「世界上大型企業分兩種:一種是已經被駭客入侵,另一種則是被入侵卻渾然不知的公司。」,美國聯邦調查局局長James Comey.
ISO 27001的稽核員稽核的時候大概都會問以下2個問題再追問1個細節:
本系列前一篇的「使用者問題回報系統」是提供一個讓User進行異常回報的平台,由系統主動通知負責人員,進行協助異常排除。
而本篇的「資安事件及異常紀錄」是屬於MIS內部進行資安事件的通報及異常的紀錄。這一部分通常會配合ISMS (ISO27001驗證)的表單一起設計。
以下這張是常見的ISMS資安事件通報單/處理單。(圖01)
事件分類我們依據通安全管理法中資安通報單的分類列入考量。以下這張是資通安全署提供的紙本資通安全事件通報單。(圖02)
表單截圖來源:資通安全事件通報單,數位發展部資通安全署
以下1-4級事件我們依照資通安全法的定義來管理。但為了記錄設備異常,我們將設備異常但未構成1級資安事件等級的事故也要在系統上做紀錄,所以我們在1-4級之外,再加上0級事件以進行更完整的異常紀錄:
1級事件:
(一)非核心業務資訊遭輕微洩漏。
(二)非核心業務資訊或非核心資通系統遭輕微竄改。
(三)非核心業務之運作受影響或停頓,於可容忍中斷時間內回復正常運作,造成機關日常作業影響。2級事件:
(一)非核心業務資訊遭嚴重洩漏,或未涉及關鍵基礎設施維運之核心業務資訊遭輕微洩漏。
(二)非核心業務資訊或非核心資通系統遭嚴重竄改,或未涉及關鍵基礎設施維運之核心業務資訊或核心資通系統遭輕微竄改。
(三)非核心業務之運作受影響或停頓,無法於可容忍中斷時間內回復正常運作,或未涉及關鍵基礎設施維運之核心業務或核心資通系統之運作受影響或停頓,於可容忍中斷時間內回復正常運作。3級事件:
(一)未涉及關鍵基礎設施維運之核心業務資訊遭嚴重洩漏,或一般公務機密、敏感資訊或涉及關鍵基礎設施維運之核心業務資訊遭輕微洩漏。
(二)未涉及關鍵基礎設施維運之核心業務資訊或核心資通系統遭嚴重竄改,或一般公務機密、敏感資訊、涉及關鍵基礎設施維運之核心業務資訊或核心資通系統遭輕微竄改。
(三)未涉及關鍵基礎設施維運之核心業務或核心資通系統之運作受影響或停頓,無法於可容忍中斷時間內回復正常運作,或涉及關鍵基礎設施維運之核心業務或核心資通系統之運作受影響或停頓,於可容忍中斷時間內回復正常運作。4級事件:
(一)一般公務機密、敏感資訊或涉及關鍵基礎設施維運之核心業務資訊遭嚴重洩漏,或國家機密遭洩漏。
(二)一般公務機密、敏感資訊、涉及關鍵基礎設施維運之核心業務資訊或核心資通系統遭嚴重竄改,或國家機密遭竄改。
(三)涉及關鍵基礎設施維運之核心業務或核心資通系統之運作受影響或停頓,無法於可容忍中斷時間內回復正常運作0級事件:設備異常,但未影響企業運作且未達1級事件。
之所以加入0級事件,因為本範例的管理需求除了是資安事件的紀錄外,設計上也紀錄異常主機、網路故障的頻率,也就是系統、主機、網路的可用性、可靠性的程度,以做為ISMS風險評鑑及KPI異常來源的數據資料。
依需求及設計進行相關設定,重點在:
完成後如下二圖
圖03、04
當異常紀錄後,追蹤及事後分類的統計很重要。在本案例中,為了可以對設備問題可以更進一步的統計,所以追蹤標籤的設備問題又分了4類-設備損毀、電力異常、網路服務中斷、設備遺失。
[議題清單]/[自訂查詢]
選擇你要查詢的條件,以及分組統計的欄位
(圖08)
設定統計的欄位和要分組的欄位
(圖09、10、11、12)
得到依"分類"的分組統計中斷時間分類總總計。(圖13)
提供另一個有用的範例統計:用[事件等級]去分組異常事件紀錄及統計中斷時間,這些可能是你每季或年度KPI所需要的數據來源。(圖14)
立即獲得你報告及KPI所需要的資訊。
是不是很簡單又很厲害!!
異常管理分享告一段落。下一篇做一個小結及心得分享