以下為行政院資通安全稽核服務團歸類第一大項1.2,本人繼續昨天內容做出說明及分析,
一、資訊安全管理系統 (管理階層、資訊安全組織)
1.2規劃之資訊安全管理系統是否考量組織之整體業務活動及其相關風險?
說明:此項說明在於兩個重點:1.整體業務活動。2.風險。
一般公司的資訊人員,普遍都只偏重於技術層面,比較缺乏其他部門的相關知識,例如,公司到底如何進行銷貨?如何進貨?存貨如何管控?會計系統如何入帳?等等,諸如此類業務,大部分是無法全部了解;反之,其他部門對於資訊安全了解的也是一樣膚淺,甚至於只要一出問題,就推給資訊單位,要求資訊單位要加強,但,到底要加強甚麼?其他單位也不了解。因此,資訊人員往往就得依照個人見解,下去做資安管控,簡單舉例,USB插槽之管控(如下圖所示),有時控管USB插槽,是為了避免資料外洩,或者病毒散播的控管,這也是保護組織業務,降低風險的重要步驟之一。但力度一拿捏不穩,反而造成更大的抱怨,甚至讓自己疲於奔命。
(圖為USB之控管)
基本上,我們無法要求所有人皆能了解組織各部門業務的性質以及需求,此時會建議資訊人員採取以下的方式來解決以上的之問題,並且從以下的方法找出相關風險:
A. 問卷:組織內部分成很多部門,並不容易掌握所有部門情況,此時,就要設計問卷,然而問卷之內容設計,就相對重要,正常的情況,第一次通常無法得到所要之資訊,此時就要不厭其煩的詢問,以釐清正確的業務內容,再經過數次往返之後,將詢問的內容做成結論,最後與被詢問之單位達成共識,完成第一步驟。
B. 除錯:當有共識之後,接著就要分析風險,實際上,此時並未結束第一步驟,依共識去執行資安,在試行之時,往往會出現bug,此時,通常仍要請相關單位,協助支援除錯,除錯這步驟,通常會引發被詢問單位的反彈,畢竟,有時確實資訊系統無法支援到被詢問單位之需求,故不停的彈性調整為除錯最重要的關鍵,如果不具備彈性,事實上,到此步驟就已經無法再進行。
C. 上述兩個步驟完成之後,最後就得評估風險,在此,我們所說的風險,就需要資安的技術,大部分的公司,基本上都不願意花錢在這方面的問題上,簡單說,公司所有問題都得要考量到成本,因此,若是公司規模未到水準,又或者處於草創階段,最好的方式,就是多運用系統上有限的資源,簡易的加密,或是密碼複雜化,都有助於控管風險。做好基本的控制項目,其實已經相當不容易了,諸位負責資安的人員都了解,一下子完成整體佈建,反彈會更大,如果能先初略的布局,讓每個組織人員自然明瞭其控管之目的後,再逐次加強,循序漸進,相信假以時日,必能達到一定的風險控管水準。