三、 建立外部背景
外部背景是組織尋求達成目標的外部環境。了解外部背景非常重要,是為了確保在訂定安全風險標準時已考慮外部利害關係者的目標和關切事項。基於組織範圍的全景,並具備法律和主管機關要求的具體細節、利害相關者的看法以及特定於資訊安全管理過程範圍的其他方面,例如:資通安全管理法要求定期執行營運持續演練等要求,外部背景可包含但不限於下列事項:
• 社會和文化、政治、法律、監管、金融、技術、經濟、自然和社會;
• 競爭環境,無論是國際、國家、區域還是地方;
• 影響組織目標的關鍵驅動因素和趨勢;
• 與外部利害關係者相關的關係、觀念和價值觀。
與ISMS相關的外部議題範例:
(一) 法律和監管
• 合約要求:合約是法律上可強制執行的承諾交換。組織簽訂的任何協議都必須遵循固定作法,否則可能無效。
• 資通安全管理法:適用機關對於相關法令要求必遵守並於ISMS中實作。
(二) 文化
• 駭客攻擊和未經授權的通信截取是常見的問題,這可能會影響「機密性」。
• 工資很低,因此賄賂是一種永遠存在的威脅,這可能會影響「機密性」。
(三) 運作能力
• 電力:電力設施故障很常見並且過去曾發生過。由於當地電力需求增加導致電源中斷(新建築和擴展業務:基礎設施無法應對),曾經發生分區供電。這種問題也打斷了IT通連性。這可能會影響「誠信」。
• 客戶期待最先進的技術、資訊提供速度和客服處理報告可現性(統計數據)。對服務水平協議中包含的承諾會產生影響。
(四) 位置
• 實際位置:組織的位置是一個高犯罪率的區域(由於附近有許多高科技企業)和相鄰的辦公室曾經被小偷攻擊,這可能會對「機密性」產生影響。
• 環境 :是否發生特別的水災或地震。
(五) 競爭者
• 員工可以將研發資料或客戶資訊提供給競爭對手。辦公室附近有許多競爭對手。員工通常可以快速從組織轉移到競爭對手。這可能會影響「機密性」。
(六) 經濟壓力
• 當競爭對手面臨新的營收壓力時,他們更有可能從組織的主要員工那裡非法獲取客戶的資訊來源。這還可能需要對主要工作人員進行竊取帳號等資訊,關鍵員工可能會嚴重影響組織。這可能會影響「機密性」和研發方案的可行性。
• 在財務緊縮時期,客戶正在尋求節省成本的替代方案,因此組織看到銷售諮詢大量增加導致內部資源以及IT和資訊安全系統壓力增加。
四、 建立內部背景
內部背景是組織尋求達成目標的內部環境。資訊安全管理流程應與組織的文化、流程、架構和策略保持一致,內部背景主要在分析組織內部的關鍵性問題,如:在導入管理系統之前,組織是如何執行資訊安全管理這件事情?為什麼要導入新的管理系統?到底有甚麼地方或是因素導致原來的管理系統無法做好資訊安全的管理工作?或者是有甚麼地方可以再改進,讓管理更能夠效能化?相關內部議題包括組織管理架構、問題處理的方式、資源、人力、組織現行的狀況等,為了讓所建立的管理系統能夠適合組織的運作,這項分析工作是必要的,而且有助於管理系統與組織作完整且密切的結合,不會使管理系統與組織分別運行,造成疊床架屋的情況。管理系統最難管控的是人,如果在內部議題分析中能夠明確瞭解組織人員運作的規則,對接下來的管理系統設計規畫將有很大的助益。
了解內部背景,可以包括但不限於下列事項:
• 治理、組織結構、角色和責任。
• 政策、目標和實現這些目標的策略。
• 在資源和知識方面(例如資本、時間、人員、流程、系統和技術)理解的能力。
• 內部利害關係者的關係、觀念和價值觀。
• 組織的文化。
• 資訊系統、資訊流和決策過程(正式和非正式)。
• 組織採用的標準、準則和模型以及合約關係的形式和範圍。
內部背景是組織內可以影響組織管理其安全風險的方式的任何內容,因為下列事項所以需要建立內部背景的分析:
• 風險管理是在組織目標的背景下進行的
• 應根據整個組織的目標考慮特定項目、過程或活動的目標和標準
• 組織未能認識到實現其策略、專案或業務目標的機會,這會影響組織的持續承諾、信譽、信任和價值。
與ISMS相關的內部議題範例:
(一) 資訊系統
• 資訊系統老舊,需要更換。新的系統將更加複雜,可能更難以維護。
(二) 組織文化
• 從組織以往做法來看,公司一直以客戶業績為導向,業務的需求超過了其他考慮因素,例如「機密性」及「完整性」。
• 文化導致策略方向與資訊系統政策之間的差異。資訊系統與組織銷售流程的整合一直有問題,並且面對競爭威脅時,最高管理者會犧牲資訊安全的要求。
(三) 內部利害關係者的關係、觀念和價值觀
• 分析員工流動率很高,代表員工可以在離職時隨身攜帶重要資訊。
• MIS部門員工的技能水平有限,因此有文件化的流程和指引比實際人員協助更為重要。
• 人員可能無法充分認知到資訊系統政策的性質及其重要性和後果,因此更有可能發生資訊安全事件。
• 人員認為資訊安全僅僅是資訊安全部門的事,與其他人無關。
(四) 人力資源安全和能力(知識)
• 員工流動率高導致保留核心知識方面遇到困難,例如系統維護及客戶關係。
• 工作人員是從低階勞動力中招募的,由於工資和技能預期較低,他們可能在經濟上或受過良好教育方面都不會很好。這容易使他們受到賄賂和貪腐的影響。
(五) 治理、組織、角色和責任
• 作為一家小型企業,原先的管理團隊保留其相關責任及領導,隨著公司的成長,原有管理階層需要被尊重。
• 公務機關高階領導者通常不願意為資訊安全背負責任。
(六) 標準工作程序和指引
• 工作流程尚未被記錄,僅由高階人員所保留和擁有。
• 隨著組織的成長規模愈來愈大,缺乏文件規範可能會衍生問題。
• 流程規範及文件太多,但都沒有被妥善運用,文件只是用來閱讀,並沒有被應用在實務上。
(七) 與供應商的合約關係
• 作為一家小型新企業,我們的購買力和影響力受到限制,所以我們無法在合約中包含資訊安全要求,因此一些供應商也沒有與我們簽訂正式合約,因此我們的ISMS範圍不包括所有IS委外流程。由於「資訊系統開發」是目前的委外流程之一,這自然會引起客戶對「機密性」和「誠信」的擔憂。