在「解碼郭台銘語錄」一書中,鴻海集團董事長郭台銘有這麼一句名言:「沒有管理,只有責任;管理可以訓練,領導沒法訓練。」他認為管理階層一定要在「油鍋裡炸過」,要能夠自己做出決策,以親身經驗才能去領導別人,否則即使有多麼完善的制度或法令去規範也沒用,因為下面的人並不會依照方向和時間來往前走。郭董事長的觀點,一語道破了在資訊安全管理制度之中成敗興廢的關鍵因素,也就是管理階層的親身參與和支持。
企業與組織若想建立一個有效且持續運作的資安管理制度,從一開始的規劃討論與專案啟動,到建立制度並且實施之後的管理審查階段,這些都仰賴管理階層的領導與決策能力,如果管理階層只是像沾沾醫油一樣,那麼這個管理制度註定是會失敗的。
也正因為如此,在ISO 27001標準中的第五章,規範的就是管理階層責任與應有的作為,而第七章則是要求管理階層必須依照所規劃的時程,定期審查組織的ISMS是否如預期般的有效運作,並且要確保可持續地適用於組織現況,同時每一次的審查結果都必須要留下文件化的記錄,以做為日後進行改善之用。
管理階層的承諾
為了要確保管理制度的有效性,ISO 27001標準中要求管理階層必須提供對於ISMS的建立、實施與運作、監督與審查、維持與改進的各項承諾證據,因此,管理階層應有的作為至少包括了:
- 為組織建立一份資訊安全政策,內容應說明為了達到資訊安全所採取之各項行動,必須依據何種準則或規範來進行。在政策中也需要說明如何去評估組織的資安風險,有哪些必須要遵守的法令法規和合約要求,以及管理階層的責任為何。
- 制定組織的資訊安全目標,確認達到各項目標的計畫和實施方式,並建立和資訊安全有關的各種角色與責任。例如確保內部員工、外部承包商和第三方的使用者,皆能明瞭其安全責任並符合要求,以降低可能的資訊安全風險。
- 對內對外傳達所建立的資訊安全政策、目標及法律所規範的組織責任,宣示維護資訊安全的決心,並要求不斷地持續改善可能的資安風險。
- 提供建立與維持資訊安全管理制度持續運作所需的資源,包括人力、物力和財力等。
- 在風險評鑑完成之後,決定組織所面臨的資安風險接受準則,要求對於具高風險之資產進行妥善處理,並決定最後可接受的剩餘風險等級。
- 確保組織依照既定的規劃時程進行內部稽核,依據內部稽核的結果要求進行矯正預防措施,並且實施管理階層審查。
企業或組織欲導入資訊安全管理制度,目前普遍的作法是尋求外部顧問的協助導入,在評估各項文件與實施運作均符合ISO 27001標準的要求之後,再進一步請第三方驗證公司進行稽核,以便取得國際認可的ISO 27001認證。因此,在導入之前,所需成本的預算編列將是第一要務,組織應考慮營運規模的大小、導入的範圍和預計完成的時間來予以評估,而這些也都需要管理階層的參與和核准。
此外,在ISMS的建立、實施與運作、監督與審查、維持與改進的過程中,管理階層的責任是要確保各項資訊安全的作業程序,能夠符合組織營運的要求。換句話說,如果因為資訊安全的考量,所實行的控制措施已妨礙到日常業務的進行,那麼管理階層就必須適時的作出反應,或進行作業程序上的調整。
當然,在導入的過程中,很可能會識別出組織以往未曾發覺的資安風險,這時候進行風險的控管是必要的,而所使用的方式可能是從管理制度面來著手,擬定相關的作業程序,或是透過技術面的管控,藉由購置資安設備來到抵禦資安威脅。這些控制措施的實施是否正確且適當,也需要管理階層定期加以關切,以督導相關人員進行維護與改進。
確保資安認知能力
根據個人的觀察,目前企業或組織中最缺乏的就是熟悉資訊安全的人才,一旦管理階層決定要導入資訊安全管理制度,即刻面臨到的問題就是該由誰來負責執行?雖然我們可以仰賴外部顧問的協助,但若內部人員缺少維護與運作的能力,當合約期滿之後,很可能就會讓整個制度趨於荒廢。
因此,在組成跨部門的資安小組之前,管理階層要決定的就是執行相關工作的人員,到底需要具備什麼樣的能力?最簡單的方法,就是將人員送去參加ISO 27001的各項訓練課程,或是直接聘僱已參與ISO 27001相關課程並通過考試的人員,協助ISMS工作的推動。
為了確保ISMS相關人員的技能,管理階層需要決定教育訓練的實施計畫,並針對不同的角色人員,提供不同的訓練課程。例如主管人員安排參與定期的主管人員資安訓練;一般人員需參與一般人員的資訊安全認知課程;技術人員則參加相關設備的操作訓練或是和駭客攻防有關的技術課程。
當然,這些措施是否有效,也需要管理階層的長期關注,藉由定期審查人員維持教育訓練的記錄,或是已取得之技術證照,可確保所有人員皆認知其負責資安工作的重要性,以及具備所需要之專業技能。
進行管理階層審查
ISO 27001標準中要求,管理階層必須定期審查組織運作中的ISMS,以確保其持續的適用性與有效性。在實務上的做法是至少一年一次定期性的召開管理階層審查會議,根據ISMS運作時所產出的文件記錄,由參與的主管來評鑑ISMS的改善機會和方向。在管理審查程序上,標準要求必須要有9項審查輸入和5項審查輸出,分別說明如下:
審查輸入包括─
(1) 來自於內部和外部稽核的結果記錄
(2) 利害相關團體像是股東、客戶、供應商的意見或所提出之問題
(3) 是否有可以改善資訊安全的產品、技術或作業程序
(4) 已實施的資訊安全控制措施的現況
(5) 各項資訊安全控制措施有效性量測的結果
(6) 先前風險評鑑中尚未處理或忽略的資安風險
(7) 是否有任何影響ISMS運作的因素,例如技術或業務項目變更
(8) 上一次管理階層審查決議需跟進改善的措施
(9) 來自各個階層的管理建議
審查輸出包括─
(1) 如何進行ISMS的有效性改進
(2) 如何更新風險評鑑與進行風險處理
(3) 如何針對影響ISMS運作的因素,進行必要的修正
(4) 適當回應所需的資源需求
(5) 如何改進控制措施的有效性及量測
持續改進管理制度
以上談的都是有關管理階層應有的作為與責任,也反映了管理制度並不只是由高層頒布一些準則規範,就強制要求下面來遵守執行,而是需要由上至下,不斷地溝通討論,實施之後再加以檢討改進。透過這一系列的文章,雖然無法完整敘述整個資訊安全管理制度的全貌,但至少點出了其中的核心價值,希望透過標準這麼好的一項工具,可以讓我們依循並掌握住資安管理的重點。
相信大家都聽過「預防勝於治療」這句話,對於現今事事講究效益與成本的企業而言,能夠預防可能發生的資安風險,絕對比資安問題發生之後,處理與矯正的措施更具成本效益。所以在標準本文的第八章,要求的是ISMS的持續改進與矯正預防措施,提醒我們不要以為進行了風險評鑑,就已經掌握各項可能的風險,而是要不斷地依據組織的運作狀況,注意是否有新的威脅出現,或是因業務變更而產生新的風險,然後及早地加以預防。
萬一真的不幸還是發生資安事件了,也請務必謹記「亡羊補牢」這句話,要積極找出事件發生的根本原因,然後盡快把洞填補起來,以避免問題的再度發生。最後,回應上一期文章提到該由誰來負責進行追蹤確認的改善行動呢?答案當然就是懂得資訊安全,日後必定會晉升管理階層的您。(本文刊載於2009年11月號網管人雜誌)
沒有留言:
張貼留言