2010年2月24日 星期三

[專題] 資訊安全管理導入實務(三) - ISO 27001的文件化要求

在上一篇,已說明了ISO 27001標準中有關「實施與運作ISMS」、「監督與審查ISMS」,以及「維持與改進ISMS」的作法,並且提到People(人員)、Process(流程)和Product(產品)是資訊安全管理的基礎,如果要將此三者在組織中予以串聯落實,那麼撰寫明確並可供參考的文件就顯得十分重要。

在ISO 27001標準中,開宗明義即提到它的適用範圍涵蓋了各種形式的組織,包括商業團體、政府單位和非營利機構等,標準中規定應在組織整體的營運活動和其所面臨的各種風險中,建立、實施與運作、監督與審查、維持與改進「已文件化」的資訊安全管理系統要求。有關ISO 27001標準的文件化要求,主要是在4.3條文中說明,其所謂的文件化,除了政策的宣示、制訂作業程序規範及表單之外,還包括了管理階層針對資訊安全相關活動,進行各項決策所產生的記錄。

標準要求留下記錄的目的,是為了確保組織所實施的各項資安控制措施,都可以進行追溯,以便了解管理階層是在什麼時間點做出什麼樣的決定。因此,管理階層的各項決策記錄,應該是會不斷重覆產生的,透過這些決策記錄,就可以顯現出管理階層的作為,是不是依據風險評鑑的結果作出適當的風險處理,而不是僅憑個人臆測所作出的指示行動,也更能了解其資安作為是否符合組織的資訊安全政策,並且和組織的整體風險具有明確的關聯性。

ISO 27001要求的文件

組織在導入ISO 27001標準的過程中,需要產出的文件至少包括:
  • 資訊安全政策:在標準本文的4.2.1(b)中提到,組織應依其營運型態、所在位置、資產及技術等各項特性,來制定其ISMS政策,在政策中需要陳述確保資訊安全的目的為何,以及有關資訊安全的行動準則與目標。一般而言,資訊安全的目標不會脫離確保資訊的機密性、完整性和可用性,但是為達到以上的資訊安全目標,在資安政策中應定義出可量化的指標,例如可歸責於資訊單位的駭客入侵和資料外洩事件,經外部通知後尚未處理的事件目標值為0;或是重要應用系統的可用率應高於99%等。另外,組織應考量本身適用的法令法規要求,以及合約規範的內容,在資安政策中說明應有的資訊安全義務,還有管理階層本身應盡的責任,使其在執行管理工作時能有明確的依據。
  • 支援ISMS的各項程序書:為了符合ISO 27001的要求,組織需要加強資訊安全的控管,也就必須建立起各種不同的標準作業程序。常見的作業程序有資訊資產管理程序、網路安全管理程序、資訊存取控制程序、實體安全管理程序、資訊安全事件管理程序和資訊作業委外管理程序等。
  • 風險評鑑方法論:關於風險評鑑的方法,通常會寫在風險評鑑與管理程序之中,說明組織是如何去識別威脅與弱點所產生的風險,以及風險值的評價與計算方式,並定義出可接受的風險等級。風險評鑑方法最重要的就是必須能夠產生可比較和可重複的結果,也就是說,同樣的風險評鑑方法應該能反覆實施,而其所產生的結果可以用來相互比較,以了解組織前後所面臨的風險現況。
  • 風險評鑑報告:在風險評鑑報告中,必須記載此次風險評鑑的範圍和執行風險評鑑的時間,並且說明風險評鑑作業的執行方式與流程,若是首次執行風險評鑑作業,一開始需進行的是資訊資產的識別與盤點,若是重新進行風險評鑑的話,則是要確認組織是否有新增或是異動的資產,並給予適當的資產價值。至於風險的分析,則是要確認是否有新的威脅與弱點產生,並且判斷每一項資訊資產中,威脅利用弱點而產生風險的可能性。最後則是要說明本次風險評鑑的結果,有哪些資訊資產的風險值在可接受的風險之上,以列表方式把它呈現出來。
  • 風險處理計劃:根據風險評鑑報告的結果,組織必須針對風險過高的資訊資產,決定所要採取的風險處理方式。一般而言,最常採取的作法就是降低風險,因此需要提出改善的作為或是控制方法。在風險處理計畫中,除了說明以上的處理方式外,最重要的是要指定一位負責人或負責單位,並註明預定完成處理的日期,以及預期將獲得的改善效益,也就是說明將如何去降低資訊資產的風險值。
  • 控制措施的有效性量測:組織所採取用來降低風險的控制措施是否有效,不是自己說了就算數,而是必須有一套客觀的量測方法,以證明所面臨的風險已經被有效的控制住。針對有效性量測,在ISO 27001標準中著墨的並不多,它提到組織需要確保有效規劃、運作和控制其安全過程,並描述如何去量測控制措施的有效性。在4.2.3條文中則指出,量測控制措施的有效性,目的就是要能證明組織已符合ISMS的各項要求,因此,組織所選擇採用的控制措施,每一項都要說明其量測的方法和量測的指標,並且記錄其量測的結果,以便稽核人員在審查時能夠一目瞭然,判斷選擇用來降低風險的控制措施是否適當。
  • 適用性聲明書:適用性聲明是用來陳述在資訊安全管理的過程中,組織依據風險評鑑的結果,決定選擇適用或不適用的ISO 27001附錄A控制措施。ISO 27001標準中所提到的133項資訊安全控制措施,並非每一項都要求強制實行,而是可依照組織實際的運作狀況和評鑑後的風險來自行決定。只不過,如果控制措施適用的話,必須指出其參考的文件為何,不適用的話,則要說明其理由。舉例來說,例如A.9.1.2實體進入控制措施,其採用的理由是為了確保只有經過授權的人,才能進入如機房等敏感實體區域,所以制訂了人員出入管制規範,而這項控制措施所參考的文件,則是實體安全管理程序和機房管理作業要點,讓相關人員可依照文件中的要求規範來遵照執行。
文件管制防護與作法

在ISO 27001標準中的各項作業程序文件,可說是整個資訊安全管理制度運作的骨架,因此在4.3.2文件管制的條文中,提到這些所需的文件應受到適當的保護與管制,其要求的作法如下:
  1. 在文件發行之前,必須要有管理階層的核准,以確保文件內容的正確與適用性。
  2. 如果因組織變動或作業流程的更改,在必要的時候,ISMS文件可以進行修訂與內容更新,但是必須經過管理階層的重新審查與核准後,才可頒布使用。
  3. 文件如果經過變更或修訂,應該採取適當的標示,例如註明文件名稱、文件編號與版次,並且在變更記錄中記載修訂的內容摘要、頁數、發布日期、修訂日期及修訂人員。
  4. 文件必須確保其內容易於識別和閱讀,並且要讓需要使用的人員能夠隨時取得,使用到最新版本的文件。
  5. 文件的分發必須進行管制,依照不同文件的敏感等級,提供給授權的人員使用,並且依照其所要求的資料交換作法,進行傳送和儲存。
  6. 文件若需要作廢時,應依據作廢流程確實執行,以避免作廢的文件遭到誤用,在特定的情況下,如果需要保留作廢的文件,也應該要有清楚的標示。
記錄管理要求與維持

除了各項文件需要受到適當控管之外,在ISO 27001標準4.3.3記錄管制的條文中,要求各項記錄應加以保護與管制,尤其是在法律或合約中有明訂要求保存的,更應該要有良好的控管。因此,在ISMS運作的過程中,所產生的各項活動記錄,也應該要被適當的保存,以作為管理制度有效運作的證據。所謂的記錄,包括像是機房人員的進出記錄、敏感資訊的存取記錄和資訊安全稽核報告等,都應保持容易閱讀、識別和檢索,並有適當的儲存方法與保存期限,而無論是文件或是記錄,都可採取紙本或電子形式,儲存於受到良好防護的實體,例如檔案室或硬碟、磁帶之中。

至於本文一開始所提到的「已文件化」程序,乃是指組織有一建立、文件化、實作和維持的程序,因此針對各項ISMS需要的文件與運作記錄,每個組織可能會有不同的文件化程度,但是在文件與記錄的管制要求上,兩者並無差別。所以,組織若想要維持一個有效且持續運作的資訊安全管理制度,那麼在文件與記錄的管理方面,勢必得要建立起符合標準要求的作業規範。(本文刊載於2009年9月號網管人雜誌)

2010年2月8日 星期一

[專題] 資訊安全管理導入實務(二) - 實施與維護資訊安全管理系統

在上一篇,介紹了目前廣泛被認可的資訊安全管理標準ISO 27001,可以作為企業建立資訊安全管理制度(ISMS)的參考規範,並且說明了支持管理制度運作的PDCA架構和「建立ISMS」條文的內涵,本篇將繼續說明標準中有關「實施與運作ISMS」、「監督與審查ISMS」,以及「維持與改進ISMS」的作法。

資訊安全是一個管理過程,在建立資安管理制度的過程中,主要會牽涉到三個P,分別是People (人員)、Process (流程)和Product (產品),而在此三者之中,又以人員可說是管理制度成敗的首要關鍵。因此,在企業建立資安管理制度的初期,要如何找到對的人來執行,也就是如何成立一個資安管理推動小組,驅動企業成員的參與,將是首要的任務,接下來才是去思考如何建立起安全的作業流程,然後在作業流程的各個階段,導入適當的資安技術產品,以作為資訊安全的控制措施。

就目前個人所觀察到的現況,大多數企業對於資訊安全的管理,主要仍是落在導入產品的這一部份,所採取的作法也偏重在頭痛醫頭、腳痛醫腳,缺少一個有效完善的資安對應策略。相關人員對於資訊安全的概念,也是來自於銷售資安產品的廠商,往往會受限於只從技術的觀點出發,而忽略了管理的要求,以為添購了市面上最流行的產品之後,就可以解決所面臨的資安問題,但是事實上,資料外洩或是不當的入侵事件,在企業內仍舊是層出不窮。

實施與運作資安管理制度

在上回所談到建立ISMS的過程中,我們必須界定能夠識別企業風險的風險評鑑方法,並且運用此一方法去識別企業各項具有價值的資產,評估資產本身所具有的弱點,以及所面臨的威脅是否會利用這些弱點,可能對企業造成機密性、完整性和可用性的衝擊,然後再針對分析和評估各項風險的結果,依據所計算出的風險值大小和風險等級,決定要如何進行風險處理,也就是要選擇實施哪些資安控管措施。至於這些控管措施的作法,可能是透過建立標準作業流程來因應,或是添購產品以技術方法加以解決。

在ISO 27001標準4.2.2「實施與運作ISMS」條文中提到,我們要去建立一個風險處理計畫,評估企業現有的環境、資源和責任,然後制定出風險處理的優先次序。在風險處理計畫中,人員的調派和責任的配置相當重要,針對各項想要處理的風險,我們必須指定一位負責人,並說明要採取何種方式去降低此項風險及處理時間,如果是導入產品,就要擬定導入產品的時程,以及預估其可達到的控制成效。

其中特別要注意的是,在產品還無法負起資安防護的工作之前,必須選擇短期的對應措施。舉例來說,若企業所分析出的風險是敏感作業區域缺少門禁管制,採取的風險處理方法為添購門禁刷卡系統,但是預估要三個月才能建置完成,那麼在這三個月之內,缺少門禁管制的風險依舊是存在的,我們必須要實施短期的控制措施,先行控制這項風險,具體作法像是可調派警衛執行定點監控,檢查出入人員識別證等,以避免可能的資安事件發生。

到了運作ISMS的階段,企業必須要能確保所選擇的控制措施是有效的,換句話說,可以透過量測的方式,來評估控制方法的有效性。俗話說:「預防勝於治療」,所以在量測指標的設定上,我們應以設定偵測性指標為主,而避免把發生資安事故的次數作為量測的指標。例如在資料安全性的量測方面,我們可以用人員違反作業規範的次數來進行評量,而不是以發生資料外洩事件的件數作為量測的指標。

監督與審查資安管理制度

為了確保資安管理制度能夠有效運作,企業必須要有適當的監督方法,像是剛才提到可以設定量測性指標作為控制措施是否有效的衡量依據,因此,若想要去進行量測,就要事先擬定出可行的監督審查程序。在ISO 27001標準4.2.3的條文中提到,我們要能立即識別出可能危害資訊安全的事故發生,也要能夠判定所選擇的控制措施,都能如預期般地順暢運作執行。所以針對每項控制措施,就要在監督程序書中說明我們多久會進行一次有效性量測?如何去判定此項控制措施是否有效?多久會進行一次管理階層的審查?並且還要將安全稽核、發生的資安事故、有效性量測的結果,以及利害關係人所提出的建議,一併納入考量。

對企業而言,想要了解制度是否有效的執行,最常採取的作法就是定期實施內部稽核。所謂的內部稽核是指由企業內獨立的公正單位,像是稽核室人員,依照企業本身所遵守的標準、制度和法規,事先擬定查核項目,然後進行實地訪查和抽樣,以了解管理制度是否如文件中制定的要求來進行。在稽核的過程中,若有各項符合或不符合事項的發現,都要留下包括人、時、地、事、物的完整記錄,以作為未來管理階層審查時的輸入參考,藉此才能提出未來的改善目標和計畫。

維持與改進資安管理制度

企業透過定期實施的資安稽核,就可以了解目前資安管理制度的執行現況,從中發現人員、作業流程和產品技術是否有不足或是需要加強改進的地方。因此,在標準4.2.4「維持與改進ISMS」條文中提到,企業需要定期實施各項ISMS之改進,並依據所發現的不符合事項,進行適當的矯正和預防措施,像是作業文件的修訂、實施人員的教育訓練、加強技術性的弱點防護等,目的就是要達到預期的改善目標,並且確認各項資安控管措施是有效的,才能將可能的資安風險降至最低。

在ISO 27001標準的4.2條文之中,關於建立ISMS的篇幅較大,敘述也較為詳盡,這部份是企業一開始最用心且投入較多的地方,反觀維持與改進ISMS的內容,它說明應執行的事項並不多,也是整個管理制度中,很容易忽視或執行不夠徹底的地方。記得在西遊記裡有句諺語說:「起頭容易結梢難」,意思是指事情的開頭容易,但是要有令人滿意的結果卻很難。所以在此要提醒各位,可別忘了要確保資安管理制度可以有效地運作,就必須要持續PDCA的管理模式,例如維持與改進ISMS是屬於A的階段,若是沒有確實的執行,要再次銜接到下一循環的P就會有困難,可能會導致整個管理制度難以持續有效地運作下去。

熟悉標準將可事半功倍

所謂的管理制度,往往是說來容易做來難,以ISO 27001為例,在這薄薄數十頁的標準內容中,其實有著相當博大精深的內涵,要能夠完全理解它並不容易,但參照標準的好處是,可以快速地掌握各項資安管理制度的重點,然後再依據組織的現況和資源來予以彈性的運用。

至於本文一開始提到的三個P,則是執行資安管理的基礎,同時三者也是不可偏廢的,換句話說,想要只依靠單一要素來達到有效的資安管理,可說是難上加難,唯有融合專家智慧所凝聚出的標準規範,再讓上述三者能夠相輔相成,這樣才可達到事半功倍的效果,對於有心想落實資訊安全的企業,標準才會變身成為一項切實可用的神兵利器,而不只是所謂的紙上談兵,下一篇,將會說明ISO 27001針對管理制度的各項文件化要求。(本文刊載於2009年8月號網管人雜誌)

2010年2月1日 星期一

[專題] 資訊安全管理導入實務(一) - ISO 27001資訊安全管理系統簡介

推動資訊安全工作,主要涵蓋的層面包括人員、作業流程和資訊技術,要如何將此三者串連起來,最好的方式就是建置一套適合組織的資訊安全管理制度。目前,實務上最好的參考指引就是國際資訊安全管理標準ISO 27000系列的規範,接下來的文章,將會說明如何協助組織導入符合標準要求的資訊安全管理制度。

一談到資訊安全,大多數人的直覺反應就是在抵擋駭客入侵,但事實上,這只是其中的一小部分而已。過去,許多企業組織對於資訊安全的投入,主要都是著重在技術面的資安基礎建設,例如建置網路防火牆、防毒軟體和入侵偵測系統等,希望藉由安裝資安軟、硬體設備來加強網路安全,以抵擋來自企業外部的各種資訊安全威脅。

可是,僅僅做好網路安全防護,並無法有效地解決各種資訊安全問題的發生,因為還有兩項大原則必須要同時兼顧到,那就是人員與作業流程。因此,確保組織資訊安全的最佳方式是從管理層面來著手,藉由建立一套完整的資訊安全管理系統(Information Security Management Systems, ISMS),才能有效防範資訊安全事件的發生,但是資訊人員們可千萬別誤會,這裡的「系統」指的並不是架設一台伺服器或是開發某個應用系統,它背後代表的意義,其實是要建立可以持續運作的資訊安全管理制度。

資訊安全管理標準簡介

目前,ISO 27000系列是國際上受到認可的資訊安全管理標準,其中在2005年通過的ISO 27001標準,它是規範建立、實施資訊安全管理系統的方式,以及落實文件化的要求,可以確保資訊安全管理制度,在組織內部能夠有效的運作,同時它也可以作為資訊安全管理系統的驗證標準。截至2009年6月為止,在全球已經有超過5600個組織通過驗證,台灣也有321個組織(包括公民營單位)取得ISO 27001證書,僅次於日本、印度、英國,位居全球第4位。

至於ISO 27002則是資訊安全管理作業要點,內容涵蓋了11個章節以及133個安全控制措施,提供很多實務上能夠運用的做法,可作為建立一個標準的資訊安全管理系統的參考。如果管理人員想要協助組織建立資訊安全管理制度,卻不知應該要如何著手時,就可以參照這個標準的內容來進行。

在ISO 27001標準中的要求,都是屬於一般性且可廣泛應用的,也就是說,它適用於任何型式的組織,而不受限於規模大小和營業性質。因此,只要是有心想要加強資訊安全的企業或政府單位,都可以藉由參考ISO 27001中的規範,自行選擇符合組織需求的資訊安全控制措施,來達成一定水準的資安防護能力。

管理制度的運作架構

在資訊安全管理系統的運作上,ISO 27001要求組織應該要在整體業務活動與其所面臨的風險之下,建立、實施、運作、監控、審查,並且維持和改進一個已經有文件化的管理制度,如果要確保它可長可久,就必須要運用PDCA(Plan-Do-Check-Act)過程導向模式,作為整體管理制度運作的基礎。

所謂的PDCA是指「計劃-執行-檢核-行動」的過程,在一開始的計劃階段,組織必須要建立符合營運目標的ISMS政策,它定義了組織實施ISMS的範圍,並說明資訊安全的目標、需要透過哪些指標去衡量成效,以及管理階層應該擔負的責任。因此,資訊安全政策也可視為管理階層對於資訊安全的宣誓與支持,唯有如此,到了執行的階段,我們才可依照此一政策來逐步推動各項資安的控制措施,並且建立相關的作業程序。

在依照計劃並且執行之後,要如何得知實施的成效呢?這時候就要進入檢核的階段,針對ISMS政策、控制目標及實行的過程,依照政策中所設定的指標去分析、評量實施的成果與績效,然後再將此一結果回報給管理階層作為審查之用。最後,再依據審查的結果,若是發現執行過程中有一些不符合的事項,就要透過實際行動來進行改善,也就是採取相對應的矯正和預防措施,來持續改進ISMS的整體運作。

ISO 27001標準條文內容

ISO 27001標準條文一共分為8個章節以及附錄,其中第1到3章,說明了ISMS的適用範圍、所引用的其他標準,以及相關名詞的解釋。ISO 27001條文的重點主要是落在第4到8章和附錄A,分別是「資訊安全管理系統」、「管理階層責任」、「ISMS內部稽核」、「ISMS之管理階層審查」、「ISMS之改進」,以及附錄A的控制目標與控制措施。其中特別要注意的,就是在這5個章節之中,涵蓋了資訊安全管理制度的建立運作與文件記錄管制、風險評鑑、管理責任、內部稽核和持續改善等要求,如果組織有任何一項不符合,就表示此一管理制度是無效的,也就無法通過ISO 27001標準的驗證,所以務必要了解條款背後所代表的執行意義。

為了滿足以上所提到的PDCA架構,在ISO 27001標準條文中,也是基於此一運作模式來設計,以第4章為例,4.2.1是「建立ISMS」、4.2.2為「實施與運作ISMS」、4.2.3是「監督與審查ISMS」、4.2.4則是「維持與改進ISMS」,剛好就對應了從計畫建立(P)、實施運作(D)、監督審查(C)及維持改善(A)的四個循環過程,換句話說,只要組織能夠持續PDCA的管理模式,就可以確保資訊安全管理制度可以有效地運作。

以下就先簡要說明4.2.1「建立ISMS」條文的內涵:
  1. 定義ISMS範圍 - 在此條文中,要求組織首先要依據營運、組織、所在位置、資產和技術等特性,定義出資訊安全應受到適當控管的範圍。我們可以依照組織本身的特性,以部門、系統、業務項目或實體環境來定義所要實施控管的範圍,舉銀行業為例,我們可以選擇銀行資訊部門作為導入ISMS的範圍,也可以將信用卡這項業務服務相關的部門、人員、流程或是信用卡服務中心所在地點作為實施範圍。在實務上,當組織在定義範圍的時候,請僅記一項原則,就是務必要把核心的業務納進來,因為別忘了我們一開始即提到,資訊安全的目標要與營運目標一致,如果不針對主要業務來進行資安控管,實施起來就不具有意義了。
  2. 界定ISMS政策 - 在制定政策的時候,我們需要考量組織營運與相關法規的要求,還有合約中所制定的資訊安全責任,例如法律要求必須要保障個人隱私、保護重大營運資訊,或是合約中要求必須保護客戶資料等,這些都是我們設定資安目標時的重要依據與參考。另外,在ISMS政策中,我們也要建立可以用來評估風險的準則,並且要能符合組織的整體風險管理策略。
  3. 界定風險評鑑作法 - 風險評鑑有各種不同的方法論,讀者可參閱網管人二月和三月號中有關資安風險管理的說明,自行發展出可以識別組織風險的方法,並定出風險可以接受的等級。標準之中對於風險評鑑方法的要求,在於風險評鑑後所產出的結果,必須是可比較且可再產生的,換句話說,風險評鑑的方法,必須能夠重複使用,而且在不同時期進行的風險評鑑,其結果皆可用來相互比較分析,以作為風險處理與改善的方向。
  4. 管理階層審查 - 標準中提到在風險處理之後,所殘留下來的剩餘風險,必須要取得管理階層的授權與核可,整個風險處理過程才算完成。
  5. 擬定適用性聲明書 - 所謂的適用性聲明是指針對資安風險所選擇的控制目標與措施,組織必須要說明其選擇的理由,另外,在標準中所排除的控制項目,也必須要提出合理的解釋。適用性聲明的主要目的,是為了要確保不會有存在於組織中的資安風險,受到忽略而缺少適當的控管。
資訊安全是一個管理過程

資訊安全是一個管理過程,而不是一項技術導入過程,在ISO 27002標準中提到,「資訊安全是為了有效保護資訊不會受到各種威脅,實施各項適當的控制措施,以使企業能夠持續營運,將可能受到的損失降至最低,並獲得最大商機。」所以,維護資訊安全並不單只是資訊人員的責任,而是必須提高層級由企業組織的管理階層做出承諾,要求成為所有人員必須遵守的規範,也唯有人員都具備了資訊安全的警覺與防護意識,才能降低資安事件發生的可能。(本文刊載於2009年7月號網管人雜誌)