觀點

建構資訊安全管理系統

2002 / 10 / 23
建構資訊安全管理系統

文 / 普華資安資深顧問李盈德


觀乎近來包含某銀行因擴充分行據點,而遭有心人士鑿牆盜取保險箱中現金,政府部分官方單位網路遭駭客密集攻擊,竊走部分非機密資料達八個月等等安全事件,雖然前者是變更管理的安全事件,後者在於安全警覺所引發的控管問題,然而卻均不約而同的突顯出組織整體安全管理的重要性,更值得組織靜下心來探討,是否存在組織整體適用,並符合業務成長的安全機制。


無論是駭客事件、電子交易缺口或是祝融之災,都是企業經營的潛在風險,管理大師彼得杜拉克(Peter F. Drucker)曾說:「經營一個企業,若想完全避免風險是不可能的。」於是如何降低風險、分散風險、管理風險就顯得格外重要,因為,唯有降低風險,才能確保利潤!

資訊安全防護的生命週期






圖一
由於企業資訊系統的發展,是一個動態的成長,而安全事件的型態,也正悄然地變動,因此資訊安全的防護,並非只是一個專案,而一個動態的循環(如圖一),它包含了:


1.評估

對於不同組織、不同文化、不同的產業特性,自然面臨不同程度的資訊威脅,評估的階段,主要協助蒐集適當的資訊,作為資訊安全管理系統的基調。


2.設計

資訊安全管理的推動,如何銜接管理目標與技術控制是重要的關鍵,透過設計階段,才能落實管理目標的要求。


3.建構

將管理目標落實到實際的日常管理、變異管理與異常處理是管理系統最大的工程,透過完善的發展規劃,將有助於建構時的順利推展。


4.維護

由於風險的來源與風險的發生機率隨時在變,企業本身的資訊系統也不斷成長,透過定期的稽核、安全政策的探討調整,才能確保相關管理與防護機制是否能符合企業的現況需求。

蒐集充足的決策資訊
在構築企業的安全架構(如圖二)時,首要目標莫過於建構資訊安全政策,而要建立一套適合企業共同遵行的安全政策,就有賴一連串的評估過程。企業組織營運方針與作業流程是優先該被考慮的,組織的運作,必然基於營運的目標與方針,依循著這樣的方針願景,自然拓展出企業資訊系統的發展策略,既然資訊安全政策的目的,在於為企業的資訊資產,建構出一套風險管理的機制,共同構築防護、承擔風險,資訊安全政策的評估,自然應該以企業組織營運方針與作業流程為出發、以企業資訊系統的發展策略及資訊技術為體,評估各項現有或預計發展的資訊資產所面臨之風險。






圖二


發展企業安全標竿
評估階段完成後,即可以正式邁向發展階段,發展階段主要任務,在於透過安全政策的擬定,為組織的安全防護訂立基礎,並以此基礎建立各項資訊安全模組,進而建立技術面的使用維護規範,針對本階段的三項主要活動,分別說明如下:


1.安全政策


就像ISO品質文件一樣,資訊安全政策以管理階層的目標聲明為主體,宣示組織整體對於資訊安全的願景方針與承諾,勾勒安全政策的適用範圍,並責成資訊安全組織,以落實資訊安全的相關活動,並對於各部門之任務指派、責任分工,各項資訊作業的安全基準,建立遵循規範。


依據資訊的安全政策,各單位即可針對安全政策範圍內所負責的領域,建立第二階的管理基準(Standards),這些基準可以包含密碼的管理規範、災害復原程序、系統的日常管理、變更管理、緊急應變處理、系統發展的控制、系統上線的管制、實體的安全、法令的遵行等等,推動小組可以依據組織特性,擬定適當的安全規範,也可以參考例如ISO17799、BS 7799或行政院所屬資訊安全管理要點等相關的資訊安全標準與規範。


2.安全模組


安全模組的建立包含風險的鑑別(Risk Assessment)與資訊資產的分類(Information Classification)兩大活動,它的目的在於將企業資訊資產依據安全政策的基準,對於資訊資產進行價值、威脅、弱點的鑑別,並確立資訊資產的管理者、擁有者、使用者等權責分工。這一連串的風險鑑別過程,除了可以協助決策者掌握各項資訊資產對於企業營運的密切度外,更可以協助檢視資訊安全政策的適當性,並用來作為後續資訊資產安全防護投資的參考基礎,簡單的說,安全模組的建立,可以讓決策者知道哪些系統對公司營運極為重要,應該強化其防護及備援機制,而現行的資訊管理規範,是否存在窒礙難行或過於鬆散之處。


3.安全架構與技術準則


技術與科技的應用,在於協助企業以更經濟快速的方式,達到獲利與管理的要求,許多單位由於資訊系統的需求一再成長,各階段系統主導部門與人員不同,導致各系統的風險與控管程度不一,透過安全模組的建立,各系統的擁有者與管理者取得一個一致的基礎,基於這樣的基礎,得以展開依據各系統價值與安全等級別的不同,共同討論對於各項系統,應該建立各種等級的備份策略、備援機制;應該提供的實體環境防護與控管;使用權限定義原則;系統的維護與操作控管原則;針對不同作業系統、資料庫平台進行安全等級別的系統設定;日常維護時應該保存哪些系統資訊以供緊急應變時參考;提供各系統等級別的監控機制等等。

建構安全防護工程
依據這些安全架構與準則,便可以開始進行企業的資訊安全防護的建構工程,建構的重心涵蓋三大程序:監控程序、作業程序和復原程序。


1.監控程序


由於資訊的風險管理,講求事前的預防與預警,必須從日常作業中,保留充足的資訊,不幸意外狀況發生時,得以作為應變處理的重要決策參考,所以監控程序的重點,在於針對日常的作業,進行相關資訊的蒐集、記錄與稽核,以期掌握資源的使用與法令遵行的狀況,並提供安全事件的預警。


2.執行程序


安全的防護,人是最重要的關鍵,所以建立管理者、作業人員與一般使用者的作業程序,將安全架構與準則的要求,落實到每一份子的日常作業中,關係到企業安全防護的成敗與否。


3.復原程序


風險管理的目的,除了協助降低與規避風險外,更重要的在於一旦事件發生時的應變處理與後續復原。因此,包含資料的備份、回存;企業的永續運作程序;事件的回報程序;入侵事件與病毒事件的處理程序等,都該建立適當的計劃,並定期演練,以期事件發生時,能快速控制問題,防止傷害擴大。


安全管理系統成功的要素
安全管理的推動,需要許多的時間與資源配合,因此,推動一個成功的安全管理系統,最好具備以下四項要素:


1.決策階層的支持


由於安全管理系統的建構,必須投入相當的人力、資源與時間,決策階層的支持,除了資源的運用之外,活動的過程更需要決策階層的支持,且關係到整個管理系統的成敗。


2.安全策略與願景


任何一種管理的活動,都不是一蹴可幾,安全管理亦然,如何逐步推動組織的安全意識與安全管理,是一門高深的藝術,在推動安全管理架構之前,必須先確定安全推動的策略,您可以先以單一部門試行,再逐步推行到整個公司,也可以針對急迫性較高的主題,先行推動,但無論以何種思維,都應該建構出一個完整的藍圖。


3.完整的安全組織


安全組織扮演著安全管理系統的推手,由於安全管理的推行牽涉到各部門或組織業務特性的差異,安全需求亦不相同,所以安全組織的成員,除了資訊部門之外,應該包含安全管理系統適用範圍內的各業務單位與稽核單位,此外,在一連串活動中,難免遭遇立場不同的狀況,因此,安全組織的召集人,建議以決策階層的人員擔任,以作為最後的仲裁者。


4.適當而完整的教育訓練


所謂:不教而殺,謂之虐。在資訊安全管理系統推動的過程中,包含推動小組成員、中高階管理者、系統管理者、資料擁有者、一般使用者等,都必須參與其中,所以在推動的各個階段,如何透過適當的教育訓練,協助各種角色的人員,除了認知自己的安全責任外,也能熟悉如何使自己的日常作業更符合公司的安全要求,並能保持安全的警覺。

接軌全球e化的基石-安全管理系統
企業面臨全球化競爭下,紛紛建構e化策略,安全政策的訂定,來自於威脅的存在,如果企業組織的運作生存,不面臨任何的威脅,那麼自然無須建立任何政策。無論防火牆、入侵偵測系統等,都該是為滿足企業願景及其所面臨之威脅,所應用於不同活動的一項技術或工具,這些設備或工具的導入與部署,均屬於戰術的應用,而一套完整的資訊安全管理系統,才能將企業導入ERP(Enterprise Resource Planning, 企業資源規劃)、CRM(Customer Relationship Management, 客戶關係管理)、EIP(Enterprise Information Portal, 企業資訊入口網站)等資訊系統的價值,維繫在一致的安全防護基準之中,井然有序,不至於使各系統承受的風險陷於一團紊亂,莫衷是一。