安全政策的型態資訊安全政策也是同樣的道理,依據英國國家標準協會(BSI)對於其所制定的資訊安全管理標準BS7799的定義,資訊安全政策係指「Rules, directives and practices that govern how assets, including sensitive information, are managed, protected and distributed within an organization.」,所以安全政策是希望提供組織內資訊管理部門及資訊使用部門一個一致的管理標準供遵循,其目的在於「提供資訊安全的管理方針與支援」,為了滿足這樣的目的,在擬定安全政策前,應該先認清安全政策的兩種型態:
1. 安全政策聲明(General Security Policy)
每個組織的安全政策,應該是整體適用的,也就是說,組織的最高管理者所提出的資訊安全管理承諾,應該要跨越各部門、分支機構,一體適用,共同遵循,這樣的安全政策稱之為組織的安全政策。組織整體的安全政策,因必須考量前瞻性以及組織的營運目標,通常較為抽象,屬於聲明性質,在BS7799-2:2002版中,稱之為安全政策聲明(Security Policy Statement)。
2. 功能性安全政策(Functional Security Policy)
有些組織過於龐大,業務種類複雜、業務特性特殊,或是分支機構遍及不同地區或國家,而必須遵守不同地區的法令,於是,會在組織整體的安全政策下,依據整體安全政策的精神,更具體地提出符合不同功能特性、更易於落實的安全政策,這樣的安全政策,稱之為功能性安全政策。
這兩種安全政策的型態,一般而言,以組織的整體安全政策為首要,而功能性安全政策則視組織規模、管理型態,由組織決定是否需要建立,如下:
資訊安全政策(ISMS)基本架構:
整體性安全政策(General Security)
作業程序(Procedure)
標準作業程(SOP/WI)
各式表單(FORMS)
然而,在實務上,為了考量制度建立的成本效益與推動的運作順利,在建立安全制度之前,往往須先擬定推動的策略,也就是決定資訊安全制度的推動方式,如果為了快速導入資訊安全管理的管理方法,通常會先擇定一個部門、作業流程、或是一個實體範圍進行導入,後續再擴大制度的適用範圍。
這種推動方式的好處在於以示範點的方式可以大幅降低組織適應一種新的管理制度的成本,而且,能很快地將風險管理的方法與觀念導入,並依據組織文化進行修正,醞釀出真正適合組織文化的管理制度。此外,因為示範點的範圍較小,衝擊日常作業的機率就大幅降低。
如果組織建立安全管理制度的模式,是採用示範點的方式執行,在這種情況下,如果制定的安全政策適用組織全體,而在落實這個政策的相關程序、標準作業卻只適用在這個示範點,在整個管理系統的邏輯上看來,會有適用範圍不一致的現象產生。
當這種情況發生時,應該先制定適用整體示範點的安全政策聲明及功能性安全政策,當做這個資訊安全管理系統的安全政策,並以此範圍內的資訊安全政策、作業程序、SOP等,作為一個完整的資訊安全管理系統,而這個管理系統的適用範圍,則涵蓋這個示範點的相關作業,等到下一階段全面跨大實施的時候,再建立修訂資訊安全政策的適用範圍。這樣的驗證範圍,也是目前各驗證單位所能接受的方式。
依機構位階屬性制定資安政策
尤其是目前在行政院資通安全會報的要求下,許多政府機構在建構資訊安全管理制度時,常遇到一個困擾:政府機關依法行政,一切作業就是依據上級機關要求辦理,何須再建立安全政策?是否行政院研考會頒布的「行政院及所屬各機關資訊安全管理規範」就是安全政策?筆者依據過去輔導的經驗,政府機構在定義安全政策時,因位階不同,無論分屬一級、二級、三級單位,都可以從幾個角度思考:
1. 國家整體安全角度
從國家整體角度思考,應由國家資通安全會報訂定一個整體之安全政策(General Security Policy)供所屬機關遵循。以目前來看,行政院研考會頒布的「行政院及所屬各機關資訊安全管理規範」,似屬於這樣性質的行政命令,同時兼具法律效力與安全政策的定位。
是以資通安全會報據以將各行政機關依其對於國家安全衝擊的影響程度,分為A、B、C、D級單位,分別施以不同程度的資通安全管理要求,因此,各機關依據此政策要求,應該考量本身業務特性差異,建立本身之功能性安全政策,以作為內部資通安全管理的準則。
2. 組織本體
從組織本體而言,各機關在接獲上級指示加強辦理資通安全管理要求時,即需建立內部自行管理之體系,故組織的最高主管應將組織本身如何落實該項指示進行宣示,並將之書面化成為組織的整體資訊安全政策,供所屬機關、構、人員遵行。
要強調的是,這裡的資訊安全政策所涵蓋的不只是資訊部門,還包含作業、業務單位、採購、政風、行政管理等所有部室及人員,當然,在推動過程中,可以採示範點方式變通,逐步推動。
資安政策應包含之要項
在確認資訊安全政策的位階後,就可以開始著手撰寫資訊安全政策了,在BS7799-2:2002中,對於一份完整的資訊安全政策,給了一個更為明確的名稱:安全政策手冊(Security Policy Manual)。
這份安全政策手冊包含安全政策聲明(Security Policy Statement, Top Level Policy)、功能性安全政策(Functional Security Policy, Lower level Policy)兩部份。一般而言,安全政策聲明是安全政策的主體,也是必要的文件,而功能性安全政策,則應該視管理制度的適用範圍適當訂定。在制定安全政策時,應至少包含以下幾項要件:
1. 資訊安全的定義:此部份在於闡明依據組織的業務特性,資訊安全對於組織的意義。例如,證券商所謂的資訊安全,除了機密性(Confidentiality)、完整性(Integrity)、可用性(Availability)外,尚包含身分的不可否認性(Non contradict)。
2. 資訊安全對於組織的重要的原因:也就是說明組織有哪些業務特性,需要確保哪些資訊的安全,建立組織與資訊安全的關連。例如,證券商無論客戶自網路下單或是電話下單,都會牽涉到當天的交易行情、委買、委賣的量,以及後續交割付款等等,因此,如何確保委買、委賣客戶的身分,乃至於該筆交易的有效性,就成為券商在資訊安全上要求身分不可否性的重要原因。
3. 組織的資訊安全目標與原則:此部份即是高階管理者對於資訊安全的承諾,也是安全政策聲明的主體,通常資訊安全目標與原則,應該是簡潔有力、且容易被理解的。安全聲明的篇幅,應該不超過一頁A4紙張,並應由高階管理者簽署後發布,供所有安全管理制度範圍內的人員均能取得並熟知。
4. 定義所有重要的資訊安全責任:此部分應包含資訊安全組織,並說明安全組織的各成員所需要負擔的安全責任。一般而言,安全組織應設召集人,並包含資訊部門、財務部門、人事部門、業務部門、行政管理部門、稽核部門。召集人負責指示資訊安全管理制度的管理深度、協調與裁示推動過程的爭議事項,故一般由組織的高階管理者擔任,其他部門依據權責處理資訊管理、資訊需求提出與正確使用、資訊管理稽核等事宜。
5. 簡要的闡明資訊安全政策、原則、標準、應遵行的各項要求:此部份即為資訊安全政策手冊所謂的功能性安全政策(Functional Security Policy, Lower level Policy),在於架構整體安全管理制度的框架,應將所需遵行的要求逐一列出,並簡要說明該項要求的精神。讀者在撰寫此部分時,可以參考BS7799-2:2002附錄A的各項控制要求,挑選適合的控制要求,並依據組織業務特性與文化進行說明,要注意的是,在安全政策手冊中,針對應遵行的各項要求,只要揭示要求的項目並概略性說明即可,各項要求的落實程序、作業步驟,應在程序書、指導書中闡述。
6. 相關落實的書面流程、作業程序對應列表:為了落實資訊安全政策、原則、標準、應遵行的各項要求,資訊安全管理系統必須建立各項程序書、指導書,為了讓執行人清楚索引各項要求的落實程序、作業步驟,在安全政策手冊中,應建立各項資訊安全要求與該要求相關的程序書、指導書的對應表,方便執行人清楚查詢。
最後,要提醒讀者注意的是,資訊安全管理制度視需要依據組織的需求,適當進行檢視與修訂的,所以當資訊安全政策制定時,應該一併建立資訊安全政策手冊的控管、修訂、保管、發行等作業程序,以確保安全政策的有效性。
(本文作者為資誠會計師事務所專案經理)