https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

英國CISO經驗分享 家家設有CISO 資訊安全成為全民運動

2005 / 09 / 05
王婷儀
英國CISO經驗分享 家家設有CISO 資訊安全成為全民運動

英國,不論在歷史文化、民主意識、科技發展、甚至人文氣質等各分面的發展在世界上都有令人稱羨的成績;在科技發展上,另一項產業正和美國互較全球龍頭寶座,在台灣,雖屬較弱勢產業,但這幾年來,在全球恐怖攻擊事件頻傳及有心人士的推動下,受到越來越多人矚目,它就是安防。英國發達的安防產業源自內部潛伏蠢蠢欲動,隨時都可能發動攻擊的激進份子,包括北愛爾蘭組織、C18、白色閃電、白狐及這次在英國地鐵放置炸彈的回教組織等,在錯縱複雜歷史的牽扯下,英國政府及企業對「安全」的考量遠高於其他國家,促成安全產業蓬勃的生機。這十年來,數位化的趨勢,他們已在這幾年開始從資訊角度思索安全。


法令與觀念 加速CISO的催生
隨著資訊產業飛快地成長,技術發展日趨成熟,敏銳地嗅覺,英國政府開始針對數位資訊推出相關計劃及政策。如1994年,已經動手執行電子化政府相關的專案,他們預計在今年底英國政府機構的服務網站就可以全面開通。在2000年5月時,英國政府更通過電子通信法案,確定電子簽名和其他電子證書在法院審判中可以作為證據使用,並授權政府部門修改資訊使用的法令,其中允許電子簽名的使用、承認電子支付的合法性、及電子商務的應用。在政府的推廣下,公文及商務E化的普及很快的,資訊安全迅速成為產業與企業間討論的熱門話題。不論商務或公文E化,資訊流量及環境日趨繁雜的的情況下,公司上上下下從文件、報表及器材的數位化、在在都突顯一名專業的資訊人員在流程上管控對企業的重要性。


除此之外,英國民主觀念相當發達,對於人權的重視不在話下,舉例來說,公共場合裝設監視攝影機時,必須有清楚公告此處裝設攝影機,若未盡告知義務,將有可能遭民眾告發。由於每一位國民對於個人資料的保護相當重視,所以當局也制定一套嚴格的法令保障個人隱私,其中規定保有個人機關若未善盡保管義務,將科以重罰,各公司就在數位化的普及與善盡個人資料保管的前提下,英國不論公司型態或規模大小,幾乎沒有一家公司沒有CISO(資安長)。CISO執掌企業資訊流程管理、擬定合於企業營運與文化的資訊政策、及需求軟硬體設備的配置與維護等。在英國電腦鑑識顧問公司Intelligent Forensics Limited擔任資安長的賴左罕提供他的經驗,他認為每家公司的特性不一,針對需求分設不同職能的執行長,每位執行長將依其專業強化公司競爭力。舉例來說,一個公司CISO在人員晉用上,應和人事部事先溝通,針對安全性上,確認人員的背景資料,是否在過去職場上犯下重大過失,操守問題,甚至有前科紀錄。這項例子說明的是,CISO必須針對其職掌和各部門溝通,要如何做才能符合公司的資安政策。再舉個例子說明,比如在業務部的合約裡,CISO必須審閱合約內容是否列有保障公司資訊安全基本權利的條款,並明訂罰則;透過與各部門的協調,溝通其資安需求,建立公司最基本的資安防護網。


一般對CSO和CISO的執掌有所混淆,尤其針對字面意義,其實兩者的同質性相當高,但還是具相當的差異性,其關鍵在看企業如何切割安全與資訊安全,大致上依關連性切割執掌。舉例來說,假設建築失火,就設備來看,和CSO有關;如大樓失火源自伺服器電壓不足,其資訊設備就與CISO有關。各公司執行長工作其實是相互配合的,再舉一個例子來說,機房只開放門禁給公司內部三個人自由進出,此時CISO就該和CSO協調這項規定的設定。


中小企業CISO的職能與職掌
英國從政府到民間,從民眾再到群眾,沒有對資訊安全不持高度關心,所以CISO的設立相當普及,賴左罕提到工作範圍,大致上涵括政策(擬定安全性政策、政策推行、人員管控)、設備(建置公司需要環境、確認設備有無問題、設備維護、不需要資料加以毀損、安全性產品審核)、教育訓練(諮詢建議、教育訓練課程安排)與危機處理等。其中,最花費時間的就是網路基本設備的確認,例行且看似無聊的工作,其運轉情況是否正常對資安工作卻非常重要。舉例來說,公司資料雖未直接與外部網際網路相連,卻須開放公司內部網路使用,間接有可能對安全性產生威脅。在公司營運與降低威脅上的取捨,CISO要做的除了設定一些安全措施,下一步能做的就在確認設備,確認最主要的功能在將無可避免的安全風險降至最低。在管理技巧上面,他承認對公司的安全政策必須因地制宜,賴左罕舉例,由於服務公司專精於電腦鑑識,每一位員工個個堪稱資訊技術專家,安全的控制措施上不便執行,只能站在信任職員的立場,否則當員工發現CISO正以懷疑的角度測試他們對資訊政策的遵從或對公司的忠誠度時,反將招致員工不滿,以他的角色,只能詳細蒐集資訊紀錄。


結語
在賴左罕與我們的分享中,發現我國對於資訊安全上還有相當的進步空間。國情不同,當然許多狀況是無法完全比較。唯一可以確定的是,政府推行的政策與法令對人民具相當程度影響,要推動每一位網路使用者對資訊安全的重視,可從強化個資法上的規範開始,尤其這幾年來,個人資料氾濫的程度幾近隨手可得,一套完善的法令建立,不但可以免於個人資料遭受非法利用,同時引起全民對資訊安全的重視,企業在保管個人資料時也將更為小心。