歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
善用科技 落實管理
2003 / 05 / 05
莊強閔
CNS17799 / CNS17800
如何落實資訊科技的機密性、整體性及可用性,攸關能否維繫企業的競爭力、現金流量、獲利能力、守法能力(compliance),以及商業形象等都非常重要。要達到資訊安全就必須實行(implement)適當的控管措施,譬如資訊安全政策、作業方式(practice)、程序、組織架構和軟體功能。現行完整的相關控制措施,最為人所知的就是ISO17799/CSN17799BS7799:Part2/CNS17800(CNS17799/CNS17800是經濟部中央標準檢驗局所頒布的指導綱要及驗證標準)。
當前在許多單位一窩蜂的接受導入資訊安全管理系統(Information Security Management System, ISMS)時,完成後的維護對使用者是最困難的。繁雜的流程程序、相關的表單文件、人員的教育訓練等等,當部份範圍取得相關的認證後,是否有勇氣推行到整個企業呢?這成了每一位維護者心中所無法釋懷的地方。
顧問走了,如何持續維護ISMS的運作
當顧問走了,使用者如何去做準備,以期達到未來的資安成效,並順利通過下次的認證驗證?很實際的,使用者面對的是每天不斷重覆的控制流程及相關的管理程序,而這些過程及相關的控制是要花費許多的人力去維護。善用電子化,除了可以減少人力成本,同時可讓使用者有時間去處理立即性且迫切性的事務,而將繁瑣的日常工作及例行程序交給電腦來處理。 因此,懂得如何善用科技工具來輔助完成既定目標是很重要的事;以下是筆者歸納出幾項可列為電子化應用的工作項目,分別如下:
電子化流程
坊間有不少軟體,擁有電子化流程的功能,並提供視覺化的電子表單開發製作工具,可於瀏覽器中以拖拉(Drag and Drop)方式完成電子表單的製作,甚至可與Notes或Outlook結合,將所有管理辦法中所用到的表單轉成電子表單,藉由流程管理引擎執行管理辦法中所描述的流程,自動利用電子郵件通知;其好處是,不用再為了保管一些紙張表單而苦惱,真正的利用科技管理資訊安全。藉由電子流程控制,可以知道現階段執行到那裡,或是在那個階段停滯住。而所有的管理流程電子化後,減少了許多紙張作業,也減少了文件往返及政策發佈會簽的耗力費時。
文件管理控制
文件版本管理功能,可以應用在資安文件的管理控制。舉凡:資安政策、標準作業程序及相關管理辦法等,此類系統可以保留各個不同版本的文件。其好處就是不用擔心文件紙張的管理(要鎖在那個安全的地方安全的櫃子),也不用擔心存放網路共享磁碟,會發生文件彼此覆蓋的問題;有的系統會提供對於文件的合法授權閱讀及更改進行管控,沒有權限的使用者是不可以看某些文件(例如防火牆的管理辦法,您一定不想讓任何人都可以看到),有權限的使用者才可以更改文件,但這一切對文件的行為都應要留下紀錄。甚至某些系統提供經由瀏覽器閱讀時不能產生暫存檔,不允許另存新檔、不允許複製至剪貼簿、不允許列印。這對於管制資安文件及維持資安文件的一致性,是一非常有力的助手。
e-Learning 在ISO 17799/CNS 17799 中,相當強調人員教育訓練。使用者的資訊安全警覺性教育訓練是執行時的重點,而執行的成效也是未來接受驗證的佐證資料。因此市面上所出現的 e-Learning 系統可以滿足以上的要求,提供使用者簡易的付費功能、線上教育訓練功能及線上測驗功能等。同時提供e-Learning系統中的線上考題編撰功能;使用者皆可透過Web介面參加測試,並由系統自動產生成績。提供管理者線上制定資安政策認知的線上教育訓練功能,藉由線上教育訓練的執行,提昇企業內所有員工的資訊安全認知,並且配合線上考試,了解資訊安全教育訓練執行的成效。
弱點掃瞄工具
使用弱點掃瞄工具可以協助了解現行重要網段IP使用情形及主機所提供的服務。以稽核角色而言,我們確實需要自我檢查來發現一些問題,像:不明節點探索功能,網路系統中不明服務探勘功能,及主機作業系統版本判定功能等。有的掃瞄器不僅提供報表功能、更提供維持一年度掃瞄結果報告之間的交叉比較。讓您可以掌握問題修復進度,像版本更新、啟動不恰當的服務。
資產管理
在目前市面上的資產管理系統,比較重視一般使用者的所有軟體資產清單,大部分都必須在控制主機內安裝代理程式。將系統內所安裝的軟體進行回報及統計,以期確認使用者是否有發生未經合法授權下的軟體,及落實軟體資產管理。而在ISMS中所提到的資產,很強調資產分類、鑑別資產擁有者,以及資產重要等級。以上兩者所要強調的重點是不盡相同,但都可以將市面上現行的資產管理系統,予以客制化以符合需求。
追蹤稽核
「工欲善其事,必先利其器。」確實需要有ISMS的追蹤稽核工具,來協助了解現行系統的執行情況。包括提供政策追蹤覆核及管理辦法覆核功能,讓您可以了解資訊安全政策的落實執行情形,也可以了解潛在的管理面風險,並允許作業流程稽核點設置、風險程度等級加權、執行狀態評價給分等,藉由這些稽核點的強化設定,了解每一個子項目的實際執行,以及對每一個子項目進行控制。
善用科技工具,提昇企業IT效率
對於提供資訊安全管理的產品,其本身必須具備相當高程度的資安條件,這也是我們應考量的關鍵。試想若企業本身都不具相關的安全機制,要如何令人信賴,所產生的資料如何令人信服。善用科技工具來解決科技衍生的問題,不要讓資訊安全管理系統成為企業IT效率的絆腳石。
(本文作者現職為致遠會計師事務所企業風險管理部經理)
最新活動
2025.04.22
2025 TWNIC網路治理交流論壇
2025.04.23
漢昕科技X線上資安黑白講【暗網攻擊視角:駭客如何入侵你的企業郵件?】2025/4/23全面展開!
2025.05.16
資安媒合交流系列活動
看更多活動
大家都在看
外媒看CrazyHunter勒索團體手法,關注防範開源工具攻擊
Google Cloud:2025 年資安管理者的五大關注重點
資安署25年3月資安月報:入侵攻擊持續居首 Line偽冒網站威脅增加
AI時代的資安攻防:趨勢科技揭「網路犯罪即代理」趨勢
Fortinet示警駭客利用符號連結技術繞過修補,持續存取FortiGate VPN
資安人科技網
文章推薦
美國CISA示警Oracle雲端事件恐致認證資料外洩風險攀升
報告:網路邊緣設備成為中小企業資安攻擊的主要入口
中芯數據揭CrazyHunter關鍵戰術