善用科技 落實管理

CNS17799 / CNS17800
如何落實資訊科技的機密性、整體性及可用性，攸關能否維繫企業的競爭力、現金流量、獲利能力、守法能力（compliance），以及商業形象等都非常重要。要達到資訊安全就必須實行（implement）適當的控管措施，譬如資訊安全政策、作業方式（practice）、程序、組織架構和軟體功能。現行完整的相關控制措施，最為人所知的就是ISO17799/CSN17799BS7799:Part2/CNS17800（CNS17799/CNS17800是經濟部中央標準檢驗局所頒布的指導綱要及驗證標準）。

當前在許多單位一窩蜂的接受導入資訊安全管理系統（Information Security Management System, ISMS）時，完成後的維護對使用者是最困難的。繁雜的流程程序、相關的表單文件、人員的教育訓練等等，當部份範圍取得相關的認證後，是否有勇氣推行到整個企業呢？這成了每一位維護者心中所無法釋懷的地方。

顧問走了，如何持續維護ISMS的運作
當顧問走了，使用者如何去做準備，以期達到未來的資安成效，並順利通過下次的認證驗證？很實際的，使用者面對的是每天不斷重覆的控制流程及相關的管理程序，而這些過程及相關的控制是要花費許多的人力去維護。善用電子化，除了可以減少人力成本，同時可讓使用者有時間去處理立即性且迫切性的事務，而將繁瑣的日常工作及例行程序交給電腦來處理。 因此，懂得如何善用科技工具來輔助完成既定目標是很重要的事；以下是筆者歸納出幾項可列為電子化應用的工作項目，分別如下：

電子化流程
坊間有不少軟體，擁有電子化流程的功能，並提供視覺化的電子表單開發製作工具，可於瀏覽器中以拖拉（Drag and Drop）方式完成電子表單的製作，甚至可與Notes或Outlook結合，將所有管理辦法中所用到的表單轉成電子表單，藉由流程管理引擎執行管理辦法中所描述的流程，自動利用電子郵件通知；其好處是，不用再為了保管一些紙張表單而苦惱，真正的利用科技管理資訊安全。藉由電子流程控制，可以知道現階段執行到那裡，或是在那個階段停滯住。而所有的管理流程電子化後，減少了許多紙張作業，也減少了文件往返及政策發佈會簽的耗力費時。

文件管理控制
文件版本管理功能，可以應用在資安文件的管理控制。舉凡：資安政策、標準作業程序及相關管理辦法等，此類系統可以保留各個不同版本的文件。其好處就是不用擔心文件紙張的管理(要鎖在那個安全的地方安全的櫃子)，也不用擔心存放網路共享磁碟，會發生文件彼此覆蓋的問題；有的系統會提供對於文件的合法授權閱讀及更改進行管控，沒有權限的使用者是不可以看某些文件（例如防火牆的管理辦法，您一定不想讓任何人都可以看到），有權限的使用者才可以更改文件，但這一切對文件的行為都應要留下紀錄。甚至某些系統提供經由瀏覽器閱讀時不能產生暫存檔，不允許另存新檔、不允許複製至剪貼簿、不允許列印。這對於管制資安文件及維持資安文件的一致性，是一非常有力的助手。

e-Learning 在ISO 17799/CNS 17799 中，相當強調人員教育訓練。使用者的資訊安全警覺性教育訓練是執行時的重點，而執行的成效也是未來接受驗證的佐證資料。因此市面上所出現的 e-Learning 系統可以滿足以上的要求，提供使用者簡易的付費功能、線上教育訓練功能及線上測驗功能等。同時提供e-Learning系統中的線上考題編撰功能；使用者皆可透過Web介面參加測試，並由系統自動產生成績。提供管理者線上制定資安政策認知的線上教育訓練功能，藉由線上教育訓練的執行，提昇企業內所有員工的資訊安全認知，並且配合線上考試，了解資訊安全教育訓練執行的成效。

弱點掃瞄工具
使用弱點掃瞄工具可以協助了解現行重要網段IP使用情形及主機所提供的服務。以稽核角色而言，我們確實需要自我檢查來發現一些問題，像：不明節點探索功能，網路系統中不明服務探勘功能，及主機作業系統版本判定功能等。有的掃瞄器不僅提供報表功能、更提供維持一年度掃瞄結果報告之間的交叉比較。讓您可以掌握問題修復進度，像版本更新、啟動不恰當的服務。

資產管理
在目前市面上的資產管理系統，比較重視一般使用者的所有軟體資產清單，大部分都必須在控制主機內安裝代理程式。將系統內所安裝的軟體進行回報及統計，以期確認使用者是否有發生未經合法授權下的軟體，及落實軟體資產管理。而在ISMS中所提到的資產，很強調資產分類、鑑別資產擁有者，以及資產重要等級。以上兩者所要強調的重點是不盡相同，但都可以將市面上現行的資產管理系統，予以客制化以符合需求。

追蹤稽核
「工欲善其事，必先利其器。」確實需要有ISMS的追蹤稽核工具，來協助了解現行系統的執行情況。包括提供政策追蹤覆核及管理辦法覆核功能，讓您可以了解資訊安全政策的落實執行情形，也可以了解潛在的管理面風險，並允許作業流程稽核點設置、風險程度等級加權、執行狀態評價給分等，藉由這些稽核點的強化設定，了解每一個子項目的實際執行，以及對每一個子項目進行控制。

善用科技工具，提昇企業IT效率
對於提供資訊安全管理的產品，其本身必須具備相當高程度的資安條件，這也是我們應考量的關鍵。試想若企業本身都不具相關的安全機制，要如何令人信賴，所產生的資料如何令人信服。善用科技工具來解決科技衍生的問題，不要讓資訊安全管理系統成為企業IT效率的絆腳石。


（本文作者現職為致遠會計師事務所企業風險管理部經理）