https://newera17031.activehosted.com/index.php?action=social&chash=01e9565cecc4e989123f9620c1d09c09.2117&nosocial=1

觀點

明天過後?

2007 / 12 / 20
編輯部
明天過後?

如何持續做好ISMS?
稽核員:「……..以上是這次正評結果的報告,無重大缺失,只有2項輕微缺失,3項觀察事項,若對評鑑結果沒有其他問題,我在此宣布 貴單位順利通過ISO 27001驗證,恭喜大家!」

資安小組成員甲:「哇!終於順利通過,拿到證書了!」

資安小組成員乙:「是啊,終於可以喘口氣了,好好休息一下了。我要去申請休假了。」

資安小組成員丙:「對啊,為了做這個ISO 27001驗證,我有好多事都擱著還沒做,要趕快去把它們處理掉。」

資安小組成員甲:「對啊!我也是。喂!接下這個ISMS要做什麼啊?」

資安小組成員乙:「對喔,拿到證書後,顧問公司就會撤走了,啊以後ISMS要做什麼事情,誰來跟我們說啊?」

資安小組成員丙:「以後驗證公司定期還會來做稽核耶,那怎麼辦啊?」

資安小組成員甲乙丙:「X@#$%.........」

上述場景,相信各位曾經參與ISO 27001專案的朋友都曾經面臨到。取得證書的喜悅只有那短短的幾分鐘、幾小時或幾天,當想到後續要如何持續運作資訊安全管理制度,通常都是不知從何著手。

追究原因通常/可能是:

一、在資安管理制度導入期,有顧問提供其知識及經驗,在許多問題或決策上提供協助及指引,因此單位內的專案或資安小組成員直接跳過了那段需要思考及尋找最佳解的過程,進而無法將實際管理制度與ISO 27001標準之精神做結合。

二、在資安管理制度導入期間,正是進行知識移轉最佳時機,專案或資安小組成員可藉由「做中學」(on the job training)的方式,吸取顧問經驗。然而,專案成員或資安小組通常非專職人員,由於本身尚有其他業務,在資源衝突的情況下,通常參與度較差。

三、受輔導單位通常將顧問當作「自家人」看待,將所有資安管理制度建置作業,包括政策擬定、風險評估、四階文件建立等作業完全交由顧問來執行,專案或資安小組成員未實際親身參與,只負責執行結果、文件內容來審查或對用字遣詞費心琢磨,而忽略了控制程序設計的原意。

四、通常專案在執行期間,顧問公司都會提供一些教育訓練課程來輔助專案的進行。但是如果專案或資安小組成員未確實瞭解吸收教材之內容或講師未將實務經驗融入課程內教授,這樣的教育訓練將流於形式。甚或許多單位是因為要符合政策的目標而舉辦教育訓練課程,目的只是留下訓練記錄,實際上對教育訓練之成效如何是不做任何評量及追蹤的。

五、在資安管理制度導入期間,有顧問擔任黑臉角色,要求各業務單位配合進行資安管理制度建置作業,如風險評估、制度修訂、缺失改善、參與教育訓練或會議,但受輔導單位內部相關部門並未確實認知並瞭解其資安責任及義務。待取得證書而顧問撤出後,專案或資安小組成員通常無能力繼續要求其他部門配合執行資安作業。



提早做好避免與預防
由於上述種種因素,等到受輔導單位實際輪到自己來「做做看」的時候,通常摸不著頭緒。其實這些問題是可以避免及提早預防的,以下幾點可供大家做參考:

一、拉高資安管理責任層級,在管理制度內設計高階主管的角色,讓高階主管實際參與重要作業,如:審核資安政策、審核風險評估結果、成立資安管理組織、參與教育訓練等,使高階主管認知其責任及推動資安管理制度之困難處,進而取得高階主管的實質承諾與支持,此將有助於資源的協調及資安事務的推動。

二、取得實際資源,專案或資安小組成員將有時間實際參與執行專案作業,如:政策目標擬定、進行風險評估、撰寫程序文書、進行內部稽核、追蹤矯正預防、召開資安會議等,確實瞭解資安管理制度建置過程及控制程序設計的精神。

三、專案建置過程中,隨時蒐集整理後續推行資安管理制度應進行的例行性工作清單,並確定負責執行之權責單位。

四、持續與顧問討論資安管理制度設計的原因及目的,掌握狀況,主導資安管理制度重要活動,如召開資安會議、召開管理審查會議、報告內稽結果等。

五、除了資安意識宣導課程外,還要持續進行制度面之教育訓練,最好就是由專案或資安小組成員或程序負責單位來進行,透過這樣的方式,程序負責單位更瞭解程序控制重點及其責任,而其他單位人員,也更清楚要如何遵循程序的要求,並有機會反映問題,提供資安管理制度持續改善的重要資訊。

六、詳讀ISO 27001標準文件,瞭解標準要求重點,詳讀ISO 17799標準文件,瞭解有哪些解決方案可達成標準要求,自然在制度建立過程中,與顧問有相同的的溝通語言,實際參與討論管理制度設計的方式,如此,即使顧問離開,專案或資安小組成員也有能力繼續運作資安管理制度。

一般而言,受輔導單位在考量營運/業務目標及資源調配的情況下,通常會選定一特定作業、部門或範圍來進行資安管理制度的建置,一般稱之為「示範區域」(Demo Site)。待示範區域建立完成後,再逐步擴大資安管理範圍。依據筆者的經驗,若受輔導單位不能承接後續持續運作資安管理制度之任務,等到擴大管理範圍時,將是一大挑戰。姑且不論是否會將擴大範圍納入ISO 27001驗證範圍,當一個組織內發生多套資安管理政策,資安政策與管理制度上下無法整合銜接狀況時,不僅浪費組織資源(重複控制、流程、人力、文書)還會產生資安管理死角問題(如:未整合事件通報流程,無法彙整資安事件並及時回應處理),產生資安管理多頭馬車。在這種情況,受輔導單位對管理制度及標準要求若沒有全面性的瞭解及掌握,而輔導顧問又無能力或經驗協助受輔導單位整合組織既有的管理制度時,後果就不堪設想了。

如果受輔導單位能確實做到前述六點,建立自我持續維運資安管理制度的能力,將可避免上述問題的產生。

那做到以上幾點,受輔導單位就可高枕無憂,就此天下太平嗎?君不知,取得ISO27001證書只是做到60分而已啊,否則怎麼還會有資安事件持續發生呢?筆者將在下期文章「魔鬼都在細節裡」再跟各位讀者分享,敬請期待。