【公務機密維護宣導】─透過管理制度,進行有系統的建構防禦體系

:::
資料來源:資安人  https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=8660  
作者:資安人編輯部

宛若老舊社區 潛藏公共危機 
資安管理制度就是以安全理論為基礎,按照方法論所建構出的一套運作模型,有系統性的架構協助企業由下到上,全面推動資安工作。在資安議題、法規不斷推陳出新的今天,往往讓資安人員無所適從,不知從何做起而陷入疲於奔命的窘境。管理制度的導入就像都市計劃一樣,早期企業導入IT,可能根本沒有考慮到資安的問題,然後當網路興起後,陸續開始有了防火牆、防毒軟體;接著也慢慢設置一些簡單的管理辦法,像是電子郵件、Notebook的使用規則等。長久下來,公司陸續購置了不少資安設備,管理問題也隨之浮現。例如公司沒有一致性的資安管理辦法,不同部門各行其是,常有IT部門都不知道的資訊設備存在,然後資安產品疊床架屋,不但造成浪費也影響工作效率;但令人不解的是公司似乎也能持續運作不受影響。 
 
這就像一些老舊社區一樣,隨著人口的增多開始興建各式住屋,所以頂樓加蓋等違章建築逐一出現,只是缺少完整的都市規劃,所以街道髒亂,交通擁擠不堪…。但如果你要問鐵皮屋能不能住人?當然可以,只是這樣的環境裡潛藏著公共安全的疑慮,一場大火可能就引發重大傷亡的悲劇。 
 
企業資安問題也是如此,雖然IT仍然持續運作,但面對像GDPR最高可處2千萬歐元或全球總營業額4%等日趨嚴格的法規要求,一旦發生資安事件,公司將承受重大損失,甚至是顧客流失,將可能成為下一個劍橋分析的倒閉案例。因此一個全面性資安管理制度的建立,從企業永續經營的角度來看有其必要存在。 
 
透過管理制度,有系統的建構防禦體系 
以ISO 27001為例,就是一個經過驗證可行的國際資安管理標準,以風險管理為基礎,針對存取控制、通信操作安全、供應關係、資安事件管理等18個領域,114個控制項,制定政策、程序;並透過PDCA,計畫(Plan)、執行(Do)、檢核(Check)與行動(Action)的方法論,持續強化管理制度的運作。企業可藉由ISO 27001的導入,重新檢視現有不一的各項管制措施,從最上層的政策,到規範、辦法,接著詳細作業程序的制定,到最基礎的表單、記錄,透過四階的文件管理架構,將原本零散的各項管理辦法,由上而下系統化的建立有組織的管理架構。 
 
要完成ISO 27001要求事項的方式很多,不一定得全部仰賴產品技術。以作業流程為例,不少人把SOP標準作業程序當作一種形式上的文件規範,僅供參考稽核之用。假設,我們換個方式思考,只要程序設計得當,或許可以透過流程的管理制度去改善些易於被平日忽略的防禦。 
瀏覽人次:2225 最後更新日期:2018-10-22