歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
善用科技 落實管理
2003 / 05 / 05
莊強閔
CNS17799 / CNS17800
如何落實資訊科技的機密性、整體性及可用性,攸關能否維繫企業的競爭力、現金流量、獲利能力、守法能力(compliance),以及商業形象等都非常重要。要達到資訊安全就必須實行(implement)適當的控管措施,譬如資訊安全政策、作業方式(practice)、程序、組織架構和軟體功能。現行完整的相關控制措施,最為人所知的就是ISO17799/CSN17799BS7799:Part2/CNS17800(CNS17799/CNS17800是經濟部中央標準檢驗局所頒布的指導綱要及驗證標準)。
當前在許多單位一窩蜂的接受導入資訊安全管理系統(Information Security Management System, ISMS)時,完成後的維護對使用者是最困難的。繁雜的流程程序、相關的表單文件、人員的教育訓練等等,當部份範圍取得相關的認證後,是否有勇氣推行到整個企業呢?這成了每一位維護者心中所無法釋懷的地方。
顧問走了,如何持續維護ISMS的運作
當顧問走了,使用者如何去做準備,以期達到未來的資安成效,並順利通過下次的認證驗證?很實際的,使用者面對的是每天不斷重覆的控制流程及相關的管理程序,而這些過程及相關的控制是要花費許多的人力去維護。善用電子化,除了可以減少人力成本,同時可讓使用者有時間去處理立即性且迫切性的事務,而將繁瑣的日常工作及例行程序交給電腦來處理。 因此,懂得如何善用科技工具來輔助完成既定目標是很重要的事;以下是筆者歸納出幾項可列為電子化應用的工作項目,分別如下:
電子化流程
坊間有不少軟體,擁有電子化流程的功能,並提供視覺化的電子表單開發製作工具,可於瀏覽器中以拖拉(Drag and Drop)方式完成電子表單的製作,甚至可與Notes或Outlook結合,將所有管理辦法中所用到的表單轉成電子表單,藉由流程管理引擎執行管理辦法中所描述的流程,自動利用電子郵件通知;其好處是,不用再為了保管一些紙張表單而苦惱,真正的利用科技管理資訊安全。藉由電子流程控制,可以知道現階段執行到那裡,或是在那個階段停滯住。而所有的管理流程電子化後,減少了許多紙張作業,也減少了文件往返及政策發佈會簽的耗力費時。
文件管理控制
文件版本管理功能,可以應用在資安文件的管理控制。舉凡:資安政策、標準作業程序及相關管理辦法等,此類系統可以保留各個不同版本的文件。其好處就是不用擔心文件紙張的管理(要鎖在那個安全的地方安全的櫃子),也不用擔心存放網路共享磁碟,會發生文件彼此覆蓋的問題;有的系統會提供對於文件的合法授權閱讀及更改進行管控,沒有權限的使用者是不可以看某些文件(例如防火牆的管理辦法,您一定不想讓任何人都可以看到),有權限的使用者才可以更改文件,但這一切對文件的行為都應要留下紀錄。甚至某些系統提供經由瀏覽器閱讀時不能產生暫存檔,不允許另存新檔、不允許複製至剪貼簿、不允許列印。這對於管制資安文件及維持資安文件的一致性,是一非常有力的助手。
e-Learning 在ISO 17799/CNS 17799 中,相當強調人員教育訓練。使用者的資訊安全警覺性教育訓練是執行時的重點,而執行的成效也是未來接受驗證的佐證資料。因此市面上所出現的 e-Learning 系統可以滿足以上的要求,提供使用者簡易的付費功能、線上教育訓練功能及線上測驗功能等。同時提供e-Learning系統中的線上考題編撰功能;使用者皆可透過Web介面參加測試,並由系統自動產生成績。提供管理者線上制定資安政策認知的線上教育訓練功能,藉由線上教育訓練的執行,提昇企業內所有員工的資訊安全認知,並且配合線上考試,了解資訊安全教育訓練執行的成效。
弱點掃瞄工具
使用弱點掃瞄工具可以協助了解現行重要網段IP使用情形及主機所提供的服務。以稽核角色而言,我們確實需要自我檢查來發現一些問題,像:不明節點探索功能,網路系統中不明服務探勘功能,及主機作業系統版本判定功能等。有的掃瞄器不僅提供報表功能、更提供維持一年度掃瞄結果報告之間的交叉比較。讓您可以掌握問題修復進度,像版本更新、啟動不恰當的服務。
資產管理
在目前市面上的資產管理系統,比較重視一般使用者的所有軟體資產清單,大部分都必須在控制主機內安裝代理程式。將系統內所安裝的軟體進行回報及統計,以期確認使用者是否有發生未經合法授權下的軟體,及落實軟體資產管理。而在ISMS中所提到的資產,很強調資產分類、鑑別資產擁有者,以及資產重要等級。以上兩者所要強調的重點是不盡相同,但都可以將市面上現行的資產管理系統,予以客制化以符合需求。
追蹤稽核
「工欲善其事,必先利其器。」確實需要有ISMS的追蹤稽核工具,來協助了解現行系統的執行情況。包括提供政策追蹤覆核及管理辦法覆核功能,讓您可以了解資訊安全政策的落實執行情形,也可以了解潛在的管理面風險,並允許作業流程稽核點設置、風險程度等級加權、執行狀態評價給分等,藉由這些稽核點的強化設定,了解每一個子項目的實際執行,以及對每一個子項目進行控制。
善用科技工具,提昇企業IT效率
對於提供資訊安全管理的產品,其本身必須具備相當高程度的資安條件,這也是我們應考量的關鍵。試想若企業本身都不具相關的安全機制,要如何令人信賴,所產生的資料如何令人信服。善用科技工具來解決科技衍生的問題,不要讓資訊安全管理系統成為企業IT效率的絆腳石。
(本文作者現職為致遠會計師事務所企業風險管理部經理)
最新活動
2025.05.23
2025 雲端資安趨勢論壇
2025.05.09
商丞科技『Superna Cyberstorage 資訊安全儲存設備軟體』 與 『Silverfort 身分安全平台』網路研討會
2025.05.14
OpenText+精誠資訊【AI x DevOps打造高效敏捷團隊,提升軟體交付速度!|成功企業案例分享】
2025.05.14
資訊作業系統委外與AI安全性資安管理課程
2025.05.16
資安媒合交流系列活動
看更多活動
大家都在看
SAP NetWeaver關鍵漏洞遭駭客利用植入惡意網頁命令執行介面
中國駭客組織利用 IPv6 SLAAC 執行中間人攻擊
SSL.com 驗證漏洞:攻擊者可輕易取得重要網域憑證
SonicWall SMA 裝置遭攻擊,多個資安漏洞被利用
報告:台灣居25年第一季亞太地區網攻次數之首
資安人科技網
文章推薦
RolandSkimmer透過瀏覽器惡意擴充功能 竊取信用卡號
德知士資訊推出旗艦資安解決方案「零知量鎖」
思科推出AI 供應鏈風險管理安全控管機制