導入資訊安全管理體系(Information Security Management Systems, ISMS)或BS7799或我國的CNS17799與CNS17800等相關的資訊安全認證,似乎成為國內資訊業界與安控議題的顯學。由坊間諸項討論與研究,可以發現有相當多的篇幅集中在資訊科技的探討,或使用不同的資訊科技來填補資訊安全可能造成的弱點,但是在筆者的經驗中,目前諸般國際標準描繪良善資訊安全實務只能算是"樂土" - 一個完整實施後,有較高的資訊安全風險管理水平的狀態的理想境界。
弔詭處在於國內大多數的產業,只要有心導入ISMS,都與國際標準規範所描述的情境有一段不小的差距,因此導入ISMS的挑戰在於明確的點出由現狀到達理想境界的"可行路徑"。這期間還要考量導入機構的種種配合因素,畢竟企業經營環境瞬息萬變,導入過程出現的各種可能變動,俱應該作好事前的專案規劃,並加以掌握。
筆者所在之團隊有幸參與過國內8家各類不同產業的資訊安全管理體系的輔導與建置的規劃與協助,期間發現幾個關鍵點會高度影響整體導入過程的投入,與整體風險管理體系的品質,並藉此分享幾個具典範性之專案及其成功要素。
先管理系統後資訊安全
導入任何有效的管理體系,其實與組織再造(Process Reengineering)的精神並無差異,都要對組織任務編組/技能/專長與資源投入進行分析與支配。因此用電腦技術的眼光來看待資訊安全管理,僅能描述事實的某一部分,如同許多曾導入ISO-9000系列認證的先進所言,導入管理體系是玩真的或玩假的,因此導入管理機制存有很多原來管理就會遭遇到的問題,例如一樣的控管目標,選擇甚麼樣的途徑或手段,這是一個企業文化的議題,而不是科技方面的議題。
因此早先於北美導入的資訊安全管理成功範例,如杜邦、花旗銀行、P&G,處理資訊安全管理的角度都是把此任務視為管理改善的一環,用適當的績效指標間度與溝通。因此以IT或系統整合公司作為資訊安全管理的主要角色,都會犯下把資訊安全管理當成資訊技術安全處理的缺陷,於是設計出來的機制是科技使用為主,企業效能為輔。
此類機制面對的挑戰是 : 管理體系的有效度(Effectiveness),甚或可否永續進行。尤其制度的設計有一個目的是長治久安,因此技能的傳授,與顧問協助建構或自行建構,其策略一定有所不同。如果認證成為改善資訊安全管理的唯一目標,或進行資訊安全專案規劃中唯一的效益,則對建構運作順暢的資訊安全目標而言,算是失敗了一半。
Do right things right
由資訊技術監理(IT Governance)的角度來看,套一句Peter Drucker的名言, 管理就是用正確的方式作對事 (Do right things right). 目前國內多數看待資訊安全管理的角度多半在克服資訊技術的障礙,可是就筆者團隊處理資訊安全相關的經驗,75%的資訊安全風險來源來自於人員的認知與作業流程的不銜接;10%是對電腦技術(非資訊科技)的使用不正確,甚至迷信電腦技術是萬能的;甚下的15%才是電腦技術的問題。
因此決定導入資訊安全的策略目標變的非常重要。企業要自問資訊安全如果作的不好喪失的是競爭力、還是單純的財務、或商譽損失。不過不論為何者,風險的發生受衝擊者,都應該架構在商業營運的角度下來衡量,而不是電腦技術的弱點。
風險永遠在經營面呈現
國內諸多資訊安全管理相關報導之討論,常偏重於系統的弱點,並以其發生的可能(機率)作為風險高低的依據。但以BSi英國顧問對執行認證稽核時的建議:「要有該產業專家參與最好。」此種思維適足以反映以系統為風險結果而非風險來源的思考,會糢糊風險管理焦點。如同Y2K危機時的因應處理,電腦系統為風險之來源,但營運面的衝擊才是計算風險大小之處,與權衡如風險控管之資源多寡的指標。
以較著名的SQL Worm (SQL Slammer)來說,其風險之來源為資料庫系統運作效能之威脅(Availability),將資源投入SQL Worm之防禦絕對是針對風險來源進行治標之做法,因為繼Code Red DOS攻擊之後,網路上各類蠕蟲氾濫,其破壞型態多元也難以100%完全掌握。因此其風險發生之衝擊在於資訊資產本身,及資料庫運作之服務效能與資料庫本身,如果此資料庫為對外營運所用,則其風險為對客戶履約之風險,因此選擇的控管方式可能建置系統之H.A方案或適當的BCP 來解決。但此類的風險之高低和資料庫管理不良,造成系統效能下降可能形成之衝擊類似,惟其控管改善的方式不同而已。
依據英國經濟學人所提出的企業經營之風險藍圖,以Environmental / Operations / Information Processing / Integrity / Financial 等風險俱為資訊安全可能影響之風險衝擊點。如果風險之來源可導置上數之風險衝擊,則選擇適當之控管當屬必要,所以企業可以參酌ISO17799 / COBIT / ISO 13335 等等控制的典範實務 (Best Practice) ,進行降低風險來源,轉移風險衝擊,因應與掌控風險衝擊等各類風險管理之技巧來降低資訊安全之風險衝擊。
上上策為建構良善的風險管理體系
多數情況下,建構資訊安全控管會變成資訊安全人員的主要任務,但如果身為資訊安全的經理人員,可能著重的眼光要放在更高之處。以北美ISACA統計,企業主對資訊安全經理人員的期待,更重視其1.危機處理與2.運行管理功能與3.評估資訊安全績效等三項主要任務。
筆者在服務某電信業客戶時,於專案開發之初,其資訊長最關心者依序為:資訊安全的績效指標,資訊安全因應與處理的能力與標準方式,安全控管可否成為日常作業的內涵以及如何讓資訊安全品質與時俱進。在後來諸多專案中,此種思維不斷出現在不同企業主或資訊長/稽核長的叮囑中,另外針對手控財務大權的企業財務主管,相對於網路安全,更重視營運應用系統(Business Application的正確性與權限劃分,因此我們發現,要把資訊安全轉化成為管理面的議題才有辦法在企業內部生根。
以筆者團隊之經驗,越高層級之企業經理人員越重視第一項/第五項/第六項能力(由於與企業營運的核心競爭力相關),但這恰與國內報章描述之投入資訊安全管理時,重視資訊安全技術的資本投入之重點,大相逕庭。
也由於沒有100%的資訊安全這樣的認知,因此資訊安全的重點在於進行風險管制,以進行降低風險來源,轉移風險衝擊,因應與掌控風險衝擊等各類風險管理之技巧來降低資訊安全之風險衝擊。
導入案例分享
某金融業
隨著網際網路的高度發展,網路銀行服務之成本最低,其綜效也最高,成為不可忽視之趨勢。該銀行有鑑於此,早己積極推動網路銀行相關建置工作,並設置專人負責網際網路安全控管工作。
然而,基於網際網路資訊技術日新月異,提供客戶之網路服務亦急速增加,該行認為有必要諮詢外部顧問已提高安全控管之能量;經與該行總稽核、資訊處處長及安全業管襄理討論後,筆者之團隊建議針對資訊系統本身與安全控管之有效性,進行全盤風險評估之作業,並藉由系統化之資訊安全風險分析,提出下列服務規劃,經反覆協商後,確認資訊安全的策略要務順序如下:
* 確保網際網路交易之有效性與完整性,不致因資訊安全遭受內部或外部破壞以致影響客戶資料之保護與交易資料之正確性
* 針對網路銀行系統,進行資訊安全風險分析,以確定因預算因素限制下,投入安全控管機制的優先順序。
* 針對不同之作業單位,建置該行一致遵行『資訊安全政策』,避免令出多門。
* 確保顧問團隊完成任務撤出後,相關資訊安全技能的持續擁有。
* 針對可能發生之安全意外事件,建立『資訊安全事件因應機制』。
* 稽核的電腦安全控管稽核能力(並非管理體系稽核) 。
筆者之團隊詳列銀行交易環境中所有可能發生之各種各樣類型的風險,再依次加入各類金融技術參入時可能之衝擊,來展開該行的相關風險性資訊資產評估,這保証我們在評估資訊技術風險時,完全根據企業營運角度與前景來執行,亦可確定風險來源和影響程度。
除了為企業創造一種共通的語言來討論風險,並且決定不同等級之可接受的風險水平。唯有風險被認完整評估與了解之後,確實有效的資訊安全技術或解決方案才能被適當評估並且導入實現。因此整體資訊安全風險評估工作,成功地分析出該行網際網路環境中之風險點,並且契合營運角度,規劃出未來改善之短、中、長期行動方案。
平心而論,由於金融機構為國內相對來說為最重視安全控管之產業,因此在建構員工資訊安全認知與文化上,幾乎遇到之組織抗拒最低。因為安全控管與績效恰巧在企業經營資源分配天平的兩端,所以過度的控管或失之鬆散才是我們導入本專案費盡思量所避免的,加上改造資訊安全管理機制時,所造成的部分組織任務調整,也回到典型組織變革的"辦公室政治"挑戰,對於管理權限與責任的歸屬,所幸筆者借鏡國外之做法,使用變革管理(Change Enablement)的方式加以克服,否則恐怕專案會投入相當多時間於人員的說服與解釋。
某電信業
自民國87年政府開放電信業民營化以來,各項電信業務之成長速度不斷地打破記錄,尤以行動電話之持有率直逼全球第一令人咋舌。
國內外電信業者無不覬覦台灣市場之大餅,自早期之通話率、通話品質等通信技術上之競爭,以至透過行銷手段或削價競爭,早已不足以維持現有競爭力,有效顧客之慰留率成為決定現今電信業者優勝劣敗的關鍵,服務品質及企業形象即首當其衝,如固網業者在Last Mile之服務品質即為兵家必爭之地,在導入資訊安全管理體系前,必須全公司由上而下對電信產業特性有所體認,始可充分明瞭ISMS導入與公司策略目標緊密結合的關係,才不致落至不知為何而戰之迷惘中。
服務品質於服務業原本就是崇高不可侵犯,因此該客戶將以帳務處理及個人資料保護之角度,說明導入資訊安全管理體系之關鍵成功因素,俾使讀者明瞭電信產業於服務品質上與資訊安全攸關之處。
絕大多數的人可能認為像通話記錄這樣如同天文數字般之筆數,只要有強大之高速電腦即可迎刃而解。然而直至今日,台灣各電信業者之帳務處理皆已步入軌道,但每臨出帳日,所有帳務人員仍是戰戰兢兢、如履薄冰,因為帳務中心可說是電信後勤單位之中樞神經,而計費系統更是直接牽動著銷貨收入,綜觀國外案例,為數可觀之集體求償金額或是舞弊案件,可能讓業主聞風喪膽,帳務處理之正確與完整之標準,自然遠高於一般產業,更是電信業導入資訊安全管理體系極其重要的一環。
電信業者基於收款、法令之要求或行銷調查之必要,往往需完整蒐集消費者個人主要資訊,從特約店、直營店、客服中心、計費單位、資訊系統後勤支援單位,乃至交換機中心,處處充斥者為數可觀的個人資訊,包括身份證字號、銀行自動轉帳或信用卡請款資訊、手機通聯紀錄、戶籍資料,凡此種種,倘遭不法之徒利用,後果必不堪設想。
保護客戶之個人資料,不但是企業不可推卸之責任,且於法有據,行政院研考會所發佈之「電腦處理個人資料保護法」已明白對他人之個人資料之使用有所設限。電信業者在擁有可觀筆數之資訊中,應適當地保存、處理、傳遞以避免資料遭不當外洩,且應使員工充分瞭解保護經手資訊之重要性,以避免誤觸法網。客戶個人資料的保護可能無法讓消費者直接感受到重要性,但由國外不少案例來看,對業者卻往往是致命的一擊,因其影響之深已不是單純法律問題,而已嚴重危及企業形象。
凡變革管理之成功,必須匯集相關人員由上而下之瞭解與支持,尤其組織或人員之異動在所難免,單憑顧問於專案期間之努力自然是不足的,唯有高層乃至第一線之人員有此覺醒,透過不斷之檢討及改進之流程,始能達到專案之成功,電信業者更是不例外,筆者不厭其煩地為各單位舉行教育訓練,於各項訪談中,亦不斷灌輸該電信業者所有人員相關資訊安全之觀念,當我們發現,即使是一般使用者也能提出增進資訊安全建議時,這才是資訊安全體系所能得到的最大效益。
以成功關鍵而論,由於筆者服務的公司,對於電信產業的上下游知識的掌握度極佳,不僅有完整的產業domain know how知識庫,加上參與顧問多有各類型電信業的實務經驗,因此再面對這個新興產業的員工時,相當能融入該電信公司的文化,並用共通語言(Common Language)來溝通。
再者,該公司希望能夠於建構ISMS時具體描繪整個安全控管體系的進程,該公司的高級主管也不願因跳躍式的前進,造成組織工作量的大幅增加,所以筆者的團隊必須與專案小組協商可能的衡量指標,並必須與時間指標加以配合。所幸在歐美已有相當多國家針對所謂Information Security Scorecard有明確的說明,美國之CERT組織,亦有所謂之「資訊安全能力成熟度模式」之設計,因此針對不同作業部門,我們設計了不同的達到進程,並以之為投入後續資訊安全預算的參考。
建置資訊安全管理體系的變革模型
筆者服務之公司,於訓練所有資訊風險顧問時,使用一個變革模型,來提醒專案團隊,進行資訊安全專案時,人員/流程/科技永遠是影響企業對資訊風險的主要來源,因此所有的工作規劃執行,都必須與此模型的要素來配合,所以導入資訊安全管理的關鍵成功要素可以說盡在此中。