一套真正有效的ISMS  為企業樹立差異化優勢 (副本)

2024/01/29


一直以來企業總是無法建置一個持續成熟、精進的資安治理計畫,為數位轉型做好基礎。


近年隨著企業積極投入數位轉型,加重發展數位經濟活動,網路入侵攻擊事件對企業的營運的影響層面也隨之擴大。過去許多企業皆已導入資安管理系統與ISO 27001國際標準,然而如今隨著數位化程度提升,資安不再只是IT部門應關注的事,而是應從IT部門的資安管理擴大範圍到全公司的資安治理,讓企業高階主管了解資安已經是法規遵循的議題以及企業風險管理的一環,需以企業風險的角度而非技術議題來看待。也正因為如此,ISO國際資安標準也因應上述變化提出改版,以強化資安管控的有效性。

三大迷思:為何而做?IT部門的事?導一次就好?


舉營運持續規劃(BCP)演練為例,若一旦發生災變企業要恢復營運,IT部門也許認為只要ERP能正常開機上線即可,但業務單位則會以出貨流程來思考,除了ERP系統外還需能開立發票才能完成出貨,因此BCP演練正是一個需要跨部門配合才能完成的環節。這也是資安治理開宗明義提及,僅管許多企業皆已導入資安管理系統(ISMS)或取得ISO 27001認證通過,這的確已經為資安治理打下基礎,然而在我們顧問團隊多年輔導客戶的過程中,發現許多企業對於資安管理經常會有三大迷思,其一因為是被主管機關或客戶要求導入,不知道做資安對企業實際有何好處,缺乏做資安的動機。其二、認為資安是IT部門的事與其他部門無關,第三則是認為資安管理系統只要導入一次,驗證通過取得證書即可。

上述不管是動機不足或是導入範圍過小並將責任推給IT部門,都影響資安制度的成效,尤其第三點更是許多企業主心中都存在的盲點,總認為建置好資安管理系統並照章維護即可,但事實上不但企業營運業態會改變,網路威脅手法也不斷演進,同時即使制定好管理辦法但也可能未落實。例如,系統未能適當安裝更新修補程式、共用群組帳號密碼、過度擴張的Admin特權⋯⋯等。因此,資安絕非一蹴可幾,也不是建置好規章辦法就束之高閣,而是需要不斷提升精進成熟度才能維持有效性,而資安治理框架正是協助企業逐步提升資安成熟度的方法。有了一套資安治理計畫,企業主也較有信心已經做好準備,能管理所面臨的各種網路威脅風險。

資安治理計畫:先定策略、後展開管理辦法與技術控制

建置一套資安治理計畫,最容易入門的方式便是參考國際資安標準,各產業主管機關對此有不同要求。在金融資安行動方案中,金管會鼓勵金融業除了ISO 27001之外也可以導入ISO 22301營運持續管理標準,朝更成熟的資安治理前進。而政府機關則是自2014年起,行政院資安會報就已參考多種國際標準及國內法規,發展政府機關的資安治理及資安成熟度評估架構,並逐年要求公務機關提升成熟度等級。 

一套資安治理計畫必須從策略面、管理面與技術面等三大面向來構築,而要定義企業的資安治理策略與目標之前,必須由高階主管先評估衡量企業現行各種業務營運上的風險,包括企業內外部及第三方單位,而資安風險又將如何牽連影響上述企業風險,接著資安治理策略指的就是企業對風險的接受程度,如何改善與管理上述風險,以及完成上述項目所需要投入的資源等。也因此,隨著企業所屬產業與業務形態的不同,所面臨的資安風險也有所差異,即使同一家企業隨著業務的擴張或營運項目的改變,每年也應重新檢視策略與目標。 

一旦制定出策略與目標之後,相關的程序與管理辦法也能建置展開,包括委外廠商資安管理、資產分級與風險管理、員工資安認知與訓練等。在管理層面上,必須確保相關程序與作業是可被重複執行且被衡量與歸責的,以及在整個組織推動時對於風險有一致的管理辦法與評估標準。第三個面向則是技術面,包括存取控制管理、通訊管理、資安事件通報、系統開發與維運等,尤其在新版的ISO 27001:2022中,新增以及修訂許多控制措施,由144項整併為93項,包括對於安全程式碼撰寫以及組態設定等都有更明確的規範。 

最後要強調的是,資安是循序漸進的過程,在不同階段都有不同的資安治理目標與控制項目。企業領導者的重視可以說讓資安先成功了一半,另一半則是要靠IT部門以及其他部門共同承擔,讓每位員工都投入扮演相關角色。

完整資安治理計劃諮詢


in Blog