https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=
https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=

觀點

善用科技 落實管理

2003 / 05 / 05
莊強閔
善用科技 落實管理

CNS17799 / CNS17800
如何落實資訊科技的機密性、整體性及可用性,攸關能否維繫企業的競爭力、現金流量、獲利能力、守法能力(compliance),以及商業形象等都非常重要。要達到資訊安全就必須實行(implement)適當的控管措施,譬如資訊安全政策、作業方式(practice)、程序、組織架構和軟體功能。現行完整的相關控制措施,最為人所知的就是ISO17799/CSN17799BS7799:Part2/CNS17800(CNS17799/CNS17800是經濟部中央標準檢驗局所頒布的指導綱要及驗證標準)。

當前在許多單位一窩蜂的接受導入資訊安全管理系統(Information Security Management System, ISMS)時,完成後的維護對使用者是最困難的。繁雜的流程程序、相關的表單文件、人員的教育訓練等等,當部份範圍取得相關的認證後,是否有勇氣推行到整個企業呢?這成了每一位維護者心中所無法釋懷的地方。

顧問走了,如何持續維護ISMS的運作
當顧問走了,使用者如何去做準備,以期達到未來的資安成效,並順利通過下次的認證驗證?很實際的,使用者面對的是每天不斷重覆的控制流程及相關的管理程序,而這些過程及相關的控制是要花費許多的人力去維護。善用電子化,除了可以減少人力成本,同時可讓使用者有時間去處理立即性且迫切性的事務,而將繁瑣的日常工作及例行程序交給電腦來處理。 因此,懂得如何善用科技工具來輔助完成既定目標是很重要的事;以下是筆者歸納出幾項可列為電子化應用的工作項目,分別如下:

電子化流程
坊間有不少軟體,擁有電子化流程的功能,並提供視覺化的電子表單開發製作工具,可於瀏覽器中以拖拉(Drag and Drop)方式完成電子表單的製作,甚至可與Notes或Outlook結合,將所有管理辦法中所用到的表單轉成電子表單,藉由流程管理引擎執行管理辦法中所描述的流程,自動利用電子郵件通知;其好處是,不用再為了保管一些紙張表單而苦惱,真正的利用科技管理資訊安全。藉由電子流程控制,可以知道現階段執行到那裡,或是在那個階段停滯住。而所有的管理流程電子化後,減少了許多紙張作業,也減少了文件往返及政策發佈會簽的耗力費時。

文件管理控制
文件版本管理功能,可以應用在資安文件的管理控制。舉凡:資安政策、標準作業程序及相關管理辦法等,此類系統可以保留各個不同版本的文件。其好處就是不用擔心文件紙張的管理(要鎖在那個安全的地方安全的櫃子),也不用擔心存放網路共享磁碟,會發生文件彼此覆蓋的問題;有的系統會提供對於文件的合法授權閱讀及更改進行管控,沒有權限的使用者是不可以看某些文件(例如防火牆的管理辦法,您一定不想讓任何人都可以看到),有權限的使用者才可以更改文件,但這一切對文件的行為都應要留下紀錄。甚至某些系統提供經由瀏覽器閱讀時不能產生暫存檔,不允許另存新檔、不允許複製至剪貼簿、不允許列印。這對於管制資安文件及維持資安文件的一致性,是一非常有力的助手。

e-Learning 在ISO 17799/CNS 17799 中,相當強調人員教育訓練。使用者的資訊安全警覺性教育訓練是執行時的重點,而執行的成效也是未來接受驗證的佐證資料。因此市面上所出現的 e-Learning 系統可以滿足以上的要求,提供使用者簡易的付費功能、線上教育訓練功能及線上測驗功能等。同時提供e-Learning系統中的線上考題編撰功能;使用者皆可透過Web介面參加測試,並由系統自動產生成績。提供管理者線上制定資安政策認知的線上教育訓練功能,藉由線上教育訓練的執行,提昇企業內所有員工的資訊安全認知,並且配合線上考試,了解資訊安全教育訓練執行的成效。

弱點掃瞄工具
使用弱點掃瞄工具可以協助了解現行重要網段IP使用情形及主機所提供的服務。以稽核角色而言,我們確實需要自我檢查來發現一些問題,像:不明節點探索功能,網路系統中不明服務探勘功能,及主機作業系統版本判定功能等。有的掃瞄器不僅提供報表功能、更提供維持一年度掃瞄結果報告之間的交叉比較。讓您可以掌握問題修復進度,像版本更新、啟動不恰當的服務。

資產管理
在目前市面上的資產管理系統,比較重視一般使用者的所有軟體資產清單,大部分都必須在控制主機內安裝代理程式。將系統內所安裝的軟體進行回報及統計,以期確認使用者是否有發生未經合法授權下的軟體,及落實軟體資產管理。而在ISMS中所提到的資產,很強調資產分類、鑑別資產擁有者,以及資產重要等級。以上兩者所要強調的重點是不盡相同,但都可以將市面上現行的資產管理系統,予以客制化以符合需求。

追蹤稽核
「工欲善其事,必先利其器。」確實需要有ISMS的追蹤稽核工具,來協助了解現行系統的執行情況。包括提供政策追蹤覆核及管理辦法覆核功能,讓您可以了解資訊安全政策的落實執行情形,也可以了解潛在的管理面風險,並允許作業流程稽核點設置、風險程度等級加權、執行狀態評價給分等,藉由這些稽核點的強化設定,了解每一個子項目的實際執行,以及對每一個子項目進行控制。

善用科技工具,提昇企業IT效率
對於提供資訊安全管理的產品,其本身必須具備相當高程度的資安條件,這也是我們應考量的關鍵。試想若企業本身都不具相關的安全機制,要如何令人信賴,所產生的資料如何令人信服。善用科技工具來解決科技衍生的問題,不要讓資訊安全管理系統成為企業IT效率的絆腳石。


(本文作者現職為致遠會計師事務所企業風險管理部經理)