已經不是第一次參加鐵人賽,經歷過2次成功,1次失敗,深知要優雅面對鐵人賽,必須要先提前準備,才能在強敵環伺(工作、客戶、小孩、家庭)下,勉強擠出時間,架構出這幾年的一線實戰的筆記整理。
相對於資安治理工作上,方向,一直是高階管理層最重要的工作,必須要告訴組織,要帶大家到何處,常見的手法有:
但此之前,資安治理工作最重要的,我認為是建置一個PDCA循環的管理架構,業界常見的方式為導入ISMS(資訊安全管理系統),是資訊安全管理的國際標準,其標準名稱為ISO/IEC 27001《資訊科技—安全技術—資訊安全管理系統—要求》,詳細可參見維基百科,這邊不多深入討論ISMS的細節,但要知道的是該標準提供組織建立一套必須由高階管理層參與PDCA循環的管理架構,如此一來才有機會每年持續改善,如果要能優雅面對資安治理,更是要求要通過驗證,透過外部檢視,使高階管理層能夠承諾給予資源。
情境探討:
歸納職業生涯遭遇的情境,並作為探討,概分為:
情境1:資安治理前段班
通常的對象為法規要求強硬的組織,如:政府單位、國營事業(關鍵基礎設施)、金融業等。
組織現況ISMS運作良好,但礙於業務或其他事項(長久以來的文件疊床架屋、組織龐大、文化或歷史共業),需要由另外的治理框架進行調整,讓組織藉由資安治理優化資安管理及維運。
情境2:資安治理中段班
通常的對象為法規要求或客戶要求,如:政府單位(C機機關)、特定非公務機關(C級)、政府單位(內部需求穩定即可)、軟體開發公司(尤其接資安法所規定之單位為客戶)、具有一定規模大型公司等。
通常資安治理的面向為穩定組織,主要訴求為降低資安事件發生,減少組織因資安事件而產生損失,甚至會為將資安預算cost down。
情境3:資安治理放牛班
通常的對象為:容易有造假文化,以cost down為主的產業(如:製造業)。
這種類型的組織,通常是高層長官喜歡對外吹捧,但實際公司內部沒有驗證ISMS,也沒有進行ISMS要求活動(如:內部稽核、管理審查等),稱不上是有資安治理。
第一章 從業務驅動開始的資安治理
Day1 方向,資安治理的第一課
Day2 架構,從ARCI矩陣窺探資安治理的真假
Day3 模型,再談SABSA資安架構與模型前,先談溝通與說服
Day4 方法,資安方法何其多,高層允諾值千金,從OGSM+A一頁企劃談起資安治理的策略方法
Day5 流程,由組織共識及業務目標展開的資安治理流程
Day6 業務驅動,資訊技術及安全放兩邊,業務目標擺中間,從搞懂誰治誰的理開始
Day7 成本導向,從服務老闆達成業務目標的資安成本談起
Day8 風險管理,人會失心瘋,機器會故障,你的資安不是你的資安
Day9 監督稽核&績效評估
Day10 例外管理,記錄如記帳,日後好算帳
第二章 優雅應對資安事件,從指揮體系開始
Day11 建構資安指揮體系
Day12 分層指揮
Day13 事件分級,從政府、上市櫃公司到外商談起
Day14 團隊協作:不在其位,不謀其政,請老闆充分授權,分層處理
Day15 演練,讓人優雅面對事件
Day16 勒索事件
Day17 社交工程事件, 從NIST CSF 到 OWASP CDM框架
Day18 優雅面對資安事件:從領導承諾到好戲上場
Day19 換位思考太困難,情緒勒索太常見,前設權責再來換
Day20 心態決定一切,透過阿德勒心理學,獲取被討厭的勇氣,讓資安課題物歸原主
第三章 從NIST CSF識別開始應變
Day21 用美國 NIST CSF 量身訂做資安框架;用歐盟ENISA CSF 不止規劃好資安組織權責,更幫助找到資安人才
Day22 ENISA CSF:12種資安人才任務定義 (1):資安長、網路事件處理者、合規長
Day23 ENISA CSF:12種資安人才任務定義 (2):網路威脅情報專家、網路安全架構師、網路安全稽核師
Day24 ENISA CSF:12種資安人才任務定義 (3):資安講師、網路資安工程師、網路安全研究員
Day25 ENISA CSF:12種資安人才任務定義 (4):網路安全經理、數位鑑識專家、紅隊專家
Day26 ENISA CSF:效益
Day27 資安管理的困境:paperwork控制下的時效問題,透過nist csf 拆分事前、事中、事後進行處理
Day28 借用IDPRR建構資安韌性I:論點
Day29 借用IDPRR建構資安韌性II-範例篇:從個人到公司,從心理到生理
Day30 借用IDPRR建構資安韌性III-範例篇:從個人到公司,從心理到生理
後記:一開始規劃是搭配 正經/非正經 的模式,一邊說正經的內容,說完之後,放一些動畫圖,來表現一些職場梗,礙於時間,非正經的地方可能就視情況放了。
iThome鐵人賽
看影片追技術