資安管理 ISO 27001 (1)

基本介紹

教學目標

初步了解導入 ISO 27001 資安管理之重點概念。

重點概念

資安管理可為三個層次,分別為政策(Why)、規範(How)及程序(What),在行使資訊安全的政策的推行時,主要是為了保護資訊外洩?還是為了降低損失的風險?還是為了提高聲譽?還是只是例行公事,盲目的跟隨著政府而配合呢?更進一步的說明,什麼是安全政策,其實就是一個簡要的準則,組織可以去遵循,以及為什麼需要它,其實就是告訴使用者,什麼可以做(May)、什麼不可以做 (Shall Not) 和什麼必須做 (Must、Should)。

然而安全政策之目的為保證持續運作,降低業務損失及保護系統符合最基本的 C.I.A 原則,分別為資訊的機密性 (Confidentiality)、完整性 (Integrity) 及可用性 (Availability)。

  1. 機密性:保護資訊不被非法存取或揭露。
  2. 完整性:確保資訊在任何階段沒有不適當的修改或損毀。
  3. 可用性:確保資訊在任何階段沒有不適當的修改或損毀。

除了有正確的概念外,還需有很權力的人及公司的全體單位員工全力配合才比較能落實成功。其中的資訊安全政策需要符合簡單、精確及可行性,且包含涵蓋範圍 (Scope) 與應用領域 (Application),以涵蓋範圍來說,相當於若學生在學校則需遵守校規,而以應用領域,就相當於若學生代表學校出去比賽則需遵守校規,可是若不是代表學校的話,那就屬於個人就不屬於應用領域中,更重要的是政策是必需要有強制的性質,才能真實的落實,但也不能太硬,也就是法理之前,不乎人情。

資安管理的第一步,符合標準我國所推行的 ISO 27001 國際標準。其中資訊是一種資產,和其它重要的營運資產一樣有價值,因此需要持續給予妥善保護,而資訊價值若以企業營運為基礎則包括四個部份,分別為網路 (Network)、應用程式 (Application)、資料庫 (Database) 及作業系統 (Operating System),主要以管理資訊系統 (Management Information System,MIS) 為主。其中最重要的是網路,因為它是外部威脅的最主要的原因,當中最注重的就是可用性(接收)及機密性(傳送)。

資安管理最主要的目的,包括了三個部份,分別為弱點管理、威脅管理及資訊風險管理,一般來說要先有威脅,才有弱點,而當威脅成功的利用弱點就會產生風險,也因此降低風險是資安管理的最主要的目標。了解基本的標準及目的後,再來就是資訊風險管理體系運作之方式,可分為四個步驟,分別為計畫 (Plan)、執行 (Do)、檢核 (Check) 及改善 (Act) ,這四個步驟將會形成一個循環,簡稱 PDCA Model,且資安管理導入的程序,可分為六個步驟:

  1. 定義政策(將政策文件化)
  2. 定義ISMS(Information Security Management System)的範圍
  3. 對資訊資產進行風險的評估
  4. 針對結論而進行管理風險
  5. 選擇欲執行的控制目標及要點的方式
  6. 準備適用性的聲明。

其中的資訊安全的手冊文件可分為四個階層,第一階文件設定整體資訊安控機制之目標,為組織內各項資訊安控活動之政策與方向,第二階文件則是依循一階文件安控方向,針對ISO 27001各領域之控管項目制訂一般性標準,其中資訊中心業務持續營運管理要點,對於未來最為重要。此外資安管理以木桶理論來解釋,就是決定是要取決於其中「最短」的那塊木板,而非平均或最長的木板,為何呢?主要原因就是成本上的考量,也因此政府就不適用木桶理論來進行風險的管理,因為錢不是問題,安全第一。且通常需資產定義後(產生價值),再進行風險評估,其中風險的計算有一個簡單的公式可以參考為:

1
風險 = 價值 * 威脅 * 弱點 * 發生的機率

其中最重要的則是發生的機率,只要有些許的價值、威脅及弱點,將會導致很嚴重的危機,相反的若價值、威脅及弱點再高,而發生的機率很低的話,則久久發生或從不發生,其風險程度就相對的就會降低許多至不存在的程度。然而當有風險,就會產生危機,也就是說沒有爆發的危機稱之為風險,失去控制的風險則稱之為危機,而風險的定義簡單來說則是一個事件潛在影響組織目標達成的機率及影響程度,且通常最困難的則是風險的辨識、分析及評量其影響的程度,定義優先程度,而以上過程就是所謂的風險評估 (Risk assessment) ,之後在依木桶理論進行風險的管理,也因此安全風險管理流程為把整個企業內的風險降低到可接受水平的流程,而評估風險定義為確定企業面臨的風險並確定其優先級的流程,管理是持續性,也因此包括了四個步驟:

  1. 評估風險
  2. 實施決策支持
  3. 實施控制
  4. 評定計劃有效性

但評估則是按需要而定,當然資安管理中一定會有幾種重要的角色,最重要的則是安全籌劃指導委員會,因為其中的主席就是上級主管,且需負責選擇緩解策略,並定義企業的可接受風險。

最後就是稽核Audit,也就是偵測可疑的行為,以審計準則中的一般原則第一條為查核工作之執行及報告之撰寫,應由具備專門學識及經驗,並經適當專業訓練者擔任及第二條為執行查核工作及撰寫報告時,應保持嚴謹公正之態度及超然獨立之精神,並盡專業上應有之注意,為稽核員最基本應該要符合的準則。而實施資安管理包括了五個步驟:

  1. 風險評估
  2. 防範政策
  3. 系統維護
  4. 教育訓練
  5. 稽核

然而風險評估中對企業最重要的則是資訊安全的成本與損失成本及發生機率的對價關係的衡量,最後教育訓練是必需的,尤其是主管。

相關資源