2010年2月1日 星期一

[專題] 資訊安全管理導入實務(一) - ISO 27001資訊安全管理系統簡介

推動資訊安全工作,主要涵蓋的層面包括人員、作業流程和資訊技術,要如何將此三者串連起來,最好的方式就是建置一套適合組織的資訊安全管理制度。目前,實務上最好的參考指引就是國際資訊安全管理標準ISO 27000系列的規範,接下來的文章,將會說明如何協助組織導入符合標準要求的資訊安全管理制度。

一談到資訊安全,大多數人的直覺反應就是在抵擋駭客入侵,但事實上,這只是其中的一小部分而已。過去,許多企業組織對於資訊安全的投入,主要都是著重在技術面的資安基礎建設,例如建置網路防火牆、防毒軟體和入侵偵測系統等,希望藉由安裝資安軟、硬體設備來加強網路安全,以抵擋來自企業外部的各種資訊安全威脅。

可是,僅僅做好網路安全防護,並無法有效地解決各種資訊安全問題的發生,因為還有兩項大原則必須要同時兼顧到,那就是人員與作業流程。因此,確保組織資訊安全的最佳方式是從管理層面來著手,藉由建立一套完整的資訊安全管理系統(Information Security Management Systems, ISMS),才能有效防範資訊安全事件的發生,但是資訊人員們可千萬別誤會,這裡的「系統」指的並不是架設一台伺服器或是開發某個應用系統,它背後代表的意義,其實是要建立可以持續運作的資訊安全管理制度。

資訊安全管理標準簡介

目前,ISO 27000系列是國際上受到認可的資訊安全管理標準,其中在2005年通過的ISO 27001標準,它是規範建立、實施資訊安全管理系統的方式,以及落實文件化的要求,可以確保資訊安全管理制度,在組織內部能夠有效的運作,同時它也可以作為資訊安全管理系統的驗證標準。截至2009年6月為止,在全球已經有超過5600個組織通過驗證,台灣也有321個組織(包括公民營單位)取得ISO 27001證書,僅次於日本、印度、英國,位居全球第4位。

至於ISO 27002則是資訊安全管理作業要點,內容涵蓋了11個章節以及133個安全控制措施,提供很多實務上能夠運用的做法,可作為建立一個標準的資訊安全管理系統的參考。如果管理人員想要協助組織建立資訊安全管理制度,卻不知應該要如何著手時,就可以參照這個標準的內容來進行。

在ISO 27001標準中的要求,都是屬於一般性且可廣泛應用的,也就是說,它適用於任何型式的組織,而不受限於規模大小和營業性質。因此,只要是有心想要加強資訊安全的企業或政府單位,都可以藉由參考ISO 27001中的規範,自行選擇符合組織需求的資訊安全控制措施,來達成一定水準的資安防護能力。

管理制度的運作架構

在資訊安全管理系統的運作上,ISO 27001要求組織應該要在整體業務活動與其所面臨的風險之下,建立、實施、運作、監控、審查,並且維持和改進一個已經有文件化的管理制度,如果要確保它可長可久,就必須要運用PDCA(Plan-Do-Check-Act)過程導向模式,作為整體管理制度運作的基礎。

所謂的PDCA是指「計劃-執行-檢核-行動」的過程,在一開始的計劃階段,組織必須要建立符合營運目標的ISMS政策,它定義了組織實施ISMS的範圍,並說明資訊安全的目標、需要透過哪些指標去衡量成效,以及管理階層應該擔負的責任。因此,資訊安全政策也可視為管理階層對於資訊安全的宣誓與支持,唯有如此,到了執行的階段,我們才可依照此一政策來逐步推動各項資安的控制措施,並且建立相關的作業程序。

在依照計劃並且執行之後,要如何得知實施的成效呢?這時候就要進入檢核的階段,針對ISMS政策、控制目標及實行的過程,依照政策中所設定的指標去分析、評量實施的成果與績效,然後再將此一結果回報給管理階層作為審查之用。最後,再依據審查的結果,若是發現執行過程中有一些不符合的事項,就要透過實際行動來進行改善,也就是採取相對應的矯正和預防措施,來持續改進ISMS的整體運作。

ISO 27001標準條文內容

ISO 27001標準條文一共分為8個章節以及附錄,其中第1到3章,說明了ISMS的適用範圍、所引用的其他標準,以及相關名詞的解釋。ISO 27001條文的重點主要是落在第4到8章和附錄A,分別是「資訊安全管理系統」、「管理階層責任」、「ISMS內部稽核」、「ISMS之管理階層審查」、「ISMS之改進」,以及附錄A的控制目標與控制措施。其中特別要注意的,就是在這5個章節之中,涵蓋了資訊安全管理制度的建立運作與文件記錄管制、風險評鑑、管理責任、內部稽核和持續改善等要求,如果組織有任何一項不符合,就表示此一管理制度是無效的,也就無法通過ISO 27001標準的驗證,所以務必要了解條款背後所代表的執行意義。

為了滿足以上所提到的PDCA架構,在ISO 27001標準條文中,也是基於此一運作模式來設計,以第4章為例,4.2.1是「建立ISMS」、4.2.2為「實施與運作ISMS」、4.2.3是「監督與審查ISMS」、4.2.4則是「維持與改進ISMS」,剛好就對應了從計畫建立(P)、實施運作(D)、監督審查(C)及維持改善(A)的四個循環過程,換句話說,只要組織能夠持續PDCA的管理模式,就可以確保資訊安全管理制度可以有效地運作。

以下就先簡要說明4.2.1「建立ISMS」條文的內涵:
  1. 定義ISMS範圍 - 在此條文中,要求組織首先要依據營運、組織、所在位置、資產和技術等特性,定義出資訊安全應受到適當控管的範圍。我們可以依照組織本身的特性,以部門、系統、業務項目或實體環境來定義所要實施控管的範圍,舉銀行業為例,我們可以選擇銀行資訊部門作為導入ISMS的範圍,也可以將信用卡這項業務服務相關的部門、人員、流程或是信用卡服務中心所在地點作為實施範圍。在實務上,當組織在定義範圍的時候,請僅記一項原則,就是務必要把核心的業務納進來,因為別忘了我們一開始即提到,資訊安全的目標要與營運目標一致,如果不針對主要業務來進行資安控管,實施起來就不具有意義了。
  2. 界定ISMS政策 - 在制定政策的時候,我們需要考量組織營運與相關法規的要求,還有合約中所制定的資訊安全責任,例如法律要求必須要保障個人隱私、保護重大營運資訊,或是合約中要求必須保護客戶資料等,這些都是我們設定資安目標時的重要依據與參考。另外,在ISMS政策中,我們也要建立可以用來評估風險的準則,並且要能符合組織的整體風險管理策略。
  3. 界定風險評鑑作法 - 風險評鑑有各種不同的方法論,讀者可參閱網管人二月和三月號中有關資安風險管理的說明,自行發展出可以識別組織風險的方法,並定出風險可以接受的等級。標準之中對於風險評鑑方法的要求,在於風險評鑑後所產出的結果,必須是可比較且可再產生的,換句話說,風險評鑑的方法,必須能夠重複使用,而且在不同時期進行的風險評鑑,其結果皆可用來相互比較分析,以作為風險處理與改善的方向。
  4. 管理階層審查 - 標準中提到在風險處理之後,所殘留下來的剩餘風險,必須要取得管理階層的授權與核可,整個風險處理過程才算完成。
  5. 擬定適用性聲明書 - 所謂的適用性聲明是指針對資安風險所選擇的控制目標與措施,組織必須要說明其選擇的理由,另外,在標準中所排除的控制項目,也必須要提出合理的解釋。適用性聲明的主要目的,是為了要確保不會有存在於組織中的資安風險,受到忽略而缺少適當的控管。
資訊安全是一個管理過程

資訊安全是一個管理過程,而不是一項技術導入過程,在ISO 27002標準中提到,「資訊安全是為了有效保護資訊不會受到各種威脅,實施各項適當的控制措施,以使企業能夠持續營運,將可能受到的損失降至最低,並獲得最大商機。」所以,維護資訊安全並不單只是資訊人員的責任,而是必須提高層級由企業組織的管理階層做出承諾,要求成為所有人員必須遵守的規範,也唯有人員都具備了資訊安全的警覺與防護意識,才能降低資安事件發生的可能。(本文刊載於2009年7月號網管人雜誌)

4 則留言:

Dr security 提到...

您好,很喜歡您整理的資料,我個人是在安全監控業服務的(包括ip cam),剛成立一個BLOG,有興趣的話,可以前來指導一下,謝謝。
http://securitypro-anny.blogspot.com

傑克小花 提到...

您好,謝謝您的回應,安全監控也是資安的重要一環,您能在Blog上分享寶貴的經驗那真是太好了呢,也希望日後能與您多交流喔~

阿樹 提到...

最近看資策會好像有開ISO27005 RA 的認証課。不知道這個認証。是否有考的必要性呢?

傑克小花 提到...

Hi 阿樹,
如果您的工作是和資安與風險管理有關,那麼 ISO 27005是一個蠻好的參考標準,它可以協助您進行資安的風險評鑑和風險處理,對於風險管理的全貌也會有更完整的認知喔~