IBM 資安顧問服務方法大公開

大型企業e化程度通常較高，相對產生資訊安全問題的機會也較高，因此亟需導入各種資安解決方案與管理辦法，以降低資安事件可能對企業造成的傷害。然而大型企業在推動資訊安全時，由於單位及人數眾多，所使用的資訊系統多半新舊混雜，且不易在短時間內提升員工的自我資安意識，因此實施的難度亦隨之增加。
無論是BS7799標準中所強調的PDCA(Plan-Do-Check-Action)流程，或是IBM資安方法論所強調的評估、計畫、設計、執行與營運等各步驟，要做好資訊安全都必須先確認企業的營運目標與資安需求，而未來導入的任何解決方案均應符合目標與需求。
導入資訊安全，大致包含資訊安全管理系統以及IT解決方案等建置。一般而言，在時間許可的前提下，按部就班地從風險評估開始做起，先了解企業所面臨的安全威脅，以及可能造成的傷害之後，按照影響程度，配合適當的效益分析，依序根據預算與急迫程度執行解決方案，以降低風險，是最為理想的方式。但在現實上，企業常常面臨時間、預算不足的問題，或來自客戶、供應商等業務壓力，無法按照上述的方式執行，而必須在短時間內針對急迫的問題迅速擬定執行解決方案，結果易使導入的解決方案只能治標，或是缺乏可擴充性，而無法面對未來變動的環境。

IBM的資安導入步驟
IBM在導入資訊安全時，使用的方法論步驟及內容如下：

1. 資訊安全策略
資訊安全涵蓋範圍極為廣泛，要做到百分之百的安全，事實上幾乎不可能，而且會耗用極大的資源，因此最重要的是必須根據不同行業特性來規劃，例如高科技產業通常著重於保障先進研發成果資料的機密，而重要民生系統則必須維持系統的運作不致中斷等，不同企業在資訊安全上的實施策略均不相同。由高層管理人員依照營運的目標與核心競爭力來源，訂定資訊安全策略，引導實際實施的走向，是較為可行的做法。

2. 現況評估與分析
絕大部份的企業，均已實施部份資訊安全的措施與技術。然而，目前缺乏的是一套有系統的方法，讓企業了解本身的資安缺失，以及現有的資安措施與技術是否能提供足夠的防禦保障。所以現況的評估與分析極為重要，顧問可以藉由訪談、文件收集、實地勘查等方法，分析了解企業目前的資安實施狀況，並了解企業文化，以做為未來在修訂資安措施或引進新的資安技術時，擬定確實可行方案之依據。


3. 資訊資產清單
實施資訊安全，乃是為了保障公司資訊資產的安全。因此，了解公司擁有哪些資訊資產是當務之急。各單位應列出其負責與保有的資訊資產清單，並評估其受到損害時對企業造成的損失及影響。此外，針對每項資產，亦應進行風險評估，以了解這些資訊資產可能面臨的問題，以及問題發生時，對公司的傷害程度。
風險評估乃是根據資產的價值、該資產所面臨的威脅與弱點，計算出可能造成的影響。根據風險評估的結果，再針對無法接受的風險擬定對策，並考量選擇的對策所需的成本及可帶來的效益，讓風險值為公司接受，即可避免資訊安全事件造成企業損失。
風險值過高時，必須要採取對策。大致有以下兩種對策：
(1) 降低風險：導入資訊安全措施或技術以消除或減少風險的威脅。例如，企業尚未安裝防毒軟體時，極有可能遭受病毒的攻擊。建置防毒軟體並隨時更新病毒碼，即可將受病毒感染的可能性降低。
(2) 轉移風險：除了降低風險之外，亦可將風險轉移給其他單位。比如說透過保險的方式，將風險轉嫁到第三者。如企業投保火險，一旦發生火警，造成財物與業務上的損失，可以讓保險公司實際承擔大部分的財物損失傷害。
風險評估及管理的產出物為風險管理措施，這些是後續改善措施訂定的來源。

4. 資安政策與組織
資安政策為一切資安執行事務的基礎，且為組織執行資安事務的依循準則。明確的資安政策方向，可以展現對資安的支持與承諾。而健全、有效率的資訊安全組織，才能使政策的訂定、推廣順利進行。考量資訊安全事務的推廣效率、高階管理層的支持、涵蓋範圍的普及性、組織變更的彈性、資源的有效運用、決策及推動的聯繫等，根據實際狀況設計如放射型態、聯邦型態或中央型態等不同形態的資安組織，才能順利推動資訊安全管理系統。

5. 安全管理流程
為符合資訊安全政策的要求，以及利用管理措施降低風險，必須新增或修訂現有的資安管理流程，以適當的資安管理措施，作為員工落實資訊安全的依據。

6. 安全管理程序
資安流程中各項步驟的詳細實施方式及責任，必須明確訂定，員工才會了解實際要執行的工作內容。因此必須根據資安流程的內容，制定更詳細的管理程序。

7. 資安認知訓練
建立資訊安全管理系統之後，內部許多原有措施可能已經修訂，並增加了許多新的措施。因此必須策劃實施員工的資安認知訓練，讓員工了解企業對資訊安全的決心，以及相關的管制措施，並要求員工確實遵守，以維持公司的競爭力。

8. 安全需求定義
除了採取管理的方式來加強資訊安全之外，適當的使用資訊科技，亦可協助管理人員加強資訊系統的安全性。因此，根據資訊安全策略、政策的要求，以及相關管理流程或程序的需要，定義資安技術的需求，可作為引進任何資訊安全技術的評估標準，協助確保引進的資安技術可以滿足公司實際的資安需求。

9. 資安架構設計
資訊系統的架構設計為資訊安全的基本。良好的資訊架構，可以支援各資安解決方案，透過資訊技術提供企業可倚賴的資訊系統使用環境。按照不同的應用服務，會有不同的資安需求，而為了滿足現有的資安需求，並提供引進未來資安技術的空間，必須靠一套設計良好並可彈性擴充的資訊系統架構，才能提供各應用服務足夠的安全性。
一般而言，依據使用者存取環境的信任等級，應將企業的IT Infrastructure切割成不同資訊安全網域(Security Domain)，不同資安網域彼此之間互相隔離，並經由界限服務(boundary service)保護 (如filter router、firewall等)，將資料按照重要性及服務對象分別置放於不同網域，並針對各網域建置不同的資安控管系統。這些資安控管系統，應可以提供應用服務使用，以強化資安功能。

10. 解決方案設計
根據風險評估的結果，部份風險管理的對策，可能是資安技術或解決方案的導入。應根據選擇的對策，參考企業的安全需求，以及現有的資安架構，設計該對策的解決方案。

11. 產品選擇
完成解決方案的設計之後，應該按照設計要點，考察業界目前已有的產品。根據產品的特性、優點及缺點，以及建置所需成本，和建置之後可帶給企業的效益，選擇可行的解決方案。

12. 安全解決方案實施
開始建置資安產品時必須注意，除了確認產品中所需的關鍵功能均需建置之外，應同時參考現行資安流程或程序，訂定實際使用及管理的程序，並要求確切執行，以確保解決方案的實際效益。

13. 安全控管與偵測
所有的資安管理系統措施及資安解決方案，均應持續監控，以了解最新狀況，提早發現可疑事件，並掌握資安事件的發生。因此資安管理的程序與流程必須包含控管與偵測的部份，並按照規定實施。

14. 安全管理評估
資安管理系統的實施成效，必須定期評估，才能了解是否確實有效，因此必須定期自行稽核。有效的稽核制度能避免人員的倦怠、忽略，成為資安持續運作的主要推動力，提供資訊安全的保證(assurance)。因此除了在資安管理的程序與流程必須包含稽核制度的規定外，還必須訂定實施計畫定期主動稽核。

15. 安全技術評估
由於資訊系統與業務流程息息相關，因此包含資訊系統架構、網路設備、伺服器平台、應用系統等，均應定期評估目前使用技術的安全性，以及詳細的實施狀況，以瞭解其弱點及風險之所在，而加以控管。

本文作者定正偉為台灣IBM公司資訊服務部資訊安全顧問服務經理，崔友經為該公司高級顧問


企業成功導入資安的關鍵因素
按照上述的步驟，企業即可建置一套完整的資訊安全管理系統，並搭配適當的資安技術，提供一個安全使用資訊的環境。但是實際的建置成效，仍有賴一些關鍵因素。根據IBM的推行與顧問經驗，企業能夠成功的導入資訊安全，必須考量以下幾點：

1. 取得高層授權
在實施任何資安方案之前，最重要的，乃是取得充分的授權，而對於大型企業而言，這更是關鍵重點。由於大型企業組織眾多，一旦導入資安方案，勢必改變員工的工作習慣或流程，所帶來的衝擊亦更為龐大。高級管理階層的明確宣示，可以讓員工明確感受企業加強資安的決心。這些可以配合企業原有的文化，透過董事長或總經理所親自簽署寄發的電子郵件，以及在內部大型集會活動的正式宣達，讓員工了解企業對資訊安全的重視，並主動了解自身應做的改變。

2. 遴選適當資安專案人選
在進行現況評估時，大型企業常面臨的問題是：「評估結果是否能確實代表企業目前的狀況？」。現況評估的結果，將會影響後續資安措施的選擇與設計，因此遴選適當人選作為評估之受訪對象，乃是成功的重要關鍵。受訪對象應為相當熟悉該單位所有業務的主管，並要非常清楚該部門的任務目標。而受訪人員在接受面談之前，並應先由其主管告知面談的主要目的為了解現況，並非作為考績評比或是稽核所用，因此應詳細、清楚地說明現行狀況，才可避免顧問人員忽略了現有的資安措施或缺點。

3. 設計簡單明瞭的資訊安全政策
企業在建立資訊安全政策的過程中，可以用幾個簡單的指標來檢查政策的良窳：
(1)兼顧安全防護及生產力。
(2)安全政策的執行度。
(3)簡單扼要、易於理解。
此外，亦需建立企業內部員工的認知，使每一個員工都了解安全政策目的，如此安全政策才能成功。

4. 有效的安全認知訓練
員工的安全認知，乃是大企業在推行資訊安全時最難執行，以及最不易了解成效的一部份。推動員工的安全認知，可以使員工了解資訊安全的重要性，主動配合安全規定，養成良好的工作習慣，以下列出三個重要關鍵：
(1) 傳遞訊息：宣導員工安全常識之前，必須先決定宣導內容。過多繁複的內容將讓員工不易吸收，然而過於片段的資訊則會不易讓同仁了解實際的目的。因此在宣導之前，必須先確認宣導的目標，並使用簡明扼要、不拗口的字句說明，最好可以讓員工朗朗上口，效果更佳。
(2) 傳達機制：為了確保傳達的有效性，必須引起員工的興趣與注意。常見的做法包括透過寄給全公司的信件宣導、放在企業內部入口網站的首頁、在重要的出入口張貼宣傳海報等。此外，適當地辦理一些活動，例如舉行有獎徵答競賽、鼓勵員工參與資安口號設計等，均能有效提高員工的注意力，進而增加他們對資安的認識程度。
(3) 效果評估：透過效果評估，可以了解所有的認知訓練活動成效。這部份的實施可參考下列IBM實施稽核的經驗分享。

5. 確實稽核
良好的稽核可以協助確認資安措施的實際實施狀況，也就是確保所有資安措施均有落實。以IBM為例，IBM設立了獨立的全球稽核單位，全年度在世界170個分公司進行資訊安全的稽核，一旦被評為「非滿意」等級，該分公司不僅須提出改善報告，相關人員並將遭到懲戒。另外每位員工每年都須完成資訊安全自我稽核評估，切實地稽核平時對於資訊安全的落實程度。除了可以確保資安措施的落實之外，同時更再次向員工宣示公司對資訊安全的重視程度與決心，使員工本身更加注意個人在資安方面的責任。

6. 善用顧問經驗
許多大型企業在建置資訊安全管理系統時，會尋求顧問公司的協助。由於顧問均為資訊安全專家，且為獨立的第三者，意見較為超然，因此應善用顧問的專業知識、經驗及超然地位，利用顧問的力量引導各單位形成資安共識，並形成一股實施的力量，以加速資安措施與方案的導入及推行。
建置良好的資訊安全環境是一項艱難的任務。清楚地掌握現有問題與弱點，縝密地評估各式風險，遵循既定的流程與規範，不斷改進以減輕資安事件可能帶來的傷害，並持續要求落實各項資安措施，才能有效達到資訊安全的目標，讓企業以最佳的狀況持續營運。