建構資訊安全管理系統

無論是駭客事件、電子交易缺口或是祝融之災，都是企業經營的潛在風險，管理大師彼得杜拉克(Peter F. Drucker)曾說：「經營一個企業，若想完全避免風險是不可能的。」於是如何降低風險、分散風險、管理風險就顯得格外重要，因為，唯有降低風險，才能確保利潤！

資訊安全防護的生命週期

圖一

1.評估

對於不同組織、不同文化、不同的產業特性，自然面臨不同程度的資訊威脅，評估的階段，主要協助蒐集適當的資訊，作為資訊安全管理系統的基調。

2.設計

資訊安全管理的推動，如何銜接管理目標與技術控制是重要的關鍵，透過設計階段，才能落實管理目標的要求。

3.建構

將管理目標落實到實際的日常管理、變異管理與異常處理是管理系統最大的工程，透過完善的發展規劃，將有助於建構時的順利推展。


4.維護

由於風險的來源與風險的發生機率隨時在變，企業本身的資訊系統也不斷成長，透過定期的稽核、安全政策的探討調整，才能確保相關管理與防護機制是否能符合企業的現況需求。

蒐集充足的決策資訊
在構築企業的安全架構（如圖二）時，首要目標莫過於建構資訊安全政策，而要建立一套適合企業共同遵行的安全政策，就有賴一連串的評估過程。企業組織營運方針與作業流程是優先該被考慮的，組織的運作，必然基於營運的目標與方針，依循著這樣的方針願景，自然拓展出企業資訊系統的發展策略，既然資訊安全政策的目的，在於為企業的資訊資產，建構出一套風險管理的機制，共同構築防護、承擔風險，資訊安全政策的評估，自然應該以企業組織營運方針與作業流程為出發、以企業資訊系統的發展策略及資訊技術為體，評估各項現有或預計發展的資訊資產所面臨之風險。

圖二

1.安全政策

就像ISO品質文件一樣，資訊安全政策以管理階層的目標聲明為主體，宣示組織整體對於資訊安全的願景方針與承諾，勾勒安全政策的適用範圍，並責成資訊安全組織，以落實資訊安全的相關活動，並對於各部門之任務指派、責任分工，各項資訊作業的安全基準，建立遵循規範。


依據資訊的安全政策，各單位即可針對安全政策範圍內所負責的領域，建立第二階的管理基準（Standards），這些基準可以包含密碼的管理規範、災害復原程序、系統的日常管理、變更管理、緊急應變處理、系統發展的控制、系統上線的管制、實體的安全、法令的遵行等等，推動小組可以依據組織特性，擬定適當的安全規範，也可以參考例如ISO17799、BS 7799或行政院所屬資訊安全管理要點等相關的資訊安全標準與規範。

2.安全模組


安全模組的建立包含風險的鑑別（Risk Assessment）與資訊資產的分類（Information Classification）兩大活動，它的目的在於將企業資訊資產依據安全政策的基準，對於資訊資產進行價值、威脅、弱點的鑑別，並確立資訊資產的管理者、擁有者、使用者等權責分工。這一連串的風險鑑別過程，除了可以協助決策者掌握各項資訊資產對於企業營運的密切度外，更可以協助檢視資訊安全政策的適當性，並用來作為後續資訊資產安全防護投資的參考基礎，簡單的說，安全模組的建立，可以讓決策者知道哪些系統對公司營運極為重要，應該強化其防護及備援機制，而現行的資訊管理規範，是否存在窒礙難行或過於鬆散之處。

3.安全架構與技術準則


技術與科技的應用，在於協助企業以更經濟快速的方式，達到獲利與管理的要求，許多單位由於資訊系統的需求一再成長，各階段系統主導部門與人員不同，導致各系統的風險與控管程度不一，透過安全模組的建立，各系統的擁有者與管理者取得一個一致的基礎，基於這樣的基礎，得以展開依據各系統價值與安全等級別的不同，共同討論對於各項系統，應該建立各種等級的備份策略、備援機制；應該提供的實體環境防護與控管；使用權限定義原則；系統的維護與操作控管原則；針對不同作業系統、資料庫平台進行安全等級別的系統設定；日常維護時應該保存哪些系統資訊以供緊急應變時參考；提供各系統等級別的監控機制等等。

建構安全防護工程
依據這些安全架構與準則，便可以開始進行企業的資訊安全防護的建構工程，建構的重心涵蓋三大程序：監控程序、作業程序和復原程序。


1.監控程序


由於資訊的風險管理，講求事前的預防與預警，必須從日常作業中，保留充足的資訊，不幸意外狀況發生時，得以作為應變處理的重要決策參考，所以監控程序的重點，在於針對日常的作業，進行相關資訊的蒐集、記錄與稽核，以期掌握資源的使用與法令遵行的狀況，並提供安全事件的預警。

2.執行程序


安全的防護，人是最重要的關鍵，所以建立管理者、作業人員與一般使用者的作業程序，將安全架構與準則的要求，落實到每一份子的日常作業中，關係到企業安全防護的成敗與否。

3.復原程序


風險管理的目的，除了協助降低與規避風險外，更重要的在於一旦事件發生時的應變處理與後續復原。因此，包含資料的備份、回存；企業的永續運作程序；事件的回報程序；入侵事件與病毒事件的處理程序等，都該建立適當的計劃，並定期演練，以期事件發生時，能快速控制問題，防止傷害擴大。


安全管理系統成功的要素
安全管理的推動，需要許多的時間與資源配合，因此，推動一個成功的安全管理系統，最好具備以下四項要素：

1.決策階層的支持

由於安全管理系統的建構，必須投入相當的人力、資源與時間，決策階層的支持，除了資源的運用之外，活動的過程更需要決策階層的支持，且關係到整個管理系統的成敗。


2.安全策略與願景


任何一種管理的活動，都不是一蹴可幾，安全管理亦然，如何逐步推動組織的安全意識與安全管理，是一門高深的藝術，在推動安全管理架構之前，必須先確定安全推動的策略，您可以先以單一部門試行，再逐步推行到整個公司，也可以針對急迫性較高的主題，先行推動，但無論以何種思維，都應該建構出一個完整的藍圖。


3.完整的安全組織

安全組織扮演著安全管理系統的推手，由於安全管理的推行牽涉到各部門或組織業務特性的差異，安全需求亦不相同，所以安全組織的成員，除了資訊部門之外，應該包含安全管理系統適用範圍內的各業務單位與稽核單位，此外，在一連串活動中，難免遭遇立場不同的狀況，因此，安全組織的召集人，建議以決策階層的人員擔任，以作為最後的仲裁者。

4.適當而完整的教育訓練

所謂：不教而殺，謂之虐。在資訊安全管理系統推動的過程中，包含推動小組成員、中高階管理者、系統管理者、資料擁有者、一般使用者等，都必須參與其中，所以在推動的各個階段，如何透過適當的教育訓練，協助各種角色的人員，除了認知自己的安全責任外，也能熟悉如何使自己的日常作業更符合公司的安全要求，並能保持安全的警覺。

接軌全球e化的基石－安全管理系統
企業面臨全球化競爭下，紛紛建構e化策略，安全政策的訂定，來自於威脅的存在，如果企業組織的運作生存，不面臨任何的威脅，那麼自然無須建立任何政策。無論防火牆、入侵偵測系統等，都該是為滿足企業願景及其所面臨之威脅，所應用於不同活動的一項技術或工具，這些設備或工具的導入與部署，均屬於戰術的應用，而一套完整的資訊安全管理系統，才能將企業導入ERP（Enterprise Resource Planning, 企業資源規劃）、CRM（Customer Relationship Management, 客戶關係管理）、EIP（Enterprise Information Portal, 企業資訊入口網站）等資訊系統的價值，維繫在一致的安全防護基準之中，井然有序，不至於使各系統承受的風險陷於一團紊亂，莫衷是一。