觀點

IBM 資安顧問服務方法大公開

2005 / 02 / 03
文/定正偉、崔友經
IBM 資安顧問服務方法大公開

大型企業e化程度通常較高,相對產生資訊安全問題的機會也較高,因此亟需導入各種資安解決方案與管理辦法,以降低資安事件可能對企業造成的傷害。然而大型企業在推動資訊安全時,由於單位及人數眾多,所使用的資訊系統多半新舊混雜,且不易在短時間內提升員工的自我資安意識,因此實施的難度亦隨之增加。
無論是BS7799標準中所強調的PDCA(Plan-Do-Check-Action)流程,或是IBM資安方法論所強調的評估、計畫、設計、執行與營運等各步驟,要做好資訊安全都必須先確認企業的營運目標與資安需求,而未來導入的任何解決方案均應符合目標與需求。
導入資訊安全,大致包含資訊安全管理系統以及IT解決方案等建置。一般而言,在時間許可的前提下,按部就班地從風險評估開始做起,先了解企業所面臨的安全威脅,以及可能造成的傷害之後,按照影響程度,配合適當的效益分析,依序根據預算與急迫程度執行解決方案,以降低風險,是最為理想的方式。但在現實上,企業常常面臨時間、預算不足的問題,或來自客戶、供應商等業務壓力,無法按照上述的方式執行,而必須在短時間內針對急迫的問題迅速擬定執行解決方案,結果易使導入的解決方案只能治標,或是缺乏可擴充性,而無法面對未來變動的環境。

IBM的資安導入步驟
IBM在導入資訊安全時,使用的方法論步驟及內容如下:

1. 資訊安全策略
資訊安全涵蓋範圍極為廣泛,要做到百分之百的安全,事實上幾乎不可能,而且會耗用極大的資源,因此最重要的是必須根據不同行業特性來規劃,例如高科技產業通常著重於保障先進研發成果資料的機密,而重要民生系統則必須維持系統的運作不致中斷等,不同企業在資訊安全上的實施策略均不相同。由高層管理人員依照營運的目標與核心競爭力來源,訂定資訊安全策略,引導實際實施的走向,是較為可行的做法。

2. 現況評估與分析
絕大部份的企業,均已實施部份資訊安全的措施與技術。然而,目前缺乏的是一套有系統的方法,讓企業了解本身的資安缺失,以及現有的資安措施與技術是否能提供足夠的防禦保障。所以現況的評估與分析極為重要,顧問可以藉由訪談、文件收集、實地勘查等方法,分析了解企業目前的資安實施狀況,並了解企業文化,以做為未來在修訂資安措施或引進新的資安技術時,擬定確實可行方案之依據。


3. 資訊資產清單
實施資訊安全,乃是為了保障公司資訊資產的安全。因此,了解公司擁有哪些資訊資產是當務之急。各單位應列出其負責與保有的資訊資產清單,並評估其受到損害時對企業造成的損失及影響。此外,針對每項資產,亦應進行風險評估,以了解這些資訊資產可能面臨的問題,以及問題發生時,對公司的傷害程度。
風險評估乃是根據資產的價值、該資產所面臨的威脅與弱點,計算出可能造成的影響。根據風險評估的結果,再針對無法接受的風險擬定對策,並考量選擇的對策所需的成本及可帶來的效益,讓風險值為公司接受,即可避免資訊安全事件造成企業損失。
風險值過高時,必須要採取對策。大致有以下兩種對策:
(1) 降低風險:導入資訊安全措施或技術以消除或減少風險的威脅。例如,企業尚未安裝防毒軟體時,極有可能遭受病毒的攻擊。建置防毒軟體並隨時更新病毒碼,即可將受病毒感染的可能性降低。
(2) 轉移風險:除了降低風險之外,亦可將風險轉移給其他單位。比如說透過保險的方式,將風險轉嫁到第三者。如企業投保火險,一旦發生火警,造成財物與業務上的損失,可以讓保險公司實際承擔大部分的財物損失傷害。
風險評估及管理的產出物為風險管理措施,這些是後續改善措施訂定的來源。

4. 資安政策與組織
資安政策為一切資安執行事務的基礎,且為組織執行資安事務的依循準則。明確的資安政策方向,可以展現對資安的支持與承諾。而健全、有效率的資訊安全組織,才能使政策的訂定、推廣順利進行。考量資訊安全事務的推廣效率、高階管理層的支持、涵蓋範圍的普及性、組織變更的彈性、資源的有效運用、決策及推動的聯繫等,根據實際狀況設計如放射型態、聯邦型態或中央型態等不同形態的資安組織,才能順利推動資訊安全管理系統。

5. 安全管理流程
為符合資訊安全政策的要求,以及利用管理措施降低風險,必須新增或修訂現有的資安管理流程,以適當的資安管理措施,作為員工落實資訊安全的依據。

6. 安全管理程序
資安流程中各項步驟的詳細實施方式及責任,必須明確訂定,員工才會了解實際要執行的工作內容。因此必須根據資安流程的內容,制定更詳細的管理程序。

7. 資安認知訓練
建立資訊安全管理系統之後,內部許多原有措施可能已經修訂,並增加了許多新的措施。因此必須策劃實施員工的資安認知訓練,讓員工了解企業對資訊安全的決心,以及相關的管制措施,並要求員工確實遵守,以維持公司的競爭力。

8. 安全需求定義
除了採取管理的方式來加強資訊安全之外,適當的使用資訊科技,亦可協助管理人員加強資訊系統的安全性。因此,根據資訊安全策略、政策的要求,以及相關管理流程或程序的需要,定義資安技術的需求,可作為引進任何資訊安全技術的評估標準,協助確保引進的資安技術可以滿足公司實際的資安需求。

9. 資安架構設計
資訊系統的架構設計為資訊安全的基本。良好的資訊架構,可以支援各資安解決方案,透過資訊技術提供企業可倚賴的資訊系統使用環境。按照不同的應用服務,會有不同的資安需求,而為了滿足現有的資安需求,並提供引進未來資安技術的空間,必須靠一套設計良好並可彈性擴充的資訊系統架構,才能提供各應用服務足夠的安全性。
一般而言,依據使用者存取環境的信任等級,應將企業的IT Infrastructure切割成不同資訊安全網域(Security Domain),不同資安網域彼此之間互相隔離,並經由界限服務(boundary service)保護 (如filter router、firewall等),將資料按照重要性及服務對象分別置放於不同網域,並針對各網域建置不同的資安控管系統。這些資安控管系統,應可以提供應用服務使用,以強化資安功能。

10. 解決方案設計
根據風險評估的結果,部份風險管理的對策,可能是資安技術或解決方案的導入。應根據選擇的對策,參考企業的安全需求,以及現有的資安架構,設計該對策的解決方案。

11. 產品選擇
完成解決方案的設計之後,應該按照設計要點,考察業界目前已有的產品。根據產品的特性、優點及缺點,以及建置所需成本,和建置之後可帶給企業的效益,選擇可行的解決方案。

12. 安全解決方案實施
開始建置資安產品時必須注意,除了確認產品中所需的關鍵功能均需建置之外,應同時參考現行資安流程或程序,訂定實際使用及管理的程序,並要求確切執行,以確保解決方案的實際效益。

13. 安全控管與偵測
所有的資安管理系統措施及資安解決方案,均應持續監控,以了解最新狀況,提早發現可疑事件,並掌握資安事件的發生。因此資安管理的程序與流程必須包含控管與偵測的部份,並按照規定實施。

14. 安全管理評估
資安管理系統的實施成效,必須定期評估,才能了解是否確實有效,因此必須定期自行稽核。有效的稽核制度能避免人員的倦怠、忽略,成為資安持續運作的主要推動力,提供資訊安全的保證(assurance)。因此除了在資安管理的程序與流程必須包含稽核制度的規定外,還必須訂定實施計畫定期主動稽核。

15. 安全技術評估
由於資訊系統與業務流程息息相關,因此包含資訊系統架構、網路設備、伺服器平台、應用系統等,均應定期評估目前使用技術的安全性,以及詳細的實施狀況,以瞭解其弱點及風險之所在,而加以控管。

本文作者定正偉為台灣IBM公司資訊服務部資訊安全顧問服務經理,崔友經為該公司高級顧問


企業成功導入資安的關鍵因素
按照上述的步驟,企業即可建置一套完整的資訊安全管理系統,並搭配適當的資安技術,提供一個安全使用資訊的環境。但是實際的建置成效,仍有賴一些關鍵因素。根據IBM的推行與顧問經驗,企業能夠成功的導入資訊安全,必須考量以下幾點:

1. 取得高層授權
在實施任何資安方案之前,最重要的,乃是取得充分的授權,而對於大型企業而言,這更是關鍵重點。由於大型企業組織眾多,一旦導入資安方案,勢必改變員工的工作習慣或流程,所帶來的衝擊亦更為龐大。高級管理階層的明確宣示,可以讓員工明確感受企業加強資安的決心。這些可以配合企業原有的文化,透過董事長或總經理所親自簽署寄發的電子郵件,以及在內部大型集會活動的正式宣達,讓員工了解企業對資訊安全的重視,並主動了解自身應做的改變。

2. 遴選適當資安專案人選
在進行現況評估時,大型企業常面臨的問題是:「評估結果是否能確實代表企業目前的狀況?」。現況評估的結果,將會影響後續資安措施的選擇與設計,因此遴選適當人選作為評估之受訪對象,乃是成功的重要關鍵。受訪對象應為相當熟悉該單位所有業務的主管,並要非常清楚該部門的任務目標。而受訪人員在接受面談之前,並應先由其主管告知面談的主要目的為了解現況,並非作為考績評比或是稽核所用,因此應詳細、清楚地說明現行狀況,才可避免顧問人員忽略了現有的資安措施或缺點。

3. 設計簡單明瞭的資訊安全政策
企業在建立資訊安全政策的過程中,可以用幾個簡單的指標來檢查政策的良窳:
(1)兼顧安全防護及生產力。
(2)安全政策的執行度。
(3)簡單扼要、易於理解。
此外,亦需建立企業內部員工的認知,使每一個員工都了解安全政策目的,如此安全政策才能成功。

4. 有效的安全認知訓練
員工的安全認知,乃是大企業在推行資訊安全時最難執行,以及最不易了解成效的一部份。推動員工的安全認知,可以使員工了解資訊安全的重要性,主動配合安全規定,養成良好的工作習慣,以下列出三個重要關鍵:
(1) 傳遞訊息:宣導員工安全常識之前,必須先決定宣導內容。過多繁複的內容將讓員工不易吸收,然而過於片段的資訊則會不易讓同仁了解實際的目的。因此在宣導之前,必須先確認宣導的目標,並使用簡明扼要、不拗口的字句說明,最好可以讓員工朗朗上口,效果更佳。
(2) 傳達機制:為了確保傳達的有效性,必須引起員工的興趣與注意。常見的做法包括透過寄給全公司的信件宣導、放在企業內部入口網站的首頁、在重要的出入口張貼宣傳海報等。此外,適當地辦理一些活動,例如舉行有獎徵答競賽、鼓勵員工參與資安口號設計等,均能有效提高員工的注意力,進而增加他們對資安的認識程度。
(3) 效果評估:透過效果評估,可以了解所有的認知訓練活動成效。這部份的實施可參考下列IBM實施稽核的經驗分享。

5. 確實稽核
良好的稽核可以協助確認資安措施的實際實施狀況,也就是確保所有資安措施均有落實。以IBM為例,IBM設立了獨立的全球稽核單位,全年度在世界170個分公司進行資訊安全的稽核,一旦被評為「非滿意」等級,該分公司不僅須提出改善報告,相關人員並將遭到懲戒。另外每位員工每年都須完成資訊安全自我稽核評估,切實地稽核平時對於資訊安全的落實程度。除了可以確保資安措施的落實之外,同時更再次向員工宣示公司對資訊安全的重視程度與決心,使員工本身更加注意個人在資安方面的責任。

6. 善用顧問經驗
許多大型企業在建置資訊安全管理系統時,會尋求顧問公司的協助。由於顧問均為資訊安全專家,且為獨立的第三者,意見較為超然,因此應善用顧問的專業知識、經驗及超然地位,利用顧問的力量引導各單位形成資安共識,並形成一股實施的力量,以加速資安措施與方案的導入及推行。
建置良好的資訊安全環境是一項艱難的任務。清楚地掌握現有問題與弱點,縝密地評估各式風險,遵循既定的流程與規範,不斷改進以減輕資安事件可能帶來的傷害,並持續要求落實各項資安措施,才能有效達到資訊安全的目標,讓企業以最佳的狀況持續營運。



IBM