https://newera17031.activehosted.com/index.php?action=social&chash=17ed8abedc255908be746d245e50263a.2770&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=17ed8abedc255908be746d245e50263a.2770&nosocial=1

觀點

始料未及鈺松SOC 導入BS7799效益多

2004 / 09 / 07
邱詩琁
始料未及鈺松SOC  導入BS7799效益多

導入效益發酵
導入BS7799並通過認證,對許多企業單位來說,並非僅意味著是推動資訊安全成果,更重要的意義是其後續帶來的效益。由於每半年需由第三單位重新做外部稽核,證照的效期為三年,因此導入通過BS7799其實象徵的是推動資訊安全的開始,鈺松也不例外。

*開啟新的服務商機

朱松齡提到有些效益都是無心插柳的成果。鈺松經過這次自行導入的經驗,再加上原本就是代理、研發資安產品的廠商,且也開設有BS7799相關課程,因此公司又增加了另一項BS7799顧問服務的業務,將累積的經驗轉為輔導其他客戶,開啟了另一塊商機。

*降低機密資料外洩疑慮

同時,因為這次的導入,鈺松整合了原有的管理程序及文件,將資訊資產做了明確的分級分類,機密文件不會再和一般文件混在一起,資料外洩的疑慮也因而降低。朱松齡便提到,此次應採訪要求所提供的資料,便是經過分類、篩檢的。

*釐清人員角色權責

並且將資訊安全管理角色與責任,做了明確的定義。緊急事件發生時,該通知誰,每個人的責任為何,都有了遵從依據,且做過演習演練,真正遇到事情時,不會再手忙腳亂。因此,資安重大事件的處理程序皆已化為文件、記錄,不僅確保了資訊安全管理系統得以落實,並提供持續改善的依據。「每個事件發生時,都有處理的制度和方法,不好的話,再做修正。」

針對人員的教育訓練也因此建立了一套方法。朱松齡提到,當初並沒有嚴格要求每個人要具備哪些能力,因此無法知道人員哪些地方不足。「以前忽略的,現在都有了規範。」目前鈺松將SOC機房的人力分為L1~L3三個等級,唯一能進入機房的便是L1人員,也就是每日負責輪班監控的人員。要成為L1人員,需經過教育訓練、考試,並通過三個月後的考核,才得以成為正式聘雇人員,踏入機房禁地。這期間鈺松還會將人員資料送至警察局,做基本的人資調查。當然人員都會簽署保密條款,機房內並裝設有監控設備,朱松齡強調,其用意並非只是監控員工,換個角度想,若發生任何事情,監控設備的記錄反而可證明員工清白與否,是另一層的保障。

*建立重大事件處理程序

鈺松在入侵事件的追蹤處置流程中,已經明確定義L1、L2、L3人員的職責劃分,L1人員視即時監控的需求,主動與L2人員瞭解事件的後續處理狀況;L2人員得視追蹤狀況,要求L1人員更密切地注意或做事件過濾等配合動作。技術層級更高的L3客戶技術人員,除了做後勤的技術支援外,在一些委外合約中,也指名有時重大事件發生時,需至客戶端協助處理。

事件通報方面,鈺松擬有一個「通報事件分級及通報原則」的準則,將通報分成四個等級,SOC人員依各級通報的判斷準則來決定該發哪一級的通報。其中定義了通報層級、定義、客戶處置方式、通報方式、通報對象。並且整合了「國家資通安全應變中心」的通報原則。例如屬於較嚴重等級的第三、第四級事件,可對應至政府的A至D級。

有趣的是,因為這次的導入機會,小組成員才更為仔細地研究公司的樓面圖,意外發現了幾處較為隱密的緊急供電系統,這大概也是當初所始料未及的。設在鈺松公司內的SOC,位在新店一棟新建僅數年的鋼骨結構大樓內,除了防颱、防震設計外,並擁有大樓本身獨立的供電系統。初次到訪這棟大樓的人,大概會對需先指定樓層再個別派遣電梯的設計,印象深刻。

*將經驗向其他單位推廣

另一個無心插柳的效益應該是,雖然驗證範圍定在SOC機房,但累積下來的安全意識、推動經驗自然而然地就會往公司的其他單位擴散。朱松齡表示,鈺松目前並無計畫接著要以全公司為範圍導入,但會循序漸進地去強化公司其他部份的安全。「我們先把把最重要的一塊做好,有時間時再做別塊。」他對政府等其他單位也是如此建議。一來,導入BS7799需投入的人力、時間、資源等皆龐大,若從最重要的部份做起,除了相對地減少開支外,累積下來的經驗、文件範本,都能更輕易地推動到其他單位。「這時候,你經驗也夠了,宣導也做足了,可以不需請顧問,自己來做。」朱松齡並強調,制度是一個個放進去的,組織應視自身的狀況、能力,而非為了取得證照就「急就章」似地導入。

經驗分享
*SOC機房的資料保護

緊急應變、系統管理制度建立好,最重要的SOC機房內的客戶資料如何保護?朱松齡表示,機房的網路和公司內部網路分開,客戶資料只會到機房,因此接觸的人員也僅有監控代管人員而已。光碟等資料會鎖在機房內的保險櫃中,儲存在機器內的資料皆會加密,若需讀取,除了需經過解密外,還需透過特定的Token才得以取出。另外,和客戶間的傳輸資料皆會經過加密。目前,SOC機房對外有兩條線路互相做備援,並且正計畫資料除了做異地備份外,未來將做到異地備援。

*導入成功的最重要關鍵

朱松齡談到,導入成功的最重要關鍵還是在於︰管理階層需全程參與並支持,才能凝聚員工的共識。且一開始訂定的驗證範圍要合理,可以先與驗證公司取得共識。「範圍太大幾乎是不可能的任務,後續要投入的時間成本都要先考慮到。」由於今年年底是政府A級單位通過BS7799驗證的期限,預計今年台灣通過BS7799的單位將大增,但目前在國內提供符合國際標準的驗證機構和人員並不多,他指出,可能年底排驗,都未必能排到時間。

*建置工作的必備項目

1. 執行風險評鑑作業:建置工作的必備項目,首要為執行風險評鑑作業,包含先針對現況做診斷及進行規劃、鑑別資訊資產的等級,並做威脅與衝擊的分析。而目前坊間的一些風險評鑑工具,可以協助減低人員判斷的負擔,並提供較統一的準則。

2.建立資訊安全管理制度及文件體系:緊接著工作小組要依據BS7799內的10個domain,建立資訊安全管理體系及文件體系,10個domain中包括了:資訊安全政策、資訊安全組織、人員安全管理、資安分類與控管、實體及環境安全管理、系統開發與維護、永續運作管理等,政策、技術兼而有之。

3.內部稽核作業規劃及輔導:制度落實與否及成效的檢驗,有賴一套完整的內部稽核作業規劃,因此,發展稽核計畫、做稽核訓練、做演練執行,及持續的檢討及改善措施,是不斷提升安全強度的方法。

4.教育訓練課程:「人性是最大的困難。」針對政策推動、導入,最麻煩的是人員教育問題,朱松齡強調,宣導通常需花費較長的時間,針對管理階層、技術人員、非技術人員,便需安排不同的課程,包括基本通識課程、ISMS課程、資安技術課程及危機應變課程等。

*驗證是為了讓安全更強化

鈺松在去年年底進行評估作業,月中先執行第一階段的文件審查作業;12月31日當天,則由標檢局及SGS公司實施聯合驗證,進行第二階段的實地審查作業。由於兩家公司一同驗證,朱松齡提到,標檢局來了3位稽核員,SGS公司來了2位稽核員及2位觀察員,為什麼由兩家公司共同驗證?他提到,其實不同驗證單位各有其專長,有的較重視流程,有的較重文件,因此兩家單位共同驗證,等於多了幾雙眼睛一起檢視,有助於幫助鈺松找到更多需改進之處。

「驗證公司不是來找麻煩的,他們是來協助你,讓你的系統做得更完整、更臻於完善。」朱松齡提到了一個面對驗證的好態度,他認為,驗證公司並非專門來挑毛病,因此受驗單位抱持的心態,並非是害怕、排拒,反而應當是感謝。「經過他們一提,我們很感激,讓我們的安全更強化。」那次受驗,鈺松雖有幾項次要缺失,但在期限內改善後便順利拿到證書。要通過BS7799認證,過程中不能有主要缺失,亦不允許多項次要缺失,但在可允許範圍內的次要缺失,只要於規定時限內完成矯正計畫備查,便不影響證書的取得。另外,若正式評審未能通過,依規定需於90天內再次提出申請,改善主要及次要缺失項目,才能通過認證。 回顧一些導入BS7799的案例,其實就如同鈺松此次的經驗,也許導入的目的、動機單純,但導入後所衍生的卻是連串的效益。證書只是個表面的象徵,但開啟了員工對於資訊安全的認知(awareness),建立了一套可供遵循的資安政策、一套可持續檢討改進的資安制度、應變流程,降低了安全的威脅、風險,這恐怕才是導入BS7799的真諦。

鈺松同時通過BS7799-2、CNS17800認證

目前政府許多標案當中,SOC機房需通過BS7799認證已經成了規格之一。鈺松身為國內少數投入建置SOC機房並提供代管服務的廠商,自然不能落於人後,從91年12月成立資訊安全管理系統推動小組,以SOC機房為ISMS驗證範圍,歷經一年的籌備、導入,到92年底通過認證。