現今與資安有關的可不只是資訊部門管理的資訊系統而已,更大的安全風險是業務流程上的問題。
日前行政院做了一件罕見的事,政務委員張善政在一個公開演講場合,說明行政院今年度的資安稽核結果,首度指出「行政院陷入高度的資安風險」。
行政院在每年9月、10月都會針對重點機關實施資安稽核,但過去未曾對外公開談論稽核的結果。正所謂家醜不外揚,更何況是資訊安全這等內容敏感的問題。然而,資安專家時常引述孫子兵法「知己知彼,百戰不殆。」的心法,來說明資安意識的重要性;若對自己的情況不甚了解,是不可能在資安攻防戰獲勝,況且,在多數的攻擊事件中,發動攻勢的駭客早已占盡優勢,使得攻防局面一開始就處於不對等的狀態。倘若我們再不面對問題,甚至還隱匿問題,使得訊息不通透,那麼就只是讓駭客繼續得逞罷了。
張善政所指行政院處於高度的資安風險,是稽核結果顯示政府機關在資安管理與資安技術的失衡。有些機關雖已遵照規定落實資訊安全管理政策,但是資安技術能力卻明顯不足,一旦遇到緊急資安事件,可能就會難以應付;而有些機關的情況則是相反,資安技術能力較強,但未落實資安管理制度。
資訊安全專家時常以木桶理論與鍊條理論來解釋上述狀況。木桶理論是指,木桶的最大裝水量,取決於最短的一根木材。這是說以好幾根木板圍成木桶,若其中有一根木板比其他的短,那麼木桶裝滿水的高度就是這根短木板的長度,因為超過此水位就溢出來了。而鍊條理論則是說,鍊條的強度取決於最弱的一節,因為只要其中一節斷了,鍊條就沒作用了。
這兩個道理其實都是一樣的,說明了資安防護的各個環節必須有一致的水準,所以不論資安管理政策或資安技術何者為強,只要其中一個不符標準,就有致命的弱點。因而張善政才會說:「不均衡的發展讓行政院陷入高度的資安風險。」
針對今年行政院資安稽核的結果,行政院資訊處處長趙培因提出3個面向的6個共通問題,在政策面上,雖然一級機關普遍都取得國際資訊安全管理制度ISO 27001的認證,但實際的情況是認證範圍只及少數部門,而不是整個機關都通過資安認證。例如有的機關只是資訊部門通過資安管理制度認證,然而現今與資安有關的可不只是資訊部門管理的資訊系統而已,更大的安全風險是業務流程上的問題;此外,資安預算不足則是長久以來的問題。
管理面的共通問題,則是業務承辦人員對資安意識的不足,以及個資保護的宣導與訓練不足;技術面的問題則是對員工自帶設備的管制不確實,以及網路服務的安全控管措施。
其實大家對這些資安問題都不陌生,有些甚至是老生常談了,然而,解決問題最重要的就是先正視問題。敢於指出問題需要勇氣,決定公開政府的資安問題,更需要很大的魄力。對於行政院這次的作法,我們應該給予鼓掌。
友善連結 : http://www.ithome.com.tw/itadm/article.php?c=84005
<www.pronew.com.tw>
講大家都會講
但做真的很難
先談錢的部份
機關內編預算的基本上都是承辦人
但決定要不要編給議會去審核是首長
而首長們看到又要買電腦都不一定會準了
錢花在那些他根本就不知道是啥的東西
要過關的機會更小
就算過了送到議會
那些只會砍預算的議員有幾個知道什麼是什麼
經過他們這樣砍剩下來的錢又能做得了啥
所以經費就成了其中一個大問題
再來是人的部份
我們偉大的政府在公務員考試的時候考那些題目
當然所有人都要準備
準備久了也就只會那些
而在我印像中這些題目並不會跟著時代在走
難免考上的公務員會的都不是比較新的理論
現在入取率這麼低
要考上每天都在背教材好像很難避免
那實務的部份自然就更少了
由一個沒什麼新觀念與實務經驗的人來管資安
能有什麼好想法與做法
實在很難讓人相信
再加上公務員要升官要考績
人合很重要
正所由「顧得了人情,就做不了事情」
能做的已經不多的情況下
還要少管一點
那乾脆不要管
基於以上兩點
我實在很難相信地方政府單位的資安會做很好
至於中央
我沒有相關的實務經驗
就留給有經驗的人在提吧
換個角度看,其實是具有一些技術官僚性質的政客,在運用政策規劃、開發私人業務的錢途。
當政客說的看起來很正經八百、有模有樣的時候,要觀察一下現實環境是否搭配得起來。如果政客也沒有把配套措施說清楚,那八九不離十,就是在進行錢途開發;反正有錢大家一起撈吧!