觀點

企業內部人員的控管機制

2002 / 12 / 09
企業內部人員的控管機制

文/莊強閔


近來國內資訊安全事件頻傳,犯罪組織利用特殊管道結合金融機構內部不肖員工,取得客戶資料,用來製造偽卡在外進行盜刷圖利;及財金公司員工將信用卡客戶資料外洩,造成國內銀行重大災情。都益發突顯出資訊安全的重要性。
內賊難防
根據英國的一份官方統計報告「2002年資訊安全入侵調查」指出,在規模較小的公司裡,最重大的系統入侵案件有32%是內賊所為;在大企業中,因內部員工所為的重大系統入侵案件百分比更攀升到48%。由此可見,單靠技術是無法達到完備的資訊安全,如何管理公司內部的工作人員影響資訊安全甚鉅。

人員控管事項
如何落實人員管理,達到保護企業有價值的資訊,防止機密的資訊外洩?在ISO17799(註)第六章中,針對人員管理部份歸納出以下三點控管事項:


1.員工對資訊安全的權利與義務


應在招聘階段,即予以過濾篩選,並告知其工作的敏感性,並要求簽訂保密協定。並將員工所需擔負的安全責任寫入合約中。人事篩選及任用時,應進行推薦人審核,查證應徵者學歷、工作資格及身份證明文件。


對處理敏感資訊的員工進行相當程度的信用調查,有必要時可定期進行或不定期的檢查。若是經由第三者公司所派任或聘雇,亦須遵循。


管理人員應知道,員工在不同的時間點都會有不同的個人情況,這些都會對他們的工作產生影響。不論個人情感或情緒或財務上的問題,行為或生活方式上的變化,都會容易導致欺騙、偷竊、工作出錯或其他安全上的問題。


2.對人員提供資訊安全的教育訓練


確保人員瞭解資訊安全存在的威脅和問題,應定期瞭解最新變化,這包括安全要求、法律責任和業務控制措施方面的內容,將可能的安全風險降到最低。並在正常工作中切實遵守企業的安全政策。


資安事件常常發生來自於使用者對資安事件的警覺性不佳,及用戶的無知,這需要對用戶進行資訊安全教育訓練。相關的第三用戶也須如此。


3.對安全事故的立即處理,以及賞罰分明


當發生資訊安全事故時(破壞行為、威脅、弱點或故障),對企業的有價值資產的安全會產生影響,所有人員、用戶、第三者、承包商都應該瞭解詳實紀錄,並立即回報。企業應建立一套完整的安全事件報告步驟及程序,及一套安全事件的回應程序。所有人員、用戶、第三者、承包商都應瞭解整個完整的程序及步驟。安全事件的回應程序對於重要的元件應有備援方案可供執行,以利緊急修復及故障排除。


鼓勵員工要勇於面對問題,在發現或懷疑系統及服務有安全漏洞時,應立即通報,並著手處理,切勿因循苟且,把問題留給別人,並予以?勵。


相對的,對於違反企業安全政策及作業程序的雇員,應予以處罰,這對無視安全工作步驟的員工來?,無疑是一種威懾。因此企業內部應擬定?勵處罰的辦法,即正式的懲戒規定,建立公正且正式的評議過程,並列入員工手冊中。






註:

ISO17799-國際資訊安全稽核規範,全名是 BS7799 Code of Practice for Information Security,由英國標準協會British Standards Institution在1995年提出、修訂,為目前國際上最知名的安全規範,並由聯合技術委員會(Joint Technical Committee ISO/IEC JTC 1)資訊技術部(Information technology)以特別的「快速程序」採用,同時由ISO (International Organization for Standardization)及IEC的國家單位批准。 



BS7799 內容大致上分成兩個部分: 

a. The code of practice for information security systems: 

設立了產業最佳的管理資訊安全準則 

b. Specification for Information Security Management Systems - ISMS: 

詳述IT安全應用與稽核所應遵循的架構,包含10個章節與10個控管重點,它可以來設置應用的時程,並以10個控管重點來保證目標的達成。



ISO17799 是一套相當複雜的資訊安全應用與稽核的標準,但不外乎就是控管(Control)的觀念。定義一套完整的政策、程序、實施與組織化的架構,用來提供合理的保障使企業目標得以達成,並避免、偵測或修正無法預期事件所造成的後果。




(本文作者現職為致遠會計事務所企業風險