上一次我們談到ISO 27001中有關如何避免資安問題影響企業營運的要求,以及在發生資安事件之前,應如何建立相關的事件處理應變流程,本文將說明在標準附錄的最後一項,有關法規遵循的控制措施。
在過去,每當與企業管理階層談到資訊安全的議題時,通常被重視的程度,大都遠低於和業務活動相關的事項。探究其背後原因,乃是當資安事件發生時,主管人員皆認為其可能造成的衝擊並不大,採取方式也往往是由內部人員來自行處理。
不過,隨著組織在營運活動上,愈來愈倚靠資訊系統的運作,再加上資訊可被傳遞的管道愈來愈多,讓現今的資安問題變得更加複雜,一旦發生資料外洩事件,也容易受到媒體矚目,民眾所產生的不良觀感,將對組織的信譽造成傷害,加上當事人若受到實質損害時,也會訴諸法律來尋求必要的賠償。
此外,企業若發生商業機密的外洩,也必須要因應與客戶或供應商所簽訂的合約中,明訂需要負責或賠償的事項,所以對企業而言,重視資安問題並在營運過程中識別出需要遵守的法律、法規及合約的安全要求,將它落實在內部的政策與作業規範,將會是最好的做法,只要能及早未雨綢繆,就可避免因資安事件所造成的傷害與損失。
法規遵循與適法性要求
在ISO 27001附錄A.15中提到,法規遵循與安全政策必須能夠有效地實施,它包括了三個控制項目,首先「A.15.1遵循適法性要求」的目標,就是要讓組織避免違反任何法律、法規、合約、應盡義務及任何與安全有關的要求,也就是要降低組織不小心違反法律的風險。
組織想要確保不會發生違反法規的事件,最好的方法就是預先找出在法律和行業規範中必須要遵守的事項,然後融入相關的管理要求中加以實施。這裡一共有六項控制措施,分別說明如下:
A.15.1.1 識別適用的法條
這項控制措施是要求組織對於本身所適用,或是對資訊系統提出要求的相關法律、法規和合約,都必須要明確的識別並界定出來,採取文件化方式加以記錄,並且維持在最新的狀態。在實務方面,企業需要遵守和資安有關的法律,包括了刑法、著作權法和個人資料保護法等,除了要將適用的法律識別出來,最重要的是在內部的管理程序中,也要將這些要求作清楚的明訂與說明。
A.15.1.2 智慧財產權
這項控制措施是要求組織必須確保所使用的資料和軟體,不會涉及違反智慧財產權的法律要求,所以要建立適切的管理程序。以著作權和智慧財產權為例,組織可以在管理程序中明訂購置軟體的方式和原則,說明為了尊重智慧財產權,內部一律使用合法授權的軟體,並嚴禁非法下載音樂、影片和未授權的軟體,同時也要為合法軟體建立一份軟體清單,並且定期清查以避免違法情事發生。
A.15.1.3 組織記錄的保護
為了確保組織運作符合法律、法規及合約的要求,組織在必要時需要提出證明,這項控制措施就是要求組織應保護和法律及營運有關的記錄,避免其受到竄改、毀損和偽造,而失去足以作為證據的能力。在實務方面,組織需要評估究竟有哪些記錄需要留存,採取什麼樣的安全措施,考量到這些記錄如何產生、如何記錄、存在地點、存放型式、加密方式和存取權限等。一般而言,電磁記錄和紙本文件的保護方式是不同的,電磁記錄要注意加密方式和所選擇的儲存媒體,以便能妥善保存;若是文件的話,儲存地點的環境安控會是重點,同時也要賦予保存期限,期滿之後若不再需要這些記錄時,就可以選擇安全的作法來進行銷毀。
A.15.1.4 個人資訊的資料保護與隱私
隨著個人意識的高漲,以及個人資料保護法所賦予對於個人資料的自主控制權利,對於可識別出特定個人的資料,務必要妥善保護,因此這項控制措施要求組織必須依照法律規定,以確保個人隱私和個人資料保護。建議組織可從人員、流程、技術三個方向來進行,包括指定專人來負責個資管理、對員工實施教育訓練以了解個資保護的責任;流程方面則依照個資法對個資蒐集、處理和利用的要求,在作業辦法中加入符合法律的措施;至於技術面則依據個資存取、傳輸和儲存方式,實施技術控管和留下適當記錄,以便定期進行稽核,這部分還可配合「A.10.10.1稽核存錄」和「A.10.10.3日誌保護」的要求來進行。
A.15.1.5 防止資訊處理設施的誤用
組織必須防止使用者可能濫用各項資訊處理設施,實務上的作法為要求使用者需要進行申請流程和取得管理階層授權,才可使用資訊處理設施。針對含有敏感資料的設施,則可配合監視系統的使用,並且在一開始提示警告的訊息,讓使用者了解這些資訊處理設施皆屬於組織所有,使用過程也會實施監控記錄,除非已經獲得授權,否則不得有任何的資訊存取行為。
A.15.1.6 加密控制措施的規定
組織若在資料保護上使用加密控制措施,必須遵守當地國家法令的要求,同時了解這些可實施加密的設備,是否會有進出口的相關限制。如果加密技術有輸出至其他國家的需求時,也要事先徵詢法律專業人員的見解,以避免違反國家安全的事件發生。
安全政策與技術遵循
在「A.15.2安全政策與標準的遵循性和技術遵循性」項目中,目標是要確保資訊系統皆能符合組織安全政策的要求,因此需要進行定期審查和稽核,確認資訊系統符合安全實作標準和文件化的規範。在這個項目中一共有兩項控制措施,說明如下:
A.15.2.1 安全政策與標準的遵循性
對於已導入資訊安全管理系統的組織而言,需要依據資安政策與標準的要求,建立各項安全的作業程序,這項控制措施就是要求所有管理人員,必須要確保在其職責範圍之內,相關已頒布的安全作業程序都已正確的被執行,同時留有記錄可確認達成資安政策的目標。因此,管理人員需要定期審查這些程序實施的結果,若發現有任何不符合的情況發生,就需要判斷其原因,評估是否要採取相對應的矯正措施,以防止這些事件再次發生,同時也要向管理階層來回報。
A.15.2.2 技術遵循性查核
管理制度除了可進行定期審查和稽核之外,針對資訊系統也要查核是否符合安全標準的要求,這項控制措施即是要求定期採技術性方式來查核各項資訊系統,因此在實務上,建議由有經驗或持有專業認證的人員來進行。例如許多組織會使用自動化工具,針對網站進行弱點掃瞄,或是採取手動方式,針對系統進行滲透測試,再提出網站的安全改善報告。請記得所有技術性的查核過程,務必都要事先取得授權,並且在適當的監督和記錄下,由專業人士來實施,以避免引起其他不必要的問題。
資訊系統的稽核考量
ISO 27001附錄的最後一個控制項目是A.15.3「資訊系統稽核考量」,它的目標是要確保資訊系統在稽核的過程中,可以對組織產生最大效益,同時避免不必要的干擾與風險。在這個項目中包括二項控制措施,說明如下:
A.15.3.1 資訊系統稽核控制
針對資訊系統,組織將依據安全政策的要求,定期實施相關的稽核,但是這些稽核活動,可能也會引起其他的安全風險。這項控制措施要求資訊系統的稽核活動,必須要有嚴謹的規劃,以避免造成營運的中斷,因此在實施之前,我們必須考量所實施的範圍、所需要的資源及所採取的稽核手法。舉例來說,若是針對資料庫系統進行查核,則所使用的工具或指令,務必確保僅能針對資料本身進行唯讀存取,不會新增、刪除或修改資料的欄位屬性和內容;另外在實施之前,也務必取得管理階層的授權,在明定的時間和條件下進行,過程中也要留下記錄,以便在意外發生時採取應變作法。
A.15.3.2 資訊系統稽核工具的保護
組織在實施資訊系統稽核時所使用的工具,往往具有特殊的權限或敏感性,因此這項控制措施要求所有系統稽核工具,都必須要有適當的保護,以避免濫用或受到破解的情況發生。所以,負責資訊系統稽核的人員必須具有獨立性,使用的工具也要和開發或運作中的系統分開,並且實施權限控管,在必要時甚至可先從運作中的系統移除,以避免受到誤用。
資訊安全是一個管理流程
對許多未正視資安的組織而言,資訊安全仍停留在購置產品設備,防範網路入侵等技術性的問題上,卻忽略了組織最大的資安風險,往往是來自於人員的不當行為或疏失,才會導致資料外洩的事件發生,更忘了這些人為的問題,往往是所有最先進設備都難以阻擋的最大威脅來源。
所以,資訊安全絕對不是建置產品的過程,而是一項管理的流程,它透過標準的文件化要求,進行資訊安全的風險管理,配合實施適當的安全控制措施,就可以讓組織內在的體質變好,而不需要老是倚賴華麗的外套,來抵禦可能的病菌入侵。
個人希望透過這一系列的文章說明,讓您的組織可以透過持續不斷的計劃(P)、執行(D)、檢核(C)和改善行動(A),將風險降至可接受的程度,確保各項營運活動無後顧之憂,為各位創造出最好的機會和最佳的工作效益。(本文刊載於2011年10月號網管人雜誌)
2012年1月10日 星期二
訂閱:
張貼留言 (Atom)
沒有留言:
張貼留言