觀點

企業永續經營的不二法門~建置資安管理系統

2003 / 05 / 05
李哲祥
企業永續經營的不二法門~建置資安管理系統

企業組織在建置資訊安全管理機制或是安全技術產品之後,通常會經過一段所謂的蜜月期,也就是企業組織的高階主管通常會很放心,認為自己的組織不用再時時刻刻擔心要面對安全的問題,資訊主管或安全主管也準備開始休假,因為一切都已建置妥當,看起來天下應該是太平了。

真的嗎?讓我們來看看實際的情況吧。前一陣子發生某高中生入侵總統府的網站,雖然只是出於好奇,也沒有造成損失,但事實是已經被入侵了。在之前,國際 VISA及MASTER信用卡組織也被入侵,造成八百萬筆信用卡用戶資料遭竊。更早以前,全世界的13部 Root Servers 有八部遭到入侵停止運作。各位讀者認為以上三個案例的單位都沒有做好資訊安全管理及安全產品建置嗎?它們的安全意識不夠高嗎?當然不是,它們的管理機制建置非常完整,它們的安全技術產品建置非常完備,那為何還會發生這樣的事情呢?通常的答案就是「道高一尺、魔高一丈」,駭客的技術不斷的提昇,稍有疏忽,所有的安全建置就功虧一簣了。然而就只是如此嗎? 要讓花費數百萬元建立的管理機制以及數千萬元的安全技術產品完全發揮作用,完整且持續的運作,保護企業組織的資訊安全,以下的幾件事情,是筆者建議企業組織必須繼續執行,而且一定要落實的事項。
教育訓練
當企業組織在開始導入資訊安全管理或安全技術產品建置的時候,顧問公司最少會提供兩次以上的資訊安全認知以及管理建構的教育訓練課程,有些顧問公司甚至會為企業組織設計相關的訓練機制,協助企業組織所有員工了解資訊安全的重要性,以及如何將資訊安全的要求內化到日常工作中。但是大部分時候,一旦假以時日,而且是在專案結束、顧問離開之後,企業組織的員工會漸漸淡忘導入資訊安全的初衷,或是新進員工沒有接受相同及完整的資訊安全教育訓練。

將資訊安全的教育訓練融入員工的年度訓練計畫中,是一件必須且持續的工作項目。為了避免新員工不了解以及老員工忽略了資訊安全的重要性,降低對資訊安全的危機感,企業組織必須將顧問所提供的資訊安全教育訓練課程納入企業整體訓練計畫中,而且內容必須不斷的修改,以配合企業組織的成長,企業目標的調整,以及安全技術的提昇。

人事部門及安全部門在這個議題上扮演了非常重要的角色。人事部門必須依據企業組織的成長及變化,對不同層級的員工規劃不同的訓練課程,而安全部門則必須提供課程內容以符合需求。

安全檢查
顧問在協助企業組織導入資訊安全管理及技術建置的時候,通常都會根據企業組織的型態及架構,建立一些檢查機制及資料收集,例如弱點分析、威脅分析、風險管理、資訊資產評估、網路安全評估等,以確保這些制度能否符合及保護企業組織的資訊安全。企業組織在顧問建立檢查機制的同時,一定要留下完整的紀錄,並確保內部員工及管理幹部了解及熟悉這些機制的運作方式。一旦顧問離開後,企業組織必須具備自我檢查的能力,並依此建立定期檢查的運作模式。

資訊安全建置不是做一次的事,企業組織一旦決定建立資訊安全管理機制,持續性的安全檢查則是讓這個機制持續有效且很重要的一環,唯有定期且持續的檢查,才能預防資訊安全事件的發生。

定期檢討
企業組織是一個存在著變數且隨時會改變的變形蟲,不論是策略或者是管理政策,不論是網路架構或者是應用系統,都會隨著組織的改變而必須隨時調整,因此企業組織有必要定期或是不定期的檢討由顧問公司協助導入的資訊安全管理或技術產品架構。

現行的資訊安全及相關政策,是否不足以提供現有組織結構的安全保護及指導方針?現有網路安全技術產品,是否足以保護企業網路不被入侵?弱點及威脅分析是否已經過時?隨著組織架構及時間改變,定期檢討相關的事項是必要的。

紀錄保存
顧問公司在協助企業導入資訊安全管理及技術產品建構的時候,一定會要求檢查所有資訊安全的相關紀錄,企業組織應該要建立這些紀錄的管理系統。當顧問離開後,企業組織應該要具備相同的能力,當每次在執行自我安全檢查的時候,除了更新這些紀錄以外,同時要比對這些紀錄在過去與現在的變化。例如,通報病毒事件的種類及次數是否減少?網路流量異常是否有跡可循?內部控制及稽核紀錄是否完整?教育訓練是否留下課程及簽到紀錄?是否確定所有的員工都接受程度及內容不同的訓練?

記得,完整的紀錄可以協助企業組織於事件發生的時候,依循軌跡找出問題的根源,一次解決問題,避免安全事件一而再,再而三的發生。

獨立稽核
當企業組織建立資訊安全管理架構的時候,為了證明所導入的架構符合國際標準的要求,通常會依照 BS 7799 資訊安全管理系統的規範進行評鑑,以證明所導入的架構符合國際水準,並取得認證的證書。這樣的認證並不是只要做一次就結束了,通常在通過評鑑認證的未來三年內,認證公司都會在每六至八個月再來檢查一次。這樣的檢查對企業組織而言,是為了確保整體資訊安全管理架構隨時保持在最佳的狀態。

一旦超過了三年的時間,筆者建議企業組織最好每年再徵詢獨立稽核單位來檢查一次,而且是由不同的單位來檢查,經由不同的單位依據經驗提供不同的意見,企業組織可以廣納良言,隨時為自己的資訊安全做適當的調整。

導入資訊安全管理架構或事件至資訊安全技術產品,都是企業組織必須投入大量金錢、時間、以及全體員工人力的一項艱鉅工作。不論是在資訊安全管理或安全技術的導入之前或之後,最重要的一件事情就是獲得企業組織最高主管的支持,不只是參與及口頭上的支持而已,最高主管必須提供資金及人力上的支持,同時必須身體力行,作為全體員工的表率。

企業組織在導入管理架構或是建置安全技術產品之前,一定要詳細的規劃,仔細的評估,選擇適當的顧問公司,以及適當的安全技術產品。一旦建置完成,企業組織更要對未來的規劃預做準備。同時也要將資訊安全管理納入企業組織的總體目標之一,時時刻刻的提醒所有員工,千萬不要忽視資訊安全的重要性,以避免一旦發生安全事件,其所造成的損失可能是投入建置資訊安全管理架構或安全技術產品的數百倍。

因此再次呼籲,站在企業組織永續經營的角度來思考,資訊安全絕對是一件必要而且是絕對要做的事,千萬不要以為這樣的事件不會發生在自己的身上。我們應該做好準備,保護我們的客戶、股東、以及全體員工的權益。

(本文作者現職為安侯建業會計師事務所資訊管理服務組經理)