資訊安全　您了解多少？

文／李哲祥


筆者之前曾經提過在資訊安全的領域中，第一步就是要了解對「資訊」的定義。或許讀者會問，那接下來要做甚麼呢？接下來要做的就是建立一份「資訊資產分類分級清冊」以及相關的弱點及威脅分析。藉由建立資訊資產分類分級清冊，可以了解到底哪些資訊資產是可以公開的，哪些資訊資產對企業組織是最重要的，他們的弱點在哪裡，各自面對甚麼樣的內在或外來的威脅，風險的高低如何判斷及訂定，企業組織必須給予何種適當的保護，以及企業組織必須投入的管理及技術資本支出有哪些。


在建立資訊資產分類分級清冊之前，首先要做的就是資訊資產分類。一般而言，我們可以將資訊資產分為五大類，依據企業組織的營業項目、架構、作業流程、特性、文化等等因素，這五大類的比重都不相同。

第一類：電腦類實體資產
第一類的電腦類實體資產包括個人電腦、各類型電腦主機、網路設備、印表機、及儲存媒體和設備等。這些設備在還沒有資料輸入及處理之前，本身並不具備任何的資訊有效性，但是並不代表這些資訊資產就不需要給予保護。我們要了解，只要是資訊，或多或少都會有弱點，而且都要面對內在或是外來的威脅。如果我們清楚了解自己資訊的弱點以及面對的威脅，不論企業組織的電腦實體資產是現在才要規劃建立，或是已經在運作中，藉由建立資訊資產清冊及弱點威脅分析，我們可以在適當的地方，規劃適當的保護措施，例如重新規劃及設計防火牆、調整網路路由路徑、DMZ設計調整、IDS入侵偵測等。


同時，藉由這樣的規劃作業，管理者必須思考一旦網路遭受入侵、破壞、或任何意外而停頓，企業組織是否具備緊急備援、應變、及永續經營計畫以及其可行性。因此，這一類的資訊資產價值可區分為兩個階段，為具備資料前的會計帳面價值，以及具備資料後的資訊資產價值。


第二類：電腦類軟體資產
第二類的電腦類軟體資產包括了作業系統、應用軟體、應用系統、以及各類型系統工具等。類似電腦類實體資產，這一類的資產可以區分為具備資料與否兩種階段。但是要注意的是資料運用權限管理的關聯性，這是屬於第五類的管理資產，例如管理政策是否清楚、權限分級是否完善等，因此制定相關的資訊安全政策及作業準則規範就顯得重要了。


同樣的，電腦類軟體資產與實體資產是密不可分的。在定義電腦類實體資產分類時，必須同時考慮軟體資產的分類，兩者是互相依存的。

第三類：電腦類資料資產
第三類是電腦類資料資產。這一類的資訊資產必須依照組織結構來定義它的價值。簡而言之，就是甚麼樣職位、職務、以及工作內容的員工，可以運用甚麼等級的資料，包括製作、讀取、儲存、修改、刪除、以及複製等。如同第二類的軟體資產一樣，資料運用權限管理在這裡必須定義清楚，列入正式的管理文件中，也列入第五類的管理資產。

第四類：實體環境資產
第四類的實體環境資產包括環境安全、門禁管理、電力供應、通信線路安全、消防安全、以及最重要最需要注意的社交工程 (Social Engineering)。相較於實體可見的部分，社交工程是最難防範的安全項目。因為社交工程安全完完全全是由「人」的因素所造成的。但是社交工程安全並非無法預防，只要透過完整且持續不斷的溝通宣導及教育訓練，提高全體員工對資訊安全的認知以及危機意識，一樣可以達到資訊安全的目標。

第五類：管理資產
第五類是管理資產，也是所有資訊安全管理資產項目中最重要的一環。管理資產基本上就是清楚的建立企業組織的資訊安全管理政策、相關功能性安全政策、以及完整的標準作業管理程序 (Standard Operation Procedure, SOP)。透過清楚了解企業組織的目標與策略，企業組織在制定資訊安全政策時，必須能符合企業組織的目標，同時要讓所有員工清楚了解資訊安全管理並不是員工在執行日常業務時的絆腳石，而是要協助企業組織防範不可預期的損失。同時，制定相關的功能性安全政策也是要達到相同的目的，對於不同的單位及部門，功能性安全政策可以達到不同的效果。


完整且漸進的制定企業組織資訊安全政策，是企業導入資訊安全管理最重要的一環，只有藉由漸進式的導入資訊安全管理，企業組織才能發現及了解到底本身對資訊安全的認知差距有多大，到底需要哪些資訊安全管理及建置，需要投入多少人力及資源來達到預期的目標，以及資訊安全項目的優先順序。


企業組織在規劃建立「資訊資產分類分級清冊」時，不要忘了資訊安全管理的三大重點：機密性、完整性、以及可獲得性，任何一種分類都必須顧及這三種特性。例如第二類電腦類軟體資產，必須考慮在具備資料之前的完整性，以及具備資料之後的可獲得性。又例如第三類電腦類資料資產，三種特性都必須考慮到。


在企業組織了解分類的重要性及做法之後，於未來將持續與各位讀者討論如何做好資訊資產安全的分級制度。


（作者為安侯建業會計師事務所資訊風險管理服務組經理）