從政府機關、金融業,越來越多重視公司治理的企業也開始導入資安管理系統(ISMS),導入動機影響著導入成效,從人員、流程、科技來思考建置一套真正有效的ISMS。上一篇文章談到企業導入資安管理系統(ISMS)的三大迷思,並到提資安治理應該不斷精進提升資安管理成熟度與能力度以維持有效性。本篇繼續來談何謂有效的ISMS?如何才能建置一套對企業帶來效益的ISMS制度,而不是只是一紙掛在牆上的證書?
導入動機決定導入範圍 範圍攸關ISMS成效
建置一套對企業有幫助的ISMS制度,雖無法保證抵禦駭客攻擊,但能讓企業面臨網路攻擊事件的當下不慌張匆忙,依照SOP應對處理並讓損失在可控範圍;一套ISMS制度能保護企業營業秘密,降低機密資料外洩風險;能當同業都只有ISO 9001、ISO 14000證書時,樹立差異化的資安保護競爭優勢;也是企業邁向ESG永續發展時,做好公司治理的重要基礎。當然也不外乎是為了符合主管機關的法規遵循需求,以及滿足供應鏈上游客戶的要求,越來越多企業建置ISMS系統並通過驗證取得ISO 27001證書。
然而不同的導入動機決定著導入驗證範圍以及需要參與的部門人員,不同動機也牽動企業主願意投入多少預算與資源在專案上,以及對於風險的可接受程度。正因如此,我們的顧問輔導團隊會在專案開始前,先了解企業內部對國際標準是否已有跨部門協調機制或統一之管理單位,若無則可能建議將導入範圍限縮在承辦單位部門內,否則屆時跨部門間的配合與權責問題都將使專案推動窒礙難行。
舉營運持續規劃(BCP)演練為例,若一旦發生災變企業要恢復營運,IT部門也許認為只要ERP能正常開機上線即可,但業務單位則會以出貨流程來思考,除了ERP系統外還需能開立發票才能完成出貨,因此BCP演練正是一個需要跨部門配合才能完成的環節。這也是資安治理開宗明義提及,ISMS需要企業管理階層由上而下推動才能成功,否則導入範圍過小甚至僅侷限於機房,將難以呈現ISMS的有效性,企業的客戶也會質疑此一證書效益與客戶的交易往來有何關聯。
從人員、流程、科技著手 讓ISMS導入更有效益
人員(People)、流程(Process)、科技(Technology)是擬定資安管理策略時經常使用的框架,要建置一套真正帶來效益的ISMS系統,也應關注此三面向。首先,企業中每個人都有其應盡的資安責任與角色,包括避免點選釣魚郵件、配合公司BYOD手機管理政策等,而要讓公司同仁重視資安,最重要的是企業主的支持。我們曾在一家科學園區廠商的輔導專案啟動會議上,看到客戶董事長親自出席會議,有了老闆一句話「XX部、OO部主管來幫忙」,執行單位IT部門在推動專案時有如神助。
其次,ISMS需要建置許多程序書與表單,企業原本可能已有部分既有作業流程,輔導時顧問能依據企業需求協助與ISMS整併與補強或獨立建置。我們所輔導的ISMS專案幾乎會為每一家的程序制度進行客製化,而非使用單一模板照章複製。例如製造業很常見原本已有營業秘密文件管理方式與等級,這時就需要與企業討論是否要與ISMS制度整合,以及文件機密等級整併方式。讓ISMS與企業既有管理制度做整合,如許多企業都早已建置ISO 9001、ISO 14000等制度,目的是為了讓專案結束後,ISMS流程能自然地維持運作,而非取得證書後表章制度卻束之高閣。
再談到表單,程序與制度的建立要靠表單,然而記錄填寫是否確實卻往往只能自由心證,事實上若能真實有效的填表,將有助於整體組織資安意識的養成。以「機房進出人員登記表」為例,若每次都有確實填寫進入機房的目的,而非同上符號「〃」,當有新來的委外廠商工程師攜帶筆電欲進入機房,就能提高警覺查核是否符合資安規定。ISMS運作越是成熟的組織,對風險的敏感度越高。 最後是科技,善用系統工具能協助實現ISMS與記錄的有效性及真實性。例如SIEM平台能協助符合部分ISMS控制措施條文所要求,它不只能收集重要設備的log,當設備運作負載超過預設值時也能發出告警,提醒管理者先行檢查以避免設備毀損故障而當機。總括來說,ISMS所規範的程序與控制措施猶如企業IT底層的基石,可以向上與各項資安系統與設備連結,而善用科技工具可以讓ISMS管理更加自動化有效率。