27001企業的建議
由於新版ISO 27001強調全組織的資安導入,再加上企業若希望個資與資安管理系統進行整併,勢必要思考是否要擴大原本ISMS的導入範圍。林志明指出,目前僅看到政府單位有要求,許多政府單位都正在討論如何分階段擴大27001範圍。至於一般企業,先前多半是因上游供應鏈的要求而導入ISO 27001,當初驗證的範圍就已經比較大。然而也有些企業當初並沒有導ISO 27001,而是直接導個資管理系統(PIMS)。以日本為例,當初個資法案通過後許多企業導P Mark以為因應,但近年來導入P Mark的速度逐漸趨緩,反而導入ISMS的單位開始增加,推測是企業做好個資管理流程的因應後,接下來希望能全面性強化資安管理,並且做到營業秘密的保護。
林志明表示,由於個資法的要求是全組織皆需適用,若組織希望以ISO 27001資訊安全管理系統因應個資法的衝擊,擴大ISO 27001的範圍是有其必要性,若是已導入ISO 27001資訊安全管理系統的組織,可考量將原範圍先擴大,並將範圍內所有個資檔案之完整生命週期(蒐集、處理、利用)納入管理,以面對個資法的衝擊。若組織尚未導入ISO 27001資訊安全管理系統,則可考慮直接建置新版ISO 27001,但仍需將所有個資檔案之完整生命週期(蒐集、處理、利用)納入管理,才能面對個資法的衝擊。在企業實務面上,不同管理系統有不同的範圍,也由不同的人員負責,包括管理委員會的成員也不同。因此需要把範圍拉到一致,並進行角色統一化,再來整併,這樣才可享有整併所帶來的經濟、時間的效益。
謝君豪則認為,整合是趨勢,可讓資源有效利用,現在國際標準也慢慢朝整合方向在調整與改寫。但是否要整合則在於組織本身的背景。過去ISMS可能是以資訊部門為範圍,如今PIMS大多以全組織或業務流程為範圍,這是個很好契機,可重新檢視ISMS的範圍是否合理,否則PIMS的有效性也會打折。以電信、金融等產業來說,是個資含量大且散佈於企業的行業,適合ISMS與PIMS整合。但若是製造業,個資僅在於人資部門,其未必有整合效益。又如某些企業,是資訊部門導ISMS、業務部導BCM、ISO9000則在製程導入,範圍不同各自維護、各自稽核也未必非得整合。但可以強調的是,整合對有效性的展現是個不爭的事實,且「範圍趨於一致才容易整合」,其實不同的管理制度,其範圍多少都會有重疊。重點在於組織高階主管如何看待整合的需求。
資策會資安所PIMS、ITIL、ISMS三合一的整併經驗
資策會資安所ISMS、ITIL與PIMS三種管理制度都是以全中心為導入範圍,其中ISO 27001與ISO 20000在2006年就已整合完畢,如今加入BS 10012,在經過6~9個月的導入與試行,也已在去(2012)年7月完成三合一整合,並配合每半年一次的外稽驗證於2012年12月通過驗證。
一般企業ISO 27001是資訊/資安部門負責主導,而個資則可能由法務部門負責,若管理制度沒有整合,將來不僅會需要各自召開管理審查會議,主管必須兩種會議都參加,而且面臨外部稽核時可能被問到的問題也會相同。「各種制度接連而來的稽核將對使用者工作造成干擾」資策會資安所吳家祺主任說。
在這篇文章,資策會資安所組長黃小玲也提到,『個人資料保護法施行細則提到安全維護措施應有風險評估及管理機制、BS 10012個資標準要求建置風險評鑑流程,再加上資訊安全原已定期執行之風險評鑑,若不進行整合,則會發現啟動風險評鑑的頻率可能會超乎使用者預期。』
在資安所三合一制度整合之後,有統一的一份政策文件,明列出三套制度共同的目的,而在目標、政策聲明、與適用範圍底下,則分別列出三套制度不同的內容。以後面臨外部稽核只要查核這一份文件就好,可避免出錯。更重要的是,管理體系的組織架構也隨之進行整合,在管理代表(高階主管)下是協調官(專案負責人),接著是4個小組:資訊服務管理組、文件管制小組、稽核小組、制度管理小組,而資安所所有的業務範圍就如ITIL的服務流程,畫分為13個流程,由7組組長分別擔任流程經理。在組織架構裡的每個成員,從管理代表到流程經理,必須分別擔任ISMS、ITIL與PIMS裡的各種工作。
在這過程中,「權責劃分是整合工作中較難的部分,需要在會議中協調,」吳家祺說。資安所由於過去已有ISMS、ITIL二合一的經驗,因此這次導入個資PIMS,也是由管理代表吳家祺主任統籌。而若是一般企業或政府部門,ISMS與PIMS分別由資訊部與法務部門主導,這時勢必需要成立跨部門推動小組,由更高層的長官來主導,整合才容易成功。
在資安所,管理制度已經內化成為組織營運的一部份,除了每半年召開一次管理審查會議外,流程會議每月召開。而若有新業務進來,也會在會議中討論權責歸屬,並且加入到制度中。「制度不是做好一套就放在那裏不去更新,經過管理階層同意後,也會立即更新並發佈新的文件。」吳家祺說。
此外,針對整併過程中,盤點與風險評鑑的部分,資安所的實際做法如下:
1. 盤點:過去ISMS導入大多會從資訊資產開始盤點,但是個資一定要從業務流程(從個資的蒐集、處理、利用階段)來盤點,以避免遺漏。現在的ISMS輔導,有部分顧問也開始會從業務流程來盤點,可以清楚了解資訊流。建議有計畫導入ISMS並且也要做個資管理的企業可以在RFP中要求從業務流程來盤點。
2. 風險評鑑:過去ISMS導入,已經做過各項資產風險評鑑,如今整併PIMS時要再加入個資重要性。例如,過去某台資料庫經過CIA風險評鑑後為50分,現因含有個資,必須再加上5分,新的風險值來到55分。如此經過重新風險評鑑,會有新的風險值,相對的安控措施也要跟著調整。例如含有個資的系統,所產出的報表要求要做遮蔽;同時,含有個資系統的存取權限控管也要再審視調整。
經過三合一的整併過程,吳家祺提出建議,對預算有限的單位,應該先建立起PIMS,先符合個資法法規要求,第二年後再整合ISMS。但若是資源較豐富的單位,則建議可以PIMS的導入與ISMS的(擴大)整合一起進行。經過這次經驗,資安所認為管理制度的整合效益十分明顯,但整合專案要能成功的前提是必須獲得高階主管的支持,從主導人選的指派,以及是否在每月會議中納入管理制度議題的討論都是管理階層具體支持的表現。