透過管理制度，進行有系統的建構防禦體系

宛若老舊社區 潛藏公共危機
資安管理制度就是以安全理論為基礎，按照方法論所建構出的一套運作模型，有系統性的架構協助企業由下到上，全面推動資安工作。在資安議題、法規不斷推陳出新的今天，往往讓資安人員無所適從，不知從何做起而陷入疲於奔命的窘境。管理制度的導入就像都市計劃一樣，早期企業導入IT，可能根本沒有考慮到資安的問題，然後當網路興起後，陸續開始有了防火牆、防毒軟體；接著也慢慢設置一些簡單的管理辦法，像是電子郵件、Notebook的使用規則等。長久下來，公司陸續購置了不少資安設備，管理問題也隨之浮現。例如公司沒有一致性的資安管理辦法，不同部門各行其是，常有IT部門都不知道的資訊設備存在，然後資安產品疊床架屋，不但造成浪費也影響工作效率；但令人不解的是公司似乎也能持續運作不受影響。

這就像一些老舊社區一樣，隨著人口的增多開始興建各式住屋，所以頂樓加蓋等違章建築逐一出現，只是缺少完整的都市規劃，所以街道髒亂，交通擁擠不堪…。但如果你要問鐵皮屋能不能住人？當然可以，只是這樣的環境裡潛藏著公共安全的疑慮，一場大火可能就引發重大傷亡的悲劇。

企業資安問題也是如此，雖然IT仍然持續運作，但面對像GDPR最高可處2千萬歐元或全球總營業額4%等日趨嚴格的法規要求，一旦發生資安事件，公司將承受重大損失，甚至是顧客流失，將可能成為下一個劍橋分析的倒閉案例。因此一個全面性資安管理制度的建立，從企業永續經營的角度來看有其必要存在。

透過管理制度，有系統的建構防禦體系
以ISO 27001為例，就是一個經過驗證可行的國際資安管理標準，以風險管理為基礎，針對存取控制、通信操作安全、供應關係、資安事件管理等18個領域，114個控制項，制定政策、程序；並透過PDCA，計畫（Plan）、執行（Do）、檢核（Check）與行動（Action）的方法論，持續強化管理制度的運作。企業可藉由ISO 27001的導入，重新檢視現有不一的各項管制措施，從最上層的政策，到規範、辦法，接著詳細作業程序的制定，到最基礎的表單、記錄，透過四階的文件管理架構，將原本零散的各項管理辦法，由上而下系統化的建立有組織的管理架構。

要完成ISO 27001要求事項的方式很多，不一定得全部仰賴產品技術。以作業流程為例，不少人把SOP標準作業程序當作一種形式上的文件規範，僅供參考稽核之用。假設，我們換個方式思考，只要程序設計得當，或許可以透過流程的管理制度去改善些易於被平日忽略的防禦。

以PDCA 持續改善強化資安管理系統
也有人會質疑，那些遭駭的銀行企業不也一樣有導入資安管理制度？這時就要審視組織單位是否真有落實執行相關的管理規範？如果有的話，至少能從現有的安全架構中有系統的找出事件的蛛絲馬跡，再從攻擊軌跡中發掘事故原因，看是哪個環節出了問題，予以改進，而不至完全毫無頭緒。還是以ISO27001為例，ISO27001本身就以PDCA這樣持續改進的運作來設計，像條文中的ISMS，建立 (P)、實作 (D)、監視與審查(C)、維持與改進(A)，讓組織的資安能在不斷的改進下更為健全

面對不同議題 求同存異
在持續運作下，企業資安管理制度會遭遇各種新興運用與法規遵循的挑戰。台灣雲端安全聯盟理事長蔡一郎提到，6、7年前雲端應用剛興起時，很多企業都不敢上雲。但隨著整個雲端環境日益成熟，大家體會到雲端的便利後，便逐漸走向雲端，如同蒲樹盛所說：「只要想對方向，應用就會開始改變」。

當主事者在面對雲端安全的新議題時，應該思考如何將雲端安全機制納入現有管理制度，例如把原有ISO27001裡的18個控制領域與CSA (Cloud Security Alliance，雲端安全聯盟)所發表安全指南中的14個領域去做整合，讓兩者求同存異。其實這些管理機制的發展機構本身也會隨著實務應用演進更新，像雲端安全聯盟針對GDPR的實施，也推出了相對應的CSA Code of Conduct for GDPR Compliance合規行為準則，以協助企業組織符合GDPR的內容規範。

企業資訊韌性
在全球化的風潮下，國際情勢的變動與極端氣候的影響，都讓企業經營時需要面臨未知的風險與挑戰，因此這幾年也開始有所謂發展組織韌性(Organizational Resilience)觀念的提出，讓企業有準備、應對各種危機的能力，達到永續經營的目的，而資訊韌性(Information Resilience)就是其中三大領域之一。

強化資訊韌性就是從資訊生命週期的觀點，讓資訊從產生到結束，相關人等都能安全的使用、儲存這些資訊，即使發生資訊安全事故，組織也具有一定的應變能力。其實以縱深防禦的理論來看，某種程度上也意謂組織不能僅仰賴某一產品技術來固守，整個防禦態勢也從事前偵測和事中應變，涵蓋到事後的復原。資安管理系統除了為企業打造安全的資訊體系外，也要設想一旦攻擊成功，例如個資遭到外洩時，如何進行應變及對大眾公開說明，有效控制災損。如果是遭DDoS攻擊導致服務中斷，如何在最短時間內恢復正常，或至少維持企業最低限度的營運，以展現其組織的韌性。