文/ 郭偉祥
自從民國九十年元月底行政院院會正式通過將通資訊安全列為未來四年施政重點之一後,在國家資通安全會報與民間業者之努力結果後,國人總算對通資訊安全有更多之認識,漸漸地也開始知道資訊安全的重要性、威脅及影響後果;再加上921地震與美國911事件的影響,國人已普遍具備安全的危機意識。但是國人習慣上總是認為自己不會那麼倒楣,應該不會碰到,遇到時再說。甚至台灣的個人電腦普及率已名列世界前茅,我們日常工作與生活幾乎已離不開電腦,尤其是最普遍的電子郵件更是非常容易遭到中毒事件,或者被駭客入侵,甚至被當作跳板、觸犯法律都還不知道;相信知道嚴重性的人就了解這是多麼可怕的風險。
教育訓練是當務之急因此對於教育、訓練全體國民對資通訊安全之認知,政府機關實責無旁貸,尤其是影響到國家安全與公共安全、人民命財產安全部分更應該加強防範與宣導。雖然目前世界經濟不景氣、政府財政困難,但在缺乏經費預算之困境下,只有教育訓練是最經濟與最實惠的方法。
尤其是對於認識資訊安全與建立資訊安全之觀念,其最直接有效的策略就是借重教育訓練與觀念宣導。例如公元兩千年Y2K電腦年序危機就是政府出錢出力進行教育訓練與推廣,始將傷害降到最低。當時少數不知Y2K危機可怕的人士卻認為根本是商人在危言聳聽。然政府在財政困難下仍願意推動通資安全教育訓練,這是人民的福祉。
資訊安全,人人有責在通資訊安全中,人的角色是最重要的,但一般人卻認為資訊安全是資訊人員的業務與職責,卻不知道「資訊安全,人人有責」,就如同戒嚴時代的「保密防諜,人人有責」一般,即使是未使用電腦者,只要是與資訊有關就離不開資訊安全。
目前政府財政困難,企業界均受世界不景氣與失業率提高之衝擊與影響,多數企業已經面臨生存威脅,哪有時間與金錢來考慮資訊安全?表面上看來好像沒錯,事實上e化革命早已改變競爭優勢與策略,因此網際網路與e化已是必備之基本工具,而且資訊安全是最基本的要求,如果網路交易與通訊無法保障基本安全,馬上就會被世界潮流淘汰,根本無生存空間,甚至內銷市場或者我們的日常生活都是必須依賴網際網路,因此資訊安全更顯得重要。其實具備危機意識之經營者只要接觸並了解這個觀念,相信都會非常支持與重視資訊安全,例如台積電董事長張忠謀就講一句話:「不支持資訊安全者就是與我作對」。畢竟台積電是知名跨國企業,當然知道資訊安全的重要性,相信還有許多企業老闆或者政府官員還不知道資訊安全的重要性。
觀念推廣不能少因此政府機關當務之急的政策就是透過各種媒體、廣告,以及教育訓練,以最簡單與實用之案例讓全國民眾了解資訊安全之重要,例如今年的萬安25號演習已將資通安全納入,但是因時間與成本之關係,對資訊安全的推廣尚未做到全面普及化之階段,建議應可參考因應Y2K危機時,某無線電視公司拍攝某家洗衣粉製造工廠因修改Y2K程式造成停工,一星期損失好幾億的案例,透過電視與媒體不斷的宣傳,讓大家了解其重要性。畢竟寓教於樂、輕鬆愉快的影片教學效果最好,因為資訊安全是最新的觀念與技術,還是有點技術門檻,欠缺資訊基礎與安全背景實不容易瞭解。
加強資訊安全知識與技能簡單實用的影片對高階主管或一般社會大眾非常有用,但這只是入門的認識而已,因為建置資訊安全相關防護設備與工具除了必須增加成本外,更需要相關技術人員控管與維護,否則發揮的功能與績效有限;然而有些人誤以為只要增加設備即可解決一切安全問題,其實企業或單位必須依照其可接受的風險程度來採購安全防護設備,而真正最經濟與實惠的方法就是教育訓練相關的人員;只要加強訓練資訊安全的基本知識與技能就可解決與處理大部分的資訊安全問題。因為統計數據告訴我們,七成以上的資訊安全事件都是因為人的疏忽所造成,因此只要有簡單與實用之教材與工具即可達到經濟實惠之安全績效,尤其是在這麼不景氣的時代下更應該開源節流,將錢花在刀口上。因此身為資安人應該先獲得支持與授權,先後再從一般同仁著手,這樣才會有效果,否則只靠資安人單獨的力量還可能沒開始就先累死。
資訊安全由外部稽核主導?最近曾與負責推動資訊安全的朋友討論目前有關資安推行的情況,筆者有感而發提出以下看法,請參考與指教。政府這兩年大力推動資訊安全政策,許多單位也相當配合。目前國家預算非常窮困,企業也受到不景氣之衝擊,大家還願意花錢來推動真的不容易。資訊安全成功的關鍵要素就是人與觀念及管理,但這一年半來看起來好像是由外部稽核在主導資訊安全政策之趨勢。
目前各企業或政府單位都編列許多經費來培養人才,而教育訓練與人才培育是很好的現象,但個人認為目前以外部稽核角度培養人才是本末導置的行為:在整個資訊安全政策都還沒開始執行與落實、如何管理都不知道,就開始尋找外部稽核之方案,甚至想及早獲得國際認證以證明達到國際安全標準之規模,就如同還不會站就想學跑。
先做好資訊安全建置與管理BS7799已成為ISO17799國際標準認可之標準,標準檢驗局也正努力訂定資訊安全國家標準,但是最重要與最困難的前置作業—如何訂定資訊安全政策?與如何落實?竟然非常欠缺實際的解決方案。很多專家與主管以為花時間與金錢去參加Leader auditor (主任稽核員)課程,考試及格之後除可獲得結業證書,而且就會知道如何推動與執行資訊安全。甚至很多人誤以為這樣就是稽核員,更以為只要憑考試及格之證書就可登錄成為稽核員;其實真正可獲得英國認可之Leader auditor最重要之因素就是必須有豐富的資訊安全管理與實務經驗、熟悉ISO17799的規範與標準、配合稽核經驗,始有能力以第三客觀者之角度協助受稽單位做到合乎資訊安全標準,做好資訊安全。目前我國應該只有一位合格的BS7799 Leader Auditor,因為一般正常情況約需要兩年時間始可獲得正式資格。目前國內欠缺的應該是具有資訊安全實務經驗的專家或顧問而非稽核師。
真正想推動資訊安全政策的單位最欠缺的就是參考範例或可觀摩與學習的實際案例,因此建議想協助各單位做好資訊安全政策之專家,應該依據標準之規範指導與落實資訊安全實務開始,先做好資訊安全建置與管理等基礎建設,再以稽核角度來持續改善才是最確實之做法。
規劃設計簡單與實用之課程因此如何規劃設計簡單與實用之課程,這是非常重要的起步,尤其國內目前具有資訊安全實務經驗的專家與顧問非常少。幸好國家資通安全會報挺身而出,已邀請國內具有資訊安全實務經驗的廠商與專家來協助規劃與設計訓練手冊及教材,相信不久就可開始為政府與企業訓練與培養資訊安全人才,等他們學成後,透過他們的推廣,相信不久就可建立資訊安全之基礎防護措施,以保障我國在世界上之競爭力。
1.觀念入門篇
落實資訊安全就應該從先從觀念入門篇著手,採用最簡單與實際的案例,讓聽得懂中文的人透過影片或簡短的訓練就知道資訊安全的基本觀念與簡單的安全防護,例如金融卡的密碼不可以身分證上的出生日期、身分證字號或電話號碼設定等基本觀念,以及輸入密碼時不要讓別人看到等基本常識。
2.實務應用篇
再來就是所謂的實務應用篇,就是訓練使用電腦與網際網路的人如何配合與落實資訊安全政策及規定。
3.管理篇
接著就是管理篇。依照ISO17799標準來管理資訊安全,這部分應該針對資訊單位或負責資訊安全的人員培養其資安管理專業能力。
4.內部稽核篇
經過建置與管理後已具備安全規模,再來就是內部稽核篇。企業或單位的資訊安全部門就應該先自我審查,並透過第二客觀單位之稽核,以持續改善與確保安全機制。內部稽核人員的培養應以稽核人員或者主管人員為優先。
如因業務需要或法令規定之單位或組織還需透過上級主管單位或第三客觀單位進行所謂的外部稽核,如此運作與推動始合乎ISO17799國際標準之要求。(本文作者為諮安科技顧問)