iT邦幫忙

2018 iT 邦幫忙鐵人賽
DAY 3
3
Security

IT安全稽核系列 第 3

1.3 資訊安全管理系統(含管理決策過程)所需之文件及紀錄,是否予以文件化及受到適當之保護與管制?

  • 分享至 

  • xImage
  •  

以下為行政院資通安全稽核服務團歸類第一大項1.3,本人接續1.1及1.2之內容繼續做出說明及分析,

一、資訊安全管理系統 (管理階層、資訊安全組織)
1.3 資訊安全管理系統(含管理決策過程)所需之文件及紀錄,是否予以文件化及受到適當之保護與管制?

說明:此項說明在於兩個重點:1.文件化。2.適當之保護與管制。

我們在此先定義,何謂文件化?
所謂的文件化,除了政策的宣示、制訂作業程序規範及表單之外,還包括了管理階層針對資訊安全相關活動,進行各項決策所產生的記錄。

ㄧ般公司,在制定好政策之後,都要進行各項內部稽核,以確定各項的資案辦法、政策是否有依照辦法及政策執行,同時也紀錄下,管理階層在甚麼時間點做出甚麼樣的決策,而這些就必須要留下軌跡,這些軌跡,基本上都只能單一呈現,不可能重複的產生,管理者有沒有在執行業務,我們只需從文件就能有效的控管其作業情況。

再來談到上市櫃公司的情況,上市櫃公司一定會定出資訊安全管理制度(Information Security Management System),也就是所謂的ISMS,定義上就是以營運風險方案為基礎,用以建立、實施、操作、監督、審查、維持及改進資訊安全。然而一般中小企業,正常來說,通常是不會注意到ISMS的重要性,更遑論注意到server裡的事件檢視,如下圖。

因此,本人依企業規模,概分成兩部分,提供以下建議,以達成上述說明的第二項重點**「保護與管制」**。

(1) 中小企業:台灣中小企業,正常的情況下,不會訂定ISMS的制度,有些公司會建立ㄧ些非常簡易的ERP系統,實際上只是文件處理系統,有些公司甚至於只用EXCEL做資料管理,幾乎是毫無章法的在執行資訊安全管理,此時,建議資安人員,需要定期的傳送各項資安簡報給全體員工參考,先從觀念建起,不必急於馬上建立組織整體系統建制,將重點放在「觀念」的傳遞,也許短期內無法獲得回應。之後,隨著時間拉長,當組織逐漸擴大之時,很多問題便會開始出現的情況下,此時,組織裡的員工也已建立基本概念的前題下,逐步加強各單位建立書面說明或會議紀錄等等,以Word、excel、outlook等等紀錄皆可,重點是在於導正並養成紀錄習慣,並且慢慢釐清權責劃分,該由組織誰負責,就要依據每次事件發生之事實,逐步釐清相關權責。不管合不合理,只要觀念對了,配合上資料保護與管制之後,未來當某類似事件發生時,都可以從檔案中調閱出來討論,長時間下來,可以依靠這些紀錄,隨時做出應變,等到公司組織規模夠大,並且準備建立制度的情況下,必能得心應手,而不至於太手忙腳亂。

(2) 上市櫃、興櫃公司:當公司到達一定規模之後,不管導入ISO或在進行股票上市櫃的過程中,都會有明確的制度定出,此時,也會要求管理階層,定期提供紀錄給予稽查人員稽核,此時重點,要放在文件流程是否適當,流程中的每個流程之核准是由哪個單位主管核定,只要權責分明,掌握序時、序號、核決權限,基本上,就是最有效的控管。此外,在有制度的公司,都會做好文件專責控管,資安人員在控管資安文件時,除了控管,更要注意資安漏洞是否有架設足夠的防火牆等等防範措施。

最後,提醒一點,文件適當的管控固然很重要,但是,有效的分類更重要,文件是ㄧ個組織經驗的累積,也能當做審視公司歷史的重要參考資料,有效的分類,也是幫助組織能夠隨時取閱資料,由此可知文件化及適當的管控之重要性。


上一篇
1.2規劃之資訊安全管理系統是否考量組織之整體業務活動及其相關風險?
下一篇
1.4資訊安全管理系統文件與紀錄發行前,是否核准其適切性?
系列文
IT安全稽核30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 則留言

2
allenjung
iT邦新手 5 級 ‧ 2017-12-06 10:17:31

寫得很好,勾勒出中小企業對ISMS執行的弊端,文件及表單是用來佐證內部控制的一種方式
能否?有效的分類才是最重要的

我要留言

立即登入留言