二、 資訊安全政策
高階管理者必須訂定資訊安全政策,這個政策應與組織高階策略一致,可以從第四章全景分析資料中得到基礎資訊,再利用這些資訊去完善相關資訊安全政策,例如:第三方合約要求保護所提供之個人資料,如果違反合約將遭致法律及賠償等處罰,所以資訊安全政策中應包含保護機敏性資訊的敘述及目標。通常政策是作為一種高階的宣示,確認資訊安全管理的目標及方向,提供框架讓後續的管控措施或其他管理行為有一個依據,也能讓所有人都能實際體認組織對於資訊安全管理的高階規範。典型的組織通常對於政策區分三個等級,等級最高的是一般政策(組織策略、行為守則),再來是各種管理類型的政策(資訊安全政策、品質管理政策),第三種則是細部程序規範需要遵守的政策(存取政策、密碼政策等),藉由等級分類,使得組織由上到下都能有一定的規範可以遵循,並且以階層式的安排,使得政策間有其依循性,下圖顯示了政策的階層。
(一)發展政策時除了參考第四章全景分析的資料以及高階管理者的意見外,還需要考量的事項如下:
- 組織的願景與方向
- 策略調整以適應組織目標
- 組織架構與流程調整
- 願景與方向與政策的整合
- 考量高階管理策略的關聯性
- 政策驅動目標群組
(二) 發展資訊安全政策的關鍵要素:架構說明
- 目的:
為了建立資訊安全的通用規則、檢測並防止資訊安全的損害等,組織基於各項因素建立資訊安全政策,例如:避免濫用資訊/網路/應用系統和程序、在道德和法律責任方面保護組織的聲譽、遵守客戶的要求、提供有效的架構來回應有關實際或感知到的違反政策之訊息。
- 範圍:
資訊安全政策應詳細說明哪個部門及哪種工作是在政策要求下執行,這邊的範圍要看組織自行的定義,有些組織導入範圍與驗證範圍不同,比較好的做法是資訊安全管理政策應擴及全組織。
- 資訊安全目標:
條文中的要求是包含資訊安全目標(見第6.2條),或提供資訊安全目標設定的框架;組織需要在管理上達成具共識性、策略性且明確定義的資訊安全目標,任何現有的不協調都可能導致資訊安全策略無法正常運行,因此簡化政策敘述是必要的,可以消除分歧並確保各階層及不同部門管理人員之間達成共識。盡量避免模棱兩可的表達,理想情況是應當簡明扼要地制定政策。應避免重複使用該政策的措辭,因為這會使文件冗長、不同步並且難以辨認,因此,當想要強制執行新規則時,高階管理者如何看待資訊安全是第一步,此外如果組織具有相當大的架構,策略可能會有所不同,因此應加以隔離,以便在組織的預期下定義相互間的資訊安全,資訊安全被認為可以維護三個主要目標:機密性、完整性及可用性,範例如後:(1)注意所有可能的威脅類型。(2)通過積極的威脅減少機制消除所有可能的威脅。(3)制定適當的政策、程序和已知的應用技術,以最大程度地減少潛在的安全威脅。(4)制定適當的策略、程序和經過驗證的技術,以識別和處理針對組織的實際安全攻擊。
- 原則:
描述為了達成目標所採取的行動或規則,在某些情況下可以幫助找到流程中與政策的關聯性,例如:政策是確保資訊的機密性,則訂定存取控制原則,找出相關流程如何控制存取。通常一般工作人員不能共享他們所擁有的少量資料,除非明確授權;相反,管理者可能具有足夠的權限來決定可以共享哪些資料以及與誰共享資料,所以不會被相同的資訊安全策略條款所束縛。因此,邏輯上要求資訊安全政策應訂定原則來解決組織中不同層級的規範,而不是依循大方向的策略,只要是員工就不能分享資料。
- 人員的責任、權利和義務:
指派相關人員負責前面所規範的行動,並針對政策的可歸責性提出說明。在部分例子中,也可以說明相關所指派人員的責任、授權及所依循的政策原則。
- 相關政策:
與資訊安全有關連性的相關政策、要求或需求。
基本上對於政策訂定的做法有很多種,建議採取一種對組織適合的方式去訂定。簡單、清楚、容易閱讀,是比較合適的資訊安全管理高階指引制定重點。
kachung
看影片追技術