觀點

ISMS是一場美麗的誤會!?

2009 / 08 / 21
王婷儀
ISMS是一場美麗的誤會!?

作資安,誰沒聽過BS7799,不過,你真的了解它?或只是你一廂情願的看法?

  第一份完整版BS7799出現在1995年,雖然驗證單位BSi當時即進駐台灣,卻未引起企業太大的關注,在千禧年後,也只看到少數幾家金融單位及外商規劃導入工作,大多數的企業仍興趣缺缺,無法深刻領會BS7799與企業的關係,一部分原因歸咎當時國內e化程度有限,企業對資安的了解及管理認知尚未到位,遑論從荷包掏出一筆為數不小的預算,建置一套效益立竿見影的管理系統。不過,在幾家驗證公司及顧問服務公司用力地推廣下,漸漸引起政府的注意。隨著政府數位台灣計劃啟動,資訊對國力的重要性日漸抵定,資訊安全與國土安全間等號的關係亦趨於明朗,尤其國外幾起重大資安事件之後,驚覺體認它對國家安全和企業營運造成的重創,除此之外,亞洲先進國家也積極地導入,尤其是日本和印度。光日本就佔總驗證數的60%,穩坐第一名寶座,在日本政府法規面嚴格的要求下,不乏整個企業導入的例子,並願意注挹相當的人力與金錢。隨2003年,行政院研究考核發展委員會依據各級單位業務對國家的影響性劃分ABCD四個等級,要求於規定的時間內,通過BS7799的驗證,此舉開始吸引越來越多人的注意。金融機關在資安管理上,一向必須接受法律及金管會作業面地嚴格要求,為合乎規範,有越來越多金融企業認同BS7799的管理機制。在政府及知名企業的示範效應下,民間企業對資安的興趣漸濃,幾大依賴IT系統維運的企業也開始導入,全面檢視內部作業的風險,轉眼台灣從2001年的3家到現在已經有破百家單位成功建置這套系統並通過驗證,認證數在全球排名第四。

  BS7799在英國已經走了一段時間,但在條文後續發展上,仍依使用者的反饋做細部的修正,如同軟體版本更新,這套標準一直持續地進步與修正,從進入台灣到現在,已有兩次改版動作,其實兩次的變動比對原架構來說,修正幅度不大,主要在條文字義更清楚地說明要怎麼做,並將原執行細項的重要性提前。標準隨著環境的需求與時俱進,今日發展已經進入比較穩定的狀態,內容大幅變動的機會不大,加上成功拿下驗證的單位一家接一家,增加有意導入者不少的信心,不過,站在門外或多或少心中掛著這樣的問號「BS7799真的是資安管理的萬靈丹嗎?有了它企業就能安全永駐嗎?」、「通過驗證的單位,後續的維運情況如何呢?」

  《資安人》特意為讀者們追蹤這些成功案例,層層抽絲剝繭,聽聽目前BS7799在企業內運作的情況,出現哪些難題,提供哪些寶貴經驗與諸位讀者們分享;另外,顧問及驗證單位對於BS7799的永續推動又提供哪些具體建議?以下為我們所做的調查及訪問。

了解不夠

  根據《資安人》調查結果發現,成功導入BS7799並獲得驗證的企業,在過程中遭遇的困難有下列幾點:50%出現跨部門協調的問題、50%認為在方便與安全之間的拿捏不易、33%認為系統與現有文化、制度存有落差,另外25%則徘徊在設備、人力、預算不足的老問題,在其他的選項上,有使用者提到主事者權力不足的問題。回歸這些問題的原點,看出台灣導入BS7799的企業仍對ISMS的精神了解得不夠透徹,不論在導入心態和組織內部調整都不夠完整,以致於有心執行卻後繼無力。針對上述問題,BSi口中的模範企業—臺灣集中保管結算所資訊規劃部經理蔡正裕分享經驗(合併原臺灣證券集中保管公司及原台灣票券集中保管結算公司),他表示集保導入的成功在於企業文化安全第一,所以早在ISMS這個名詞正式出現前,就曾經參考BS7799進行相關的安全,加上原先就面對相當多的檢核工作,不論是金管會、行政院、每半年委託顧問進行的外部稽核、驗證每半年的定期檢驗、加上內部稽核室的檢查等,累積下來,安全認知已經深入每位員工的骨子裡,他們都能明白安全是公司的最高宗旨,為達目標願意犧牲某種程度的不方便,ISMS的遵循上未曾有過任何問題,也慶幸至今沒有外洩任何客戶資料的紀錄。

  當然,不是每一家單位的執行情況都如此樂觀、有經驗。BSi英國標準協會台灣分公司協理蒲樹盛認為,導入BS7799之所以辛苦最大的主因在於「習慣的改變」,因此,實踐這套制度的要點就是程序明確、事前充分的溝通、最後才談到落實。不過,在此之前功課要做足、心態要正確,並在初期管理的變革上提出作法,就可以大幅減緩新制度帶來的衝擊。宏瞻資訊顧問服務處協理張美月也表示,追究使用者提出來的困難,她認為問題出在導入單位並未通盤地了解ISMS。如果一開始就確實地做好風險評鑑,清楚地掌握企業存在的風險,並評估出需求人力、金錢去執行資訊安全工作及下一步要做的工作等,這些問題存在的可能性就會非常低。怕就怕在導入的過程,企業投入的人力不夠,依賴顧問提供的服務來拿到驗證,在內部人員參與度不深的情形下,造成顧問一走,後續執行容易出現問題。除了上述問題,使用者也提到ISMS導入範圍對後續發展的影響,不願具名的資訊單位主管表示,當初因顧問成功地說服高層而導入ISMS,不過,當時通過驗證的範圍太小,以至於很難看出其對公司業務面的綜效,加上缺乏ISMS的專責人員,兼任人員無法專注資安工作,執行成效上多少會打折,所以當高層主管異動時,新任主管不願意支持這套系統更新到最新版本,甚至擴大導入範圍,ISMS就在缺乏高層支持的情況下,無法持續改善企業資安管理。這種情況很像在做身體檢查,因為擔心精密的測量儀器會找出很多毛病,不但心裡難過還要花錢治療,逃避心理,乾脆找手指頭來做檢查,報告顯示手指頭是健康的,就自欺欺人說自己的身體很健康。說得更明白一點,ISMS侷限在小範圍的圈圈裡,就不能實際擴大影響範圍,對企業整體資安帶來幫助,並回收當初的投資。

  針對企業通過驗證範圍太小的情況, SGS國際驗證服務部副理呂敏誠特別提醒有心導入的企業,假若在金錢、人力及時間的壓力下,為降低拿下驗證的變數而出此下策,以致於導入ISMS範圍過小、甚至不含核心業務時,正派經營的驗證公司大多拒絕這類稽核業務的請託,呂敏誠表示,企業通過驗證的範圍可以不用太貪心,但務必囊括核心業務。舉例來說,就像醫院要求驗證無關緊要的門禁系統,而非事關人命的醫療系統的笑話般,諸如此類的請託,就算台灣分公司勉強接下,送回總公司後一樣會被退件。《資安人》也要在此提醒,雖然導入範圍可以在之後擴大影響層面,不過卻可能因為當時考慮的廣度不周,在日後的擴大過程出現困難,特別是跨部門溝通失調的狀況。提醒企業,切勿陷入ISMS導入範圍與花費金額畫上等號的迷思,辦法是活的,預算有限的企業仍可將最為核心關鍵的業務交由顧問來做,確保這部份的工作沒有問題,至於次要業務則在內部人力外派接受教育訓練後自己做(尤其現在相關教育訓練課程選擇多元),亦不失「把錢花在刀口」的另一種變通。假若驗證範圍的業務出現變更或新增時,資安管理人員亦可不必過分擔憂,可利用內部教育或相關業務人員討論的方式,找出共同遵循ISMS的辦法,為確保辦法的效力,至少再花半年時間利用內稽的方式作程序確認,假如擔憂的是接受外部第三方公正的稽核時成效不佳,可提前向驗證單位諮詢專業意見。

高層主管支持

  在成功導入的關鍵上,有高達75%的調查對象都表示長官(公司)支持非常重要,而成立跨部門的工作小組及管理上已有基礎都有高達42%的比例,而25%則認為導入前(了解系統精神)準備工作充分、另外有8%為教育訓練和部份工作委外。毋庸贅述,回溯過去資安人與成功案例接觸的經驗,幾乎每一家使用者都力捧高層主管支持的重要。凌群電腦產品事業群資深顧問朱保全即認為,只要導入ISMS的規劃獲得總經理全力支持,人力或金錢不足的問題都容易解決。蒲樹盛認為,企業如果希望BS7799導入的過程裡,可以拿到一張漂亮的成績,取得高層共識是絕對必要的,有了高層的支持,擬訂出來的政策才能拿來要求相關人員遵從。根據過去的經驗,他另外建議BS7799的專案由總經理室或企劃部門來主導,負責跨部門協調溝通事宜,不要由IT部門主導較為適合,尤其IT在企業內部扮演的角色大多非生產單位,有時候說話不夠力。舉日本例子來說,導入工程通常由品質部、安全部等來指揮。

  根據ISMS在台灣發展的情況,張美月也認為,做資安如果由一位重視資安的上層主管站出來要求,ISMS的執行情況自然會比較好。因為ISMS的導入工作多由資訊部門負責,雖然導入範圍可能侷限在資訊部門,但資訊部門的業務囊括內部或外部客戶的需求,因此做ISMS時,勢必得和其他平行部門進行溝通與協調,當然,最好內部已經有協調跨部門溝通的常設單位,或者資訊部門必須要經常利用機會與各部門建立良好的互動。除了這一個方式,建華銀行資訊處襄理謝持恆建議,在資訊部門應該要有一個固定窗口和其他部會溝通,舉例來說,公司內部室內裝潢時,線路如果沒有處理好,可能會影響到資訊室系統的運作,資訊部門需要和行政單位溝通這方面應注意的安全觀念,又比如說,出現不肖人士仿造公司網站進行釣魚,影響公司的聲譽,資訊部門必須主動支會法務部門,向他們解釋什麼是釣魚,讓法務部門去注意這件事並找出哪些法律條文可以保障公司的利益。如果希望一開始就先打好底,他認為最好導入ISMS時,就把相關的業務人員拉進來(如人事、稽核、行政、法務等),藉機讓他們瞭解什麼是資訊安全、什麼是ISMS,與他們相關的業務在哪裡?呂敏誠補充,這段溝通時間讓各種不同的聲音出來很重要,無論是設定窗口溝通、定期會議討論、或是架論壇的方式都好,時間最好不要過度壓縮以凝聚共識。比如說,共同討論非計畫性斷線容許的時間、計畫性斷線容許的程度、預期系統當機要花多少時間恢復等可量化的資安目標。

持續改善,各憑功夫

  為達系統導入目的,在導入後的持續改善上,各有50%採定期稽核及持續BS7799作業規劃、而教育訓練佔42%、另外專責人員(團隊)作資安佔33%、而參加活動,補充新知則佔8%。不論你選擇的方式為何,沒有絕對的對錯與好壞,斟酌組織現況及特性挑選最適合的辦法。就稽核工作來說,不論是內部執行或委託外部單位,都能幫助你找出問題,再斟酌面對的風險加以改善。舉集保例子來說,每年大大小小的稽核加起來,平均一星期就一次,密集地為他們檢測安全程度夠不夠,哪些不夠需要設法改善。對於預算有限的企業,呂敏誠表示,可以要求各部門填完資訊部門設計的自我評量表,依據自我評量表找出哪些特定部門的風險偏高,然後透過內部稽核的方式加以改善。另外,教育訓練也是企業們偏好的進行方式之一,一方面其成本上的花費最精省外,另一方面利用恰當的方式與員工溝通資安認知,並讓他們了解配合ISMS作業對工作上的效益,這些課程無論針對技術人員或一般職員,通常在教育訓練後,都可以看到員工在資安工作的參與上明顯地成長。

  那麼企業是否真的有必要設立資安專責人員(團隊),蒲樹盛認為,通常是大型或跨國企業,比較需要專職部門規劃資安政策,否則就台灣中小企業型態為主的環境(甚至連分公司都沒有)來說,可針對ISMS成立高層支持的任務小組,負責聯絡溝通的事宜。誠如謝持恆所言,通過驗證不過就是取得資訊安全的入場券,因此負責維運這套系統的權責單位,當然不只單純地跨部門聯繫,必須有能耐思BS7799在企業內如何持續地運行,不論在流程、系統、甚至擴展至全公司的計畫,都應該列出問題,排出先後,然後找出解決方案,如希望強化人員參與,就應該設定獎懲的績效指標,並依據報表鼓勵表現好並警戒違例多的,有賞有罰執行ISMS才會有績效。

從細節看見執行力

  在導入BS7799滿意度上,有25%表示非常滿意,75%則為滿意。受訪者對這項問題皆呈現正面反應,顯示這套系統確實滿足大多數企業的需求。謝持恆表示,ISMS這套系統談論範圍比較寬廣,對必須遵循各類法規的金融業來說,再也不用追著法規跑,現在無論這些法規怎麼調整,都已經囊括在ISMS架構裡。不過,這並不代表ISMS完美無暇,ISMS的廣度有餘,深度卻不足。如同美國普渡大學電腦操作、稽核暨科技安全部門主管Gene Spafford所發表的觀點,ISMS不能讓企業達到100%的安全。Gene表示,他經常解決一個風險,卻創造出另一個新的風險。舉例來說,兩家不同的公司具有同類型的風險,然而因為兩家公司的可接受度不同,因此他們所選出來的控制措施也會有所不同。所以企業必須了解做資訊安全的動機、目標在哪裡,如果所做的所有努力無法達到目標,則所做的事情都是無用的。安信信用卡資訊處協理胡文騰也舉例,系統穩定度經常受IT人員流失而下降,為彌補這一塊的安全性,安信的作法是嚴格規範使用者,需經UAT (User Acceptance Testing) 的驗證,方可上線,並參考每次事件的經驗,進行個案研究,從中找出有效的預防措施。導入BS7799後,明確的政策、辦法都已經訂出來了,期盼看到執行成果更為精準的建華銀行,目前正準備系統操作或事件處理的SOP範本,視情況要求負責人員填寫,再讓其他人員確認理解上有無其他問題,以協助職務交接或職務代理人員迅速地上手不熟悉的工作,改善管理深度不足的缺陷。一言以敝之,在ISMS導入後,有賴主導者持續地觀察及推動,細節的調整對持續的改善將有出人意表的收穫。

  在此呼籲, 所有即將導入及已取得驗證的單位要記住「通過BS7799是個開端而不是結束」。

 ISMS發展演進史

1992 世界經濟開發組織(OECD)資訊安全指導方針 1992
             年11月26日
1995 英國公佈BS 7799 Part1
1995 英國公佈BS 7799 Part2
1998 瑞典成立LIS專案
1999 新版英國標準BS 7799 Part1&2發行
1999 瑞典SS 62 77 99 Part1&2發行
2000 挪威成立7799BD專案(2001年正式發行)
2000 提交ISO組織討論(ISO DIS 17799)
2000 12月正式成為ISO17799標準 2000年12月1日
2002 9月正式公佈BS 7799-2:2002
2005 ISO17799:2005 2005年6月15日改版
2005 ISO27001:2005 2005年10月15日發行

成功導入的關鍵因素
1.反映企業營運目標的安全政策

  組織資安管理系統一定會先訂政策,首先,政策一定要與營運目標相結合。很多組織訂政策的方式是:未經深思熟慮就做,或人家怎麼做就怎麼做,其實這都是錯誤的。

  要再三提醒,政策一定得由高層或管理階層來訂。在制定政策時不僅要讓各部門的主管都涉入其中,公司的最高管理階層也一定要包含在內。身為資訊安全負責人員一定要用一些方法,讓自己提出的做法獲得管理階層的支持,並盡可能取得可利用的資源。

2.建立與組織文化一致的安全實施方法

  這是非常實際的重點。因為每個組織文化不同,其推行ISMS的方法也不能概一而論。如果是很重視「人」的組織,則承辦單位要想辦法讓人主動參與。

3.管理階層明顯的支持與承諾

  這是非常重要的一點。管理階層口頭上的承諾是不夠的,而是要他們能真正體會、並實際支持。重要的是要教管理階層「怎麼做」,例如參與開會、並親身參與過程。

4. 對安全要求、風險評鑑與風險管理的清楚了解

  同仁是需要被教育的,而教育訓練是最有效的方法。只要用了對的方式,讓員工「深有同感」,改變他們的思考,進而改變他們的行為。推動小組的負責人要苦口婆心地教導員工,讓他們知其然、並知其所以然。

5. 有效地將安全概念灌輸給所有的管理者與員工

  本來安全就是不具體的概念,每一個人對於安全的要求也都不同,如何要將安全的概念傳輸給員工,同時包括高階管理人員。事實上這樣的動作並不僅侷限於認證階段,這是一項持續性的工作。對於各種資安事件,不光只是與員工傳遞這件事情,重要的是要將產業特性及組織文化一併帶到個案中,與同仁進行分享。另外要記得用對方的語言,讓管理者與員工確實了解事件的重要性,如此才能將安全的概念在組織內傳播。

6. 將資訊安全政策與標準的指南分發給

  所有的員工與承包商要預防事件的發生損及公司營業額及商譽,須把組織對安全的要求、規則詳細寫出來,並在合約中明文要求承包商遵守這些規定。其規定的內容可以巨細靡遺,例如承包商的工作人員須經過組織的同意才能進入公司、工作人員不得隨意更換、人員要經過哪些篩審、人員要經過多少小時的訓練等,只要是跟對方會有互動、關聯的,就將它寫下來。可以參考標準建議的內容,將它寫在合約中。合約中若寫不了那麼細,就寫在附約中,提供一個完整、良好的指南。

7.提供適當的訓練與教育

  訓練與教育很重要,但要用對方法,因為資安從很多方面來講是很枯燥的,如果你用很枯燥的方式來講枯燥的事,當然會沒有效果。可以從「如何去講,員工才會對資安有感覺」的觀點切入。教育訓練強調的是它的有效性,時間並不一定要多。建議應該先排時程,並安排預算,照計劃施行,會比較有效。

8. 均衡的綜合系統測量,用於評估資訊

  安全管理的表現及做為改善的反應意見必須要靠量測系統來評估自己的表現對不對、效果好不好。量測時可以由自己或由他人檢查,看前面所做的所有步驟是否得到效果。這個步驟很重要,因為無效並不是最糟的狀況,最怕的是還產生副作用,甚至一錯再錯。推行的計劃到某一個程度時要經量測,簡單方式就是設立一些衡量指標,建立KPI(Key Performance Indicator)。這些量測結果還有一個很重要的功能,就是能用最簡單易懂的方式,告訴老闆做資訊安全能帶來什麼效益,進而說服他在這方面投入人力與經費,否則老闆不了解,資訊安全將無法持續推行。