三、 認知
前面有說過資訊安全的基本要素其中之一是人員,人員是最重要也是最難管理的,綜觀所有資訊安全事件,大部分都與人有關。資訊安全不是架設一個防火牆或是安裝防毒軟體、監控設備就可以達成的,若員工缺乏責任感、不知道哪些流程規範可以遵守、沒有適當的培訓,導致員工不了解正在做的事情會危害資訊安全,這才是資訊安全管理最需要面對的議題。資通安全管理法的子法中有一個「資通安全事件通報及應變辦法」,一般我們在資訊安全管理系統內也會訂定類似的規範,如果組織能夠做好與員工的溝通與認知,一定會減少資訊安全事件的回報件數嗎?答案是否定的,當員工更加了解這些規則後,為了避免本身的責任以及資通安全事件通報及應變辦法的處罰,資訊安全事件回報的數量可能會比提升員工認知前要更多。至於數量多代表沒有做好資訊安全嗎?這很難去判定,但可以確認的是,員工更加了解自己在做甚麼以及自己的責任在哪裡。安全的意識不會憑空產生,組織必須訂定相關作法讓員工都能知道資訊安全政策、對ISMS有效性及改進資訊安全效益之貢獻以及不遵循ISMS要求的可能影響。培養資訊安全認知可以透過下列步驟來執行:
(一) 計畫準備
對於所面臨的威脅以及條文內要求之事項,計畫及準備在認知上所要採取的行動(通知方式、週期)與員工與外部相關人員要認知的資訊,例如:安全條款、資安事件回報等,可定義不同的人員執行不同的認知訓練,例如:IT人員、線上服務人員、高階主管等。
(二) 執行認知做法
依照計畫的步驟方法及期程對人員進行認知的做法,做法可以包含製作文宣、小冊子、標語或警示,以加強認知的效果。
(三) 實際演練
組織可藉由實際演練來加強認知的行為,公務機關行之有年的社交工程演練、將帶有警示的USB放在隨手可得的地方或者將帶有機敏性資訊的紙張放入回收箱等,都可以實際了解員工對於認知的實踐,當然也可以在認知的培養過程中展示一些實際的案例,也有助人員能應對相關的資訊安全事件,例如:密碼強度的破解、駭客手法等。
(四) 持續進行
一次性的認知活動通常不足以讓人員產生警覺或實際了解資訊安全的重要性,應定期性不斷地持續認知活動,並且將認知融入日常活動中,例如:每日資安通報、用螢幕保護畫面顯示資訊安全警語等。
(五) 確認了解所要認知的訊息與行為
執行完認知的做法後,必須評估認知的有效性,通常以測驗或是實際測試來確認人員是否真正認知而且能夠依照條文要求,去知道需要知道的事項。
在此舉一個某企業進行認知的做法供大家參考:將需要員工認知的事項(個人資料保護、資訊安全要求)做成文件,以電子郵件方式寄送給員工,要求員工確認收到電子郵件且認真閱讀,並於閱讀完畢後執行相關測驗,測驗成績在例行會議中檢討,要求員工落實認知事項。