https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1

觀點

打造金三角 細水長流~安泰人壽資訊安全室成果豐碩

2003 / 03 / 05
梁玉容
打造金三角  細水長流~安泰人壽資訊安全室成果豐碩

一般人想到資訊安全的工作,通常會認為那是IT負責的事,因而認定資訊安全的機制,都是在IT之下,所重視的也只是在技術控制層面,而認為自己只是一個小單位或小人物,不會對資安造成多大風險。ING安泰人壽資訊安全室資深協理江韶文則表示,其實資訊安全最大的風險來自於人,所以解決問題不在於技術層面而是在管理機制。只要有人,就有資訊安全的風險,因此,既然人是資訊安全最大的風險所在,那麼資訊安全就是全公司的事,而非單單只是由IT人員,或是由資訊安全專責單位來負責。
最佳管理機制
ING安泰資訊安全室依據BS7799資訊安全管理做標準,再加上其公司文化及實際的需求,擬出目前該公司最佳的管理機制,江韶文稱之為ING安泰最佳管理實務(Best Practice)。其內容大致如下:
1. 資訊安全組織-組織全體員工 共同參與資訊安全工作。
2. 資訊安全政策-依公司文化、 需求,訂出適合安泰的資訊安全政策。
3. 資訊安全認知-教育大家對資 訊安全的重視,資安工作要以細水長流的方式持續的去做。
(以上三點為資訊安全管理基本要項,稱之為資訊安全金三角。)
4. 資安事件回報體系(預防)- 因風險無處不在,要求全體員工參與,並做好回報工作。
5. 業務持續計畫(事後)-持續 執行資安流程。
6. 風險管理。
a. 稽核-每個人稽核自己,稽 核出來的風險,應落實去執行並改善。
b. 治平(Control Self Assessment) -確認風險、消除風險。

7. 文件管理-資訊安全範籌內之 資料,像是執行資安工作的項目或資安的各種規範以及執行的程序等,每個人都必須以Paper方式做好紀錄。
(一般可能做的很好,但寫的不對;寫對,但做的不好)持續性Review這些文件資料,並檢視執行的成果效益,是很重要的事。

持續性提昇專業能力
因為資訊安全的風險是一動態的風險,隨著新的病毒、新的駭客、新的管道…不斷發生,如果在專業上無法提昇,將對資安工作的持續執行是一大障礙。江韶文認為目前ING安泰最大挑戰是,如何能有效的持續性的吸收外界的資訊以提昇自己在資安的專業,對ING安泰而言,是很重要的事;而這個時候藉助外面專業的委外服務或顧問服務,也是有其必要性的。江韶文表示,委外是必要的,就算像ING安泰已有資訊安全室這樣的一個專職單位,也還是要靠外面的資源。 目前ING安泰在技術上的安全稽核及風險評估,就是透過專業的顧問服務;另外,也藉助認證公司的委外服務,幫助ING安泰在行政部門建立好資訊安全管理機制(建立Model Office機制)。

由於環境一直在變,新的風險不斷產生,所以對資訊安全的專業認知也必須隨時更新,而ING安泰的資訊是如何取得的呢?江韶文表示,經常性的參加各項研討會就是最直接有效的方式之一,除了可以幫助了解有哪些資安新產品外,同時也能了解有關資安新風險的趨勢,因為有新的產品發表,就代表有新的風險產生。除此之外,參加公協組織也是ING安泰獲得資訊的來源,這些公協組織包括有:

國內
˙電腦稽核協會
˙資訊安全學會
˙資訊安全管理協會
˙內部稽核協會
國外
˙電腦稽核協會(美)
˙內部稽核協會(美)
˙安全學會(ASIS)
資訊安全室之未來發展
因應巴塞爾資本公約之要求,內部控制(治平)、營運風險管理漸形重要。雖然巴塞爾資本公約是針對銀行金融業,但壽險業是下一目標,所以ING安泰為了提早做好準備,除了原先已建立好的資訊安全架構,如七大Best Practice管理機制等,同時也將資訊安全擴大延伸,今年起將以內部控制做起,落實推廣至各部門;而下階段則是將範圍擴大至風險管理層面。ING安泰資訊安全室目前的計畫推廣如下:
1. 建立資訊安全管理Model Office
2. 健全資訊安全管理
3. 推動行政部門內部控制
4. 發展營運風險管理
5. 持續全體員工(內、外勤)之 認知教育 對其他企業的建議 一般企業如果沒有類似像ING安泰的資訊安全室部門,資訊安全相關機制該由誰來負責及推動?江韶文表示,有沒有資訊安全相關的獨立單位,並不會影響到MIS有沒有資訊安全的機制。其實真正的問題在於企業主應該優先考慮企業的風險在哪裡?如果風險不只是在電子資訊上,像是內部人員的控管問題,企業主就應考慮該做些什麼來防護,如果還是想到交由IT來做,必定做不好,因為IT只限於技術方面的知識。在沒有特別的單位之下,可以考慮由企業中負責營運風險管理的單位來推動及執行,當然有專門的負責單位來落實執行資訊安全機制,那會是最完美的。

資訊安全愈來愈重要,尤其是對各大企業。「資訊安全很重要,必須長期有效益並且能持續的做,一刻也不能鬆懈」,江韶文如是說。然而要怎麼做好資安呢?並不是人家做什麼就做什麼,資安就可以做好的,惟有不斷地提升對資訊安全的認知,由公司內部做起,並推動公司全體員工真正落實的去做,這樣的資訊安全工作才能真正做好。