玖、 第九章 績效評估
資訊安全管理系統經過規劃建置、執行後必須評估做得夠不夠、有沒有需要改進的地方,第九章就是用來檢討前面的執行措施。
一、 9.1 監督、量測、分析與評估
要設定一些我們想要監控的項目,去看看執行的情況是不是如我們預期般,達到當初設定的目標或用意,ISO 27004這項標準就是有關監督量測的指引,對於如何執行監控量測有大量的範例可以參考。下圖是ISO 27004與條文9.1的對應:
(一) 甚麼需要監控及量測
條文一開始就說明應評估資訊安全的績效與ISMS的有效性,監控就是決定系統、流程或活動的狀態是否滿足特定的需要,所以監控對象(系統、流程或活動)可包含下列事項:
• 執行ISMS的流程
• 資訊安全事件
• 弱點管理
• 配置管理
• 資訊安全認知與訓練
• 存取控制、防火牆及事件紀錄
• 稽核
• 風險評鑑流程
• 風險處理流程
• 第三方管理
• 營運持續
• 實體環境安全
• 資訊系統
所以監控狀態如果有一些數據產生,是可以用來執行量測,量測就是決定某項活動有效性或效能的一個值、狀態或趨勢,例如條文中要求執行ISMS人員的能力與認知,所以我們律定所有人每年必須接受資訊安全教育訓練三小時,以符合其認知及能力,那就可以量測整體員工接受相關教育訓練的比率,這就是一種量測。在整個條文中,可以看到有些條文強調有效性,例如:6.1.1.e).2組織必須評估因應風險及機會的有效性,這就需要量測才能決定是否符合預期的規劃,條文中有關有效性量測如下:
• 計畫行動
• 領導統御
• 風險管理
• 政策管理
• 資源管理
• 溝通
• 管理審查
• 文件化
• 稽核
另外有關附錄A控制措施的有效性也是需要監控與量測的,因為這些控制措施是從風險評鑑去決定的風險處理選項。針對控制措施需要量測以下事項,以確認風險是否真的降低或者殘餘風險確實如我們所預估的。
• 控制措施降低多少該風險的可能性
• 控制措施降低多少該風險可能造成的衝擊程度/等級
• 控制措施降低多少在資訊安全失效之前可應對的事件發生頻率
• 事件發生後經過多長時間,控制措施才能檢測到事件已發生
(二) 何時監控量測、分析及評估
組織應規劃監控量測項目的間隔與期程,可以參考監控量測項目本身的需求,或者是利害關係者的需要,舉例來說:對於資訊安全事件,組織應該持續不斷地監控,直到發生事件後,可能要對當事人或主管機關進行通報,所以對於量測的數字(例如:阻擋入侵事件等),需要有一個周期的報告,使得當事人或主管機關認同組織所採取的保護措施。所以何時監控量測,取決於需求,這個需求可以來自全景分析、計畫或執行;至於何時執行分析及評估作業,須取決於監控與量測所獲得的資訊是否足夠以及是否有額外的要求,例如:資訊安全目標為系統服務可用率99.9%,可以定義每個月蒐集系統實際可用率,每季將三個月的數字列入表格由業管主管審查,每年統計數字並於管理審查會議中檢討,就可以達到分析評估的作用,並持續監控措施被執行的有效性。組織可以建立程序來執行監控或量測,但條文並沒有要求一定要建立程序,組織可以自行決定是否需要建立。
(三) 何人執行監控量測及分析評估
條文5.3角色、責任與職權應與9.1結合,律定監控量測所需的人員及能力,執行監控量測基本的人員角色如下:
• 量測需求者:管理或關切量測結果的人員,可能是第三方或是管理人員,他們需要量測結果來決策或分析作為。
• 量測計畫者:規劃量測的人員,必須熟悉各項程序產生的數據關聯性與有效性。
• 量測審查者:審查確認規劃量測的方式及結果是否符合需求者的需要。
• 資訊擁有者:依照計畫執行量測並提供量測資訊的人員。
• 資訊蒐集者:負責蒐集、儲存及記錄相關資訊人員。
• 資訊分析者:負責分析監控所獲得的資訊。
• 資訊溝通者:負責將監控分析結果向需求者溝通的人員。
當然以上的角色並非固定或一定要不同的人來執行,端看組織規模及權限的分配,所以必須結合第五章及第七章的要求來執行。
(四) 監控量測方法
監控量測的種類區分兩種:
kachung
iThome鐵人賽
看影片追技術