https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1

觀點

老生常談再話資安政策

2004 / 09 / 06
蒲樹盛
老生常談再話資安政策

資安政策仍未受重視
資安績效無法突顯,仍然是主要因素,資安做的越好,越看不到意外,越顯出太平盛世。我們可在一段時間之後看到BSi整理出來的績效衡量指標,屆時希望可出現一些改善效果。

如果企業未能主動改善,往往我們得寄望於法規的規範。透過法規的要求,企業必須做好基本要求,以避免觸犯法令。但國內在參考國外相關法規以制定國內適用的法規時,有關企業強制要求的部分,往往卻步不敢引用,失去對企業一些基本的規範與要求。

銀行業因應國際Basel II必須做相關的對應要求,這是業務相關的規範,不得不遵循。另外,證期會將資安列入第九個循環,只是稽核單位不知該稽核哪些項目、如何稽核,這部分倒是該儘快擬定。

社會普遍缺乏安全意識
國內不斷發生的詐騙行為,即使受過高等教育的人士也不斷受騙。看來只有少數從事資安的人員,才對資安有比較深刻的了解。我們的社會除了數位落差之外,仍存在著資安落差,亟待大家共同努力。

管理階層以業績目標為導向
業績擺第一不利資安運作。安全與效率常常背道而馳,何況可能衍生新成本。有這種心態,推展資安政策到底會產生哪些影響,自然不會深入去了解,更不要探討說資安政策該如何訂定。據統計國內中小企業有資安政策的低於30%(已經算不錯的了) ,通常沒出過事的公司,大概不會訂定任何資安相關政策;相反的,出過事的公司,多少都會擬定一些安全政策,以避免類似事情再次發生。這是不是很諷刺?

偏重技術導向
大部分的公司聽到資安問題就直接推到IT技術,當然政策無法推動,大家往往忽略「人」才是問題的根源。建立資訊安全系統的三大支柱:「技術」、「管理」、「法令」,三者並重才能見效。法令提供所有管理上的依據,有了必要的管理制度,才能落實技術所能帶來的成效。

資安政策不易落實

政策如果動機解釋不清,增加使用者許多限制及不便,同事們當然不願意配合:密碼要求一定長度、必需混合符號數字及字母、每十四天必須更換一次,結果使用者將密碼寫在貼紙上,不再貼到螢幕上改貼其他比較看不到的地方;門禁刷卡借給同事,他不知道有log紀錄,有一天如果出事會帶來不必要的麻煩。

另外經常出現在許多單位,無論人員調動或是離職,權限常常未能及時隨著更動或取消。

訂定任何政策,為何要這樣規定?有哪些考慮點?溝通越多、越容易獲得使用者的支持,國內常見的就是政策擬定出來後,發佈公告就結束了。資安工作能落實與否,真的必須靠最高主管,將資安工作放在較高的順序,擬定明確的資安政策,並不斷的對全員宣導資安觀念,才能落實政策建立安全的環境。