資安制度說白了就是企業或機構營運的日常管理,套用 ISMS 框架也只是為了滿足內部或外部需求,視產業別亦可選擇其它更合適的資安框架。
以 ISMS 來說,要做的事兒大略有著麼多(如下圖)
總有一些客戶會問到,依照顧問的建議去做就能達成資安目標了嗎?
如果顧問的建議被徹底執行的前提下,有極高的可能性可以達成。
如果顧問的建議被誤解,又被每一執行者"重新定義"過(請參考超級比一比-瀑布),結果要達到顧問建議的目標挑戰頗大。
接下來,我們假裝顧問的話被當成聖旨轉達下去,而接旨的每一位執行者的腳底又沒有刻著反清復明字樣...
.
.
.
(未完待續)
資料來源:
「醫療資安論壇」醫院資訊安全防護現況與精進之道
從 ISO 27001 新版標準看企業資安管理之挑戰與因應
資安強化-建立縱深防禦
為何買了資安設備卻還是效果不佳 ? 聊聊你的縱深防禦機制有效性與組態管理流程
淺談多層次之網路安全縱深防禦機制
打造雲端縱深防禦體系 多層式阻絕向量攻擊
我覺得ISMS框架被誤解詮釋造成的問題太多了,可能要從別的層面/方式來檢視縱深防禦架構有效性
廢宅個人的感想:資訊安全制度運行=企業永續經營與管理,一個組織的經營無法只用一套ISMS就能搞定所有的問題,實務面所遭受到的挑戰與程序的制定要符合現況(可行性)、落實於日常管理,才是治標又治本的方法。
ISMS框架的功能在於日常遵循的指標,尤其是有新人補進團隊時就會很明顯容易上手,否則新來的人一樣照舊將錯就錯,很累;但是檢視防禦架構有效性是實務上的評估,依據結果可能有必要回頭細部調整ISMS的規範
例如:一周三次上健身房,每天早起睡前各別做簡單運動(ISMS 框架);健身房具體是飛輪、跑步、舉重、練哪部分肌肉群等等,早晚簡單運動是plank還是HILT?這些細節要定期看量出來的體重調整(檢視有效性)
沒錯(擊掌)~
某些主管在思考時,會把ISMS當萬靈藥使用,導致資安治理結果不如預期,根本原因是對ISMS的認知不足與過高的期待。
ISMS只是一個框架,要能落實在日常生活中,需要用心去了解每一個標準程序與實際現況的差異,去訂定合理的標準值並檢視成效、定期審查。
n年前訂定的標準在定期審查時確認適切性符合現況,可延用;不符合現況時,可適時調整程序書使其合規。
防禦架構有效性的評估程序無法詳盡於程序書,常見的做法可能是寫在風險管理或網路管理程序裡,搭配三~四階文件、表單、計劃、報告服用。
所以其實千錯萬錯都是主管把一樣東西當作萬靈藥的錯 咦? ^^