https://newera17031.activehosted.com/index.php?action=social&chash=01e9565cecc4e989123f9620c1d09c09.2117&nosocial=1

觀點

組織制定資訊安全政策對資訊安全之影響(下)

2005 / 02 / 03
洪國興、季延平、趙榮耀
組織制定資訊安全政策對資訊安全之影響(下)

本研究(組織制定資訊安全政策對資訊安全之影響)依據資訊安全管理之「安全政策理論」(Security Policy Theory),提出「資訊安全政策模式」(Information Security Policy Model),此一模式基本組成為:組織特性、資訊安全政策之制定、實施與維護、資訊安全之提昇。其關係為:組織特性表達資訊安全需求,組織特性影響資訊安全政策,資訊安全政策影響資訊安全之提昇。如圖1所示。

研究假設
由實務上的觀察與文獻探討得知,不同的組織,有不同的資訊安全需求,對於制定資訊安全政策通常有不同的看法與作法,亦即不同的組織特性,對於資訊安全政策制定時間之早晚,以及政策制定的相關決策均有所不同。針對此,本研究形成以下假設:
1. 不同性質的組織,對於資訊安全政策制定時間會有影響。
2. 組織規模愈大,愈早制定資訊安全政策。
3. 組織運用資訊系統的歷史愈久,愈早制定資訊安全政策。
4. 組織設置資訊部門且層級愈高,愈早制定資訊安全政策。
5. 資訊組織規模愈大,愈早制定資訊安全政策。
6. 使用電腦系統架構,對於資訊安全政策制定時間會有影響。
「資訊安全政策」是組織資訊安全的最高指導原則,也是資訊安全的基礎建設,因此,組織資訊安全政策制定時間之早晚,資訊安全政策的功能定位,包括:資訊安全範圍的定義、資訊安全目標與策略的訂定、各階層對資訊安全責任的規範、監督遵守資訊安全的機制、及宣示未遵守資訊安全規章的後果等,均足以影響組織之資訊安全。針對此,本研究形成以下假設:
7. 組織資訊安全政策制定時間,對資訊安全之提昇會有影響。
8. 組織對資訊安全政策之功能定位,對資訊安全之提昇會有影響。
資訊安全政策的重心在於其執行。資訊安全政策的內容包括:政策目標、資訊安全標準、作業程序之建立與管控,資訊安全與企業營運的結合、安全意識的建立與增進、協調與整合、適用範圍、執行方法,這些都是資訊安全政策的重要內容,均足以影響資訊安全。針對此,本研究形成以下假設:
9. 資訊安全政策之內容,對資訊安全之提昇會有影響。
資訊安全政策的實施項目,或稱為子政策,為資訊安全政策最核心的部分,在ISO/IEC 17799之中,有詳盡的規範,包括:政策之制定、安全組織與職責、人員安全、資訊資產分類、實體及環境安全、系統規劃與操作安全、資料與媒體安全,通訊與網路安全、存取控制、系統開發與維護、業務持續運作管理、執行與遵守、及資訊稽核等政策,對資訊安全之影響當既深且遠。針對此,本研究形成以下假設:
10. 資訊安全政策實施項目,對資訊安全之提昇會有影響。
按資訊安全管理「安全政策理論」(Security Policy Theory),資訊安全係經由資訊安全政策之制定、實施與維護來實現,因此資訊安全政策之建立與評估維護係此一理論的重要環節,在管理程序中為規劃(Planning)與考核(Evaluation)的角色,對資訊安全自然有其貢獻。針對此,本研究形成以下假設:
11. 資訊安全政策建立與維護之程序與方法,都將影響到組織資訊安全之提昇。


研究結果
本研究採問卷調查法,調查對象為中華民國資訊經理人協會、中華民國資訊應用發展協會之會員,及政府資訊主管聯席會議成員等,共以E-mail寄出問卷645份,有效問卷為157份。

一、組織性質
分析結果顯示,組織性質之不同,會影響該組織資訊安全政策制定時間的早晚。
政府行政機關已制定資訊安全政策,且制定時間較早之傾向最高,其次為公營事業機構,再次為學校及研究機構,最低者為民間企業,顯示此一結果與政府重視資訊安全,公布資訊安全管理規範,明文要求各級機關應制定資訊安全政策,有極密切關係,而民間企業對資訊安全之重視,起步相對較晚。

二、組織規模
而「組織規模」的大小,與該組織「資訊安全政策制定時間」之間並無因果關係,概因「組織規模」的大小,人數之多寡,與組織所面臨的資訊安全威脅程度或資訊風險之高低,未成正相關,與組織「資訊安全政策制定時間」之早晚無因果關係,因此,不會因為「組織規模」的大小而影響組織「資訊安全政策制定時間」。

三、組織應用資訊系統的歷史
分析結果顯示,「組織應用資訊系統的歷史」與組織「資訊安全政策制定時間」之間無因果關係,概因組織應用資訊系統時間的長短,與資訊系統的複雜度,或資訊風險高低未成正相關,因此,不會因組織應用資訊系統歷史的不同,而影響到組織資訊安全政策制定時間的早晚。

四、設置資訊部門與層級
「設置資訊部門與層級」與「資訊安全政策制定時間」之間也無因果關係。概因,組織設置資訊部門與其層級的高低,與組織所面臨的資訊安全風險未必有關係,因此不會因為組織是否設置資訊部門與資訊部門之層級高低之不同,而影響組織資訊安全政策制定時間的早晚。

五、資訊組織規模
「組織資訊人力的多寡」,與組織「資訊安全政策制定時間」之間則有因果關係。由於資訊安全威脅許多係來自於組織內部,資訊人員也是最有能力危害資訊安全的人,在許多的研究中均顯示,非授權存取大部分都是來自於組織內部,而資訊人員又擁有比一般的使用者更高的權限及資訊技術能力,也更有機會接觸到敏感性、機密性的資訊,因此,資訊人員愈多,內部控制制度亦應愈嚴密,對於資訊安全政策之制定愈有需要,則組織愈會儘早制定資訊安全政策,據以實施,以提昇組織的資訊安全水準。
六、使用電腦系統架構
「使用電腦系統架構」與「資訊安全政策制定時間」之間無因果關係。亦即不會因為使用大型電腦主機(Mainframe Computer),迷你級電腦(Mini Computer)、Multi-user CP-LAN或其他電腦系統架構之不同,而影響組織「資訊安全政策制定時間」的早晚。以今日資訊科技環境,任何資訊系統架構都有資訊安全的問題,其組織「資訊安全政策制定時間」之早晚,顯然與其「使用電腦系統架構」為何無關。

七、制定資訊安全政策時間
組織「資訊安全政策制定時間」與組織「資訊安全之提昇」之間無因果關係。此結果與常理判斷似有不同,總認為組織「制定資訊安全政策」,必有助於「資訊安全的提昇」,然而若從以下四項有關資訊安全政策之功能、內容、實施與維護等對「資訊安全之提昇」的因果效應來看,即可知組織徒有「資訊安全政策」,也就是組織制定「資訊安全政策」雖甚早,而未能有效的付諸實施,其內容與程序未能真正符合組織資訊安全所需,恐未必真能促進資訊安全,亦即資訊安全政策「實質上的內容」重於「形式上的有無」與「制定時間的早晚」。

八、政策之功能定位
資訊安全「政策之功能定位」與組織「資訊安全之提昇」之間有因果關係。資訊安全政策愈能具備:規範資訊安全範圍、訂定目標與策略、規範各階層之安全責任、宣示未遵守規章的後果、監督執行政策的機制等功能,對組織「資訊安全之提昇」愈有幫助。

九、政策之內容
分析結果,資訊安全「政策之內容」與組織「資訊安全之提昇」之間有因果關係。資訊安全「政策之內容」愈能包含:安全政策目標,安全標準、作業程序之建立與管制,資訊安全與企業營運的結合,資訊安全認知的建立與增進,資訊安全協調與整合,資訊安全政策適用範圍,及資訊安全執行等,對組織「資訊安全之提昇」愈有幫助。

十、政策實施項目
資訊安全「政策實施項目」與組織「資訊安全之提昇」之間有因果關係。資訊安全「政策實施項目」愈完整,其項目包括:資訊安全政策之制定與修正,資訊安全組織與權責,人員安全管理與教育訓練,資訊資產分類,實體及環境安全,系統規劃與操作安全,資料與媒體安全,通訊與網路安全,存取控制,系統開發與維護安全,業務持續運作管理,資訊安全執行與遵守,資訊稽核等,對組織「資訊安全之提昇」愈有幫助。

十一、政策建立與維護之程序與方法
資訊安全「政策建立與維護之程序與方法」與組織「資訊安全之提昇」之間有因果關係。資訊安全「政策建立與維護之程序與方法」愈完整周延,包括:嚴格定義其範圍,高階管理者的支持與核定,進行風險評估或衝擊分析,組織內部各階層的有效溝通及建立安全意識,政策內容的周延與完整,與業務主管部門的溝通與協調,政策的落實執行,政策之定期檢討與修正,當發生重大安全事故的檢討修正,當組織出現新的安全漏洞的檢討修正,當組織或技術基礎結構發生變化時之檢討修正,對資訊安全與工作效率、成本與效益求取平衡等,對組織「資訊安全之提昇」愈有幫助。


結論與建議
因此,組織性質之不同,政府行政機關、公營事業機構,資訊部門規模愈大,愈較早制定資訊安全政策,而組織欲求「資訊安全之提昇」,也應從強化資訊安全「政策之功能定位」、「政策之內容」、「政策實施項目」與「政策建立與維護之程序與方法」等資訊安全政策實質面下工夫,才能見效。

往後的研究,建議可採隨機抽樣或分層隨機抽樣,強化研究的外部效度。其次,可擴大研究構念,考量組織行為或領導行為對資訊安全政策之影響,發展更完備的資訊安全政策研究模式。此外,資訊安全尚有風險管理理論、控制稽核理論、管理系統理論、權變理論與整合系統理論可繼續研究。
最後,提出幾點對實務界的建議做為結束:
1. 組織為達成資訊安全的目標,應建立資訊安全政策,並經資訊安全政策的制定、實施與評估維護,以提昇組織的資訊安全。
2. 資訊安全政策之制定,應重視其政策的實質內容,形式可不必過於計較。
3. 組織規模愈大,資訊人員愈多,愈有必要制定資訊安全政策。

本文改寫自洪國興(現任監察院綜合規劃室主任)、季延平(國立政治大學資訊管理學系副教授)、趙榮耀(淡江大學管理科學研究所教授)所合著「組織制定資訊安全政策對資訊安全影響之研究」,相關參考文獻請參考該研究全文。