資訊安全政策對資訊安全之影響（上）

一份適當而周延的安全政策，能為企業提昇信用與商譽，使投資人及社會大眾對企業更有信心。

資安的最高指導原則
「資訊安全政策」是指導組織資訊安全的最高原則及指導方針，一個組織若欠缺資訊安全政策，顯示其管理高層欠缺資訊安全意識，對資訊安全的警覺不足；一個欠缺資訊安全政策的組織，其資訊安全措施再完善，恐怕也只是個別的資訊安全技術或產品的使用，難有整體、周延的資訊安全保護。
畢竟組織整體資訊安全的提昇，有賴於完整的資訊安全管理制度與資訊安全防護技術，二者相輔相成，而資訊安全政策乃是建構此二者的基礎建設，也是組織建立安全環境的首要工作。資訊安全政策必須由高階管理人員支持，並領導實行。
根據國際電腦安全協會（ICSA）在1999年公布的研究報告指出，超過80%的受訪者，其組織的資訊安全政策有明顯的缺失。Blacharski也指出，大多數的經理人都宣稱重視資訊安全，但有近一半的美國企業並沒有資訊安全政策，1980年代也只有美國的軍方與政府網路有資訊安全政策，尤其對於分散式系統環境的興起，更缺乏可滿足分散式系統環境所面臨的資訊安全管理所需之資訊安全政策，以致資訊安全軟硬體的引進毫無策略可言。
國內相關研究更指出，組織的資訊安全政策不夠明確，且組織的資訊安全規定與實際的資訊安全管制之間存有相當落差。因此，資訊安全政策之制定，對於組織資訊安全需求之規劃，是其中重要的一環。
本研究將資訊安全政策文獻整理歸納為資訊「安全政策理論」（Security Policy Theory），以作為本研究之理論基礎，進而提出資訊安全政策模式（Information Security Policy Model），欲了解「組織特性」對「資訊安全政策」的影響，「資訊安全政策」對「資訊安全之提昇」的影響，以及之間之因果關係。


文獻探討
真正研究資訊安全政策的文獻不多，實證研究更少，其中，國外以探討資訊安全政策之制定、實施內容、評估等較多，國內近年的資訊安全稽核實證研究中，則出現頗多資訊安全政策的調查值得參考。
曾淑惠（民91年）的調查研究指出，80.4％的銀行有定期修正資訊安全政策，顯示銀行對於資訊安全政策的重視程度頗高；該研究以BS 7799-1（1999）為基礎評估銀行業的資訊安全環境，顯示仍約有三成的銀行，尚無資訊安全政策，其中外商銀行在安全政策的表現優於本國銀行，資訊安全政策的重要性在本國銀行較被忽視。
在黃姮儀（民89年）的研究中指出，金融機構已制定網路安全政策者佔44.8％，未制定者55.2％，在未制定網路安全政策的金融機構中，大部分預定於一年內制定，顯示網路安全政策漸漸受到重視。對於安全政策的修正頻率，平均每8個月修正一次，最長者為2年。
行政院主計處電子處理資料中心於民國91年對政府部門及民間企業所做的資訊安全稽核，是國內歷來所有調查中最好的一次。在受稽核的76個組織中，資訊安全政策非常完整者佔59%，尚屬完整者佔33%。由於調查對象係經過挑選，其中政府機關均係資訊應用有相當歷史，民間企業均為具有相當規模，且資訊科技對其業務營運具有不可忽視的重要性，故調查結果尚不能推論為整體的現象。
Hinde的調查則指出，85%的受訪者聲稱他們的公司已投入資訊安全政策的建置，但對照另一項由KPMG所做的調查，卻指出僅有27%的受訪者已制定文件化的資訊安全政策，大型企業則有59%。但在Ernst & Young的調查，其受訪者都認為他們已有資訊安全策略。
以下將文獻探討的內容整理為資訊安全政策的意義、目的與功能、政策之制定、實施內容、評估與維護等部份加以描述。


一、資訊安全政策的意義
本研究對「資訊安全政策」的定義為：
1. 為組織設定如何安全的使用資訊，以及安全的優先順序，以達成組織目標。
2. 在符合組織的目標下，規範「資訊安全」的範圍。
3. 以資訊安全為基礎的資訊管理與資源使用原則。
4. 係支援資訊安全技術，以建立資訊安全成本效益的原則。


二、資訊安全政策之目的與功能
資訊安全政策的目的與功能在於：
1. 對組織資訊資產安全的需求，提供指導方針與規範，並具體表現高層管理者對資訊安全的支持與承諾，以善盡企業責任與義務。
2. 定義組織內有關部門與人員對資訊安全管理的角色與責任，為資訊安全的基礎建設。
3. 對於資訊系統的存取，建立安全標準與控制的基準，促使組織建置一致性的控制制度，以達成企業目標。
4. 資訊安全是技術，也是策略，因此，資訊安全政策可指引資訊安全產品的選擇與技術的引進。
5. 將資訊安全控制需求加以正式化與文件化，以支援組織內部與外部檢視對維護資訊安全的規劃與執行，是否充份足夠，以作為資訊安全溝通的平台。
6. 確保合法的使用者可以存取檔案與資訊資源，防止未經許可的使用資訊資源，以維護資料的完整性。
7. 對存取機密資料的限制，以防止意外或蓄意破壞，致危害硬體、軟體及其他資訊資源。


三、資訊安全政策之制定
資訊安全政策的核心在於界定組織資訊安全的核心價值，以符合組織的整體目標。組織性質的不同，其資訊安全的核心價值自然不同，如軍事單位的資訊安全核心價值可能是國防機密的維護與資訊戰的存活，政府部門資訊安全的核心價值是人民隱私的保護與公共服務，對企業而言，其資訊安全的核心價值是營業利益的維護。由於核心價值的不同，其資訊安全政策應係符合其核心價值的策略方針，亦據於釐清資訊資產的價值，使資訊安全政策得以具體可行。
國際間對資訊安全，已意識到安全政策的重要，在國際標準之中對於資訊安全政策提出一些制定的指導與規範，普遍受到重視。
資訊安全政策制定的策略與步驟為：
1. 專案開始（Project Initiation）：對組織資訊安全初步評估（Preliminary Evaluation），說服高層主管，促使其對資訊安全提昇其敏感度（Management Sensitization）。
2. 資訊安全政策之發展（Security Policy Development）：進行資訊安全需求分析（Needs Analysis），草擬政策草案，經由內部討論與溝通，並由資訊安全主管（Information Security Officer, ISO）初步決定。
3. 諮詢與核定（Consultation and Approval）：諮詢資訊安全專家或顧問的意見，再由組織負責人（CEO）對資訊安全政策的接受、承諾與核定的程序，形成正式的資訊安全政策，並正式發布。
4. 安全意識與政策教育（Security Awareness and Policy Education）：對組織各層級實施資訊安全政策之教育與訓練，以建立安全意識。
5. 政策宣導（Disseminate Policies）：對組織內宣導資訊安全政策，作為組織資訊安全的基礎建設，對外宣導，以建立上下游產業、及消費者對組織資訊安全的信賴。


四、資訊安全政策之實施內容
管理階層應制定一個明確的安全政策方向，在整個組織中發布，並定期維護資訊安全政策，宣示管理高層對資訊安全的支持和保護的責任。
資訊安全政策的實施內容，係組織建立資訊安全的重要核心，其內容應包括：資訊安全組織與任務、角色與責任（Roles and Responsibilities）、資訊分類與控制（Information Classification and Control）、資訊風險評估（Information Risk Assessment）、資訊安全教育訓練、存取控制（Access Control）、實體及環境安全（Physical and Environment Security）、病毒防護與管理、資訊安全事故之緊急處理程序、業務持續運作管理（Business Continuity Management）、違反資訊安全政策的懲處（Information Security Policy Violations and Disciplinary Action）、法令規定的遵行。
國際間的資訊安全標準對於資訊安全政策的內容也有不同的規定，在組織內不同的職位，對於資訊安全政策的角色與責任格外令人重視，所有的標準均認為是資訊安全政策必須列入的重要內容，彙整如上一頁表1所示，可作為組織制定資訊安全政策之參考。


五、資訊安全政策之評估與維護
組織之資訊安全政策，應定期進行獨立及客觀的評估，始能將政府資訊安全管理政策、法令、技術及組織業務之最新狀況反映於資訊安全政策之中，以確保資訊安全之實際作業與資訊安全政策吻合，使資訊安全管理能可行而有效。組織應對資訊單位、人員、資訊系統之安全加以評估與稽核，以確保資訊安全政策與規定之貫徹執行。
資訊安全政策是一個管理循環，從制定、實施到評估，是一種持續不斷的改善工作，如圖1所示。
資訊安全政策的評估係按評估的程序進行，可以是定期性的，也可能是非定期的評估。定期性的評估係按資訊安全政策中所定的評估週期定期評估；非定期性的評估其時機為：當發生重大的資訊安全事故時、出現新的資訊安全弱點或漏洞時、組織變動或組織文化改變時、資訊技術或資訊安全技術的基礎建設發生變化時、資訊或控制的需求改變時等。
下期，將為讀者呈現在此研究下，「組織特性」、「資訊安全政策」與「資訊安全之提昇」之間的因果關係。

本文節錄自洪國興（現任監察院綜合規劃室主任）、季延平（國立政治大學資訊管理學系副教授）、趙榮耀（淡江大學管理科學研究所教授）所合著「組織制定資訊安全政策對資訊安全影響之研究」，相關參考文獻請參考該研究全文。