近年隨著企業積極投入數位轉型,加重發展數位經濟活動,網路入侵攻擊事件對企業的營運的影響層面也隨之擴大。過去許多企業皆已導入資安管理系統與ISO 27001國際標準,然而如今隨著數位化程度提升,資安不再只是IT部門應關注的事,而是應從IT部門的資安管理擴大範圍到全公司的資安治理,讓企業高階主管了解資安已經是法規遵循的議題以及企業風險管理的一環,需以企業風險的角度而非技術議題來看待。也正因為如此,ISO國際資安標準也因應上述變化提出改版,以強化資安管控的有效性。
三大迷思:為何而做?IT部門的事?導一次就好?
僅管許多企業皆已導入資安管理系統(ISMS)或取得ISO 27001認證通過,這的確已經為資安治理打下基礎,然而在我們顧問團隊多年輔導客戶的過程中,發現許多企業對於資安管理經常會有三大迷思,其一因為是被主管機關或客戶要求導入,不知道做資安對企業實際有何好處,缺乏做資安的動機。其二、認為資安是IT部門的事與其他部門無關,第三則是認為資安管理系統只要導入一次,驗證通過取得證書即可。
上述不管是動機不足或是導入範圍過小並將責任推給IT部門,都影響資安制度的成效,尤其第三點更是許多企業主心中都存在的盲點,總認為建置好資安管理系統並照章維護即可,但事實上不但企業營運業態會改變,網路威脅手法也不斷演進,同時即使制定好管理辦法但也可能未落實。例如,系統未能適當安裝更新修補程式、共用群組帳號密碼、過度擴張的Admin特權⋯⋯等。因此,資安絕非一蹴可幾,也不是建置好規章辦法就束之高閣,而是需要不斷提升精進成熟度才能維持有效性,而資安治理框架正是協助企業逐步提升資安成熟度的方法。有了一套資安治理計畫,企業主也較有信心已經做好準備,能管理所面臨的各種網路威脅風險。
資安治理計畫:先定策略、後展開管理辦法與技術控制
建置一套資安治理計畫,最容易入門的方式便是參考國際資安標準,各產業主管機關對此有不同要求。在金融資安行動方案中,金管會鼓勵金融業除了ISO 27001之外也可以導入ISO 22301營運持續管理標準,朝更成熟的資安治理前進。而政府機關則是自2014年起,行政院資安會報就已參考多種國際標準及國內法規,發展政府機關的資安治理及資安成熟度評估架構,並逐年要求公務機關提升成熟度等級。
一套資安治理計畫必須從策略面、管理面與技術面等三大面向來構築,而要定義企業的資安治理策略與目標之前,必須由高階主管先評估衡量企業現行各種業務營運上的風險,包括企業內外部及第三方單位,而資安風險又將如何牽連影響上述企業風險,接著資安治理策略指的就是企業對風險的接受程度,如何改善與管理上述風險,以及完成上述項目所需要投入的資源等。也因此,隨著企業所屬產業與業務形態的不同,所面臨的資安風險也有所差異,即使同一家企業隨著業務的擴張或營運項目的改變,每年也應重新檢視策略與目標。
一旦制定出策略與目標之後,相關的程序與管理辦法也能建置展開,包括委外廠商資安管理、資產分級與風險管理、員工資安認知與訓練等。在管理層面上,必須確保相關程序與作業是可被重複執行且被衡量與歸責的,以及在整個組織推動時對於風險有一致的管理辦法與評估標準。第三個面向則是技術面,包括存取控制管理、通訊管理、資安事件通報、系統開發與維運等,尤其在新版的ISO 27001:2022中,新增以及修訂許多控制措施,由144項整併為93項,包括對於安全程式碼撰寫以及組態設定等都有更明確的規範。
最後要強調的是,資安是循序漸進的過程,在不同階段都有不同的資安治理目標與控制項目。企業領導者的重視可以說讓資安先成功了一半,另一半則是要靠IT部門以及其他部門共同承擔,讓每位員工都投入扮演相關角色。
>>完整資安治理計劃諮詢<<
>>資安顧問服務<<
