中小企業資訊安全管理(上)

決定風險管理優先順序
物有本末，事有終始，知所先後，則近道矣。」

對於一個中小企業而言，如何做好資訊安全管理，是一項大挑戰。資源通常是有限的，然而對於控管措施的妥協，可能造成毀滅性的衝擊。在這種情況下，只是發生財務損失算是運氣好的狀況，嚴重的，還可能流失客戶，甚至中斷營運。

每一家企業都面臨不少的資訊安全風險需要控管，在中小企業資源有限且資訊人員不足的情況下，決定各項風險的管理優先順序是比較符合實際的作法。



中小企業資安最佳要求與實務
有鑒於中小企業在e化過程提高競爭力的同時，也需一併考量隨之而來的資訊安全風險控管，經濟部中小企業處與「縮減產業數位落差計畫」承辦單位中華民國資訊軟體協會特別委託NII產業發展協進會，整理一套適合國內中小企業使用的控管項目表供企業參考。目前「中小企業資安最佳要求與實務」共列出基本43項與進階32項控管要點，基本項目乃建議企業即使在資源有限的情況下仍應達成的控管要項，進階項目則視企業資源投入的情形選擇性控管。

「中小企業資安最佳要求與實務」乃由產、官、學界多位資安專家於94年依20/80法則(即80%風險可由20%可行的控管措施管理)，經過多次會議充分討論篩選出企業能以最低投入成本來達成最大風險控管效果的項目。NII並於95年依此規範進行10家企業試辦導入，導入後的企業發現，不但可以控制資訊安全風險至可接受程度，另外亦可因有效管理而避免資源的重複配置與浪費發生，反而節省了企業營運成本，而最重要的是，企業並不需要花費很大的精神即可完成導入，可說是簡單、快速、有效的資訊安全防護提升方案。



國外中小企業資安控管項目研究
無獨有偶地，美國也有多位教授及專家做了一項類似的研究，首先由資安專家們篩選出適合中小企業使用的30項控管要點，再由IT專家們評分選出最重要的11項控管要點(表1)，經過了幾回合的評選過程，決定出前3項最重要的控管要點：

? 網路安全：注意防火牆及無線網路連線安全

? 病毒防護：使用最新的電腦病毒及間諜軟體的防護碼

? 備份程序：週期性備份資料及測試備份程序

此結果與NII在95年蒐集534家企業資安自我評量結果分析報告中，企業執行最好的前5項控管措施(表2)有很高的相似度，表示企業主與資安專家對於最重要的控管措施認知大致相同。

另外，在此份研究當中關於「容量管理」這個控管項目，專家們的評分不是非常高，就是非常低，過於極化而被排除於11個重要控管點項目之外。容量管理的目標在於確保資訊軟、硬體有足夠的能力符合現在或未來的業務需求。有趣的是，那些認為「容量管理」非常重要的專家全部擁有非常多的小型企業經驗，而那些認為「容量管理」不重要的專家多半來自中、大型企業，而此研究報告的作者認為「容量管理」常被成長快速的中小企業所忽略。



控管要點選擇標準
「中小企業資安最佳要求與實務」選擇IT控管要點是有一些基本準則，經過了多位專家討論後，決定以ISO 27001為主要架構，並依下列原則來篩選控管項目。

僅管這些控管點選擇有基本原則可供參考，然而實際在挑選控管點時，也常遇到不同角度的專家見解，例如：在ISO27001「成立資訊安全組織」有些專家認為是一個很重要的項目，但本項最後並沒有被列入，主要原因是對於一個大型企業而言，由於組織過於龐大，跨部門溝通協調不容易且資訊安全事項常需要公司全員一起配合，為了解決此項問題，成立高層級的資訊安全管理組織以分配管理資源並解決相關安全議題是有其必要性。反觀小型企業，由於組織構造較為簡單，跨部門溝通的障礙較低，而且資訊安全議題大部份由組織最高負責人親自處理，常見的是只要總經理一聲令下，相關資訊安全事項就可以被立即有效執行，就中小企業而言，是否有「成立資訊安全組織」並不是那麼重要了。

當然，這些控管項目的選擇仍有討論空間，在不同的環境狀況下，也許會有不同的結果，我們希望藉由多位資安專家的主觀意見，以及實際導入企業的回饋，來形成較為客觀公正的結果。



結論
維護一個有效的IT管理控制資訊安全風險是一個重要且有價值的挑戰，國內多數的小型企業並沒有資訊人員可以處理暴露在外且日漸增加的資訊安全風險，若沒有適合的解決方案，小型企業的電腦作業可能會發生停擺。NII產業發展協進會整理出的「中小企業資安最佳要求與實務」乃是特別針對國內中小企業設計簡單有效的規範，有興趣者可直接向NII免費索取使用。