為什麼要談資安管理

前幾篇文章中，我們探討藍隊需要了解的網路知識、如何開始建立防禦體系，以及 NICE Framework 如何協助企業管理資安團隊。從技術層面的知識和技能切入，對於建立堅實的資安基礎至關重要。

但僅僅擁有技術能力是不夠的，要構建一個全面且有效的資安體系，還需要建立在完善的資安管理原則之上。

網路攻擊與資安管理

• 情境:企業每天受到網路攻擊

痛點

• 不知道從哪裡開始
  • 面對種類繁多的攻擊和安全措施，企業往往不知從何著手建立有效的防禦體系。
• 其他人遇到事情不知道怎麼做
  • 缺乏可參考的案例和經驗，導致企業在面對攻擊時難以應變。

解決不知道從哪裡開始: 遵循合規與框架

透過法規或是資安框架，可以讓企業防禦有參考依據

• 合規與框架提供了一套被業界廣泛認可的安全標準和最佳實作方式，可以作為企業建立和評估安全防禦體系的參考依據。
• 透過遵循這些標準，企業可以確保自身的安全措施達到最低要求，降低遭受攻擊的風險，並提升客戶和合作夥伴的信任。

GDPR (一般資料保護規範)

GDPR 的核心確實是賦予個人對其資料的控制權。

• 重點：

  • 資料主體的權利：GDPR 賦予資料主體 (data subject) 許多權利，例如 被遺忘權 和 資料可攜權。
    • 被遺忘權：是指個人可以要求企業刪除其個人資料的權利。這項權利賦予個人更大的資料自主權，但也讓企業在資料處理上需要更加謹慎。
    • 資料可攜權：是指個人有權利以結構化、常用且機器可讀的格式取得其個人資料，並且可以要求將資料轉移到另一個控制者。這項權利促進了資料在不同服務之間的流動性。
  • 企業的義務：企業必須採取適當的技術和組織措施來保護個人資料。
    • 實施資料加密和 pseudonymization (假名化)：GDPR 強調資料保護的重要性，因此企業需要採取措施降低資料外洩時的風險。資料加密和假名化是兩種常見的資料保護技術。
    • 限制資料存取權限： 只有被授權的員工才能存取個人資料，可以降低資料被內部人員濫用的風險。
    • 制定資料洩漏應變計畫: 當資料洩漏事件發生時，企業需要有妥善的應變計畫，才能將損失降到最低。

• 罰則：未遵守 GDPR 的企業可能會面臨高額罰款，最高可達 2,000 萬歐元或全球年營業額的 4%，以較高者為準。 這顯示了歐盟對於資料保護的重視，也提醒企業必須認真看待 GDPR 的規範。

ISO 27001 (資訊安全管理系統)

ISO 27001 是一個提供建立、實施、維護和持續改進資訊安全管理系統 (ISMS) 要求的國際標準。

• 重點:

  • 風險管理: ISO 27001 強調風險管理的重要性，並提供一個系統化的架構，協助企業識別、評估和處理資訊安全風險。 風險管理是 ISMS 的核心，企業需要定期進行風險評估，並根據評估結果採取相應的安全措施。
  • 持續改進: ISMS 並非一次性的工作，而是一個持續改進的過程。 企業需要定期審查和更新其 ISMS，以應對新的威脅和挑戰。

• 效益: 取得 ISO 27001 認證可以向客戶和合作夥伴證明企業已建立完善的資安管理系統，並致力於保護資訊安全。 這對於提升企業形象和競爭力有很大的幫助。

• ISO 27001 四階文件

PCI DSS (信用卡產業資料安全標準)

PCI DSS 的目標的確是為了保護信用卡交易過程中持卡人的資料安全。

• 重點: PCI DSS 包含 12 項主要要求，涵蓋六大目標，包含建立及維護安全的網路和系統、保護持卡人資料、維護弱點管理計畫、實施嚴格的存取控制措施、定期監控和測試網路、維護資訊安全政策。 這些要求涵蓋了信用卡交易過程中的各个環節，以確保持卡人資料的安全。
• 合規驗證: 根據交易量大小，企業需要每年或每季進行合規驗證。
  • 自我評估問卷 (SAQ): 適用於交易量較小的企業。
  • 外部合格安全評估機構 (QSA): 適用於交易量中等的企業。
  • 公司專屬內部安全評估師 (ISA): 適用於交易量較大的企業。

HIPAA (健康保險可攜性與責任法案)

HIPAA 的目的確實是為了保護美國醫療保健產業中受保護的健康資訊 (ePHI)。

• 重點: HIPAA 要求企業實施技術性和程序性控制措施，以保護 ePHI 的機密性、完整性和可用性，並進行風險分析、制定應變計畫等等。
  • 技術性控制措施: 包含加密、身份驗證、密碼複雜度、存取審計、網路分段等等。 這些措施可以有效降低 ePHI 被未授權存取或洩漏的風險。
  • 程序性控制措施: 包含密碼政策、事件回應計畫、緊急應變計畫、稽核程序等等。 這些措施確保企業在處理 ePHI 時有明確的規範和流程。

其他人遇到事情不知道怎麼做: 制定政策與程序

讓企業的防禦開始有步驟

• 政策與程序是規範企業安全行為的準則，可以確保操作一致性、提高應變效率、持續改進安全防禦體系。

可接受使用政策 (AUP)

• 目的: 規範員工使用企業網路和資訊資源的方式，確保員工行為不會危害公司安全或違反法律。
• 內容範例:
  • 禁止訪問的網站類型: 例如色情、暴力、賭博等網站，以及可能散播惡意軟體或進行網路釣魚攻擊的網站。
  • 可下載和使用的軟體限制: 防止員工下載未經授權或可能含有惡意軟體的軟體。
  • 密碼使用規範: 要求員工設定強度足夠的密碼，並定期更換，以防止帳號被盜用。
  • 電子郵件和社群媒體的使用規範: 教育員工如何安全地使用電子郵件和社群媒體，避免成為網路釣魚攻擊的目標，以及防止公司機密資訊洩漏。
  • 個人設備的使用規範: 如果企業允許員工使用個人設備處理工作事務 (BYOD)，AUP 應該包含相關的規範，例如資料加密、軟體安裝限制、遠端存取控制等。

服務等級協議 (SLA)

• 目的: 明確定義服務供應商和客戶之間的服務承諾，確保服務品質符合預期，並在服務出現問題時，為雙方提供依據來解決爭議。
• 內容範例:
  • 系統可用性: 例如網站或應用程式的正常運作時間，通常以百分比表示，例如 99.9% 或 99.99%。
  • 事件回應時間: 例如在收到客戶回報的事件後，服務供應商開始處理問題的時間，以及解決問題所需的時間。
  • 服務性能: 例如網站的載入速度、應用程式的回應時間、資料傳輸的速度等。
  • 安全性: 例如資料加密、存取控制、安全事件監控等。
  • 維護: 例如系統維護的頻率、時間和影響。
• 注意事項: SLA 的條款應該具體、可衡量、可達成、相關且有時限，才能有效保障雙方的權益。

帶入自用設備 (BYOD)

• 目的: 規範員工在公司網路中使用個人設備的行為，在允許員工使用個人設備的便利性和靈活性，同時也確保公司資料的安全。
• 內容範例:
  • 允許使用的設備類型: 例如筆記型電腦、手機、平板電腦等。
  • 安全性要求: 例如設備必須安裝防毒軟體、設定密碼或生物辨識、定期更新作業系統和應用程式等。
  • 資料存取控制: 例如限制員工可以存取的企業資料類型、禁止將公司資料儲存在個人設備上、要求員工使用公司提供的 VPN 連線公司網路等。
  • 設備遺失或被盜時的處理程序: 例如要求員工立即回報、遠端清除設備上的公司資料等。
  • 責任歸屬: 明確說明員工在使用個人設備處理公司事務時的責任，例如資料安全、設備維護等。

標準作業程序 (SOP)

• 目的: 提供員工完成特定任務的詳細步驟和指南，確保任務執行的一致性，減少錯誤和疏失，並確保符合相關法規。
• 內容範例:
  • 處理客戶敏感資訊 (例如姓名、地址、信用卡號等) 的步驟，以確保符合 GDPR 等法規。
  • 處理安全事件的步驟，例如識別事件、隔離受影響的系統、收集證據、修復漏洞、報告事件等。
  • 進行系統維護的步驟，例如備份資料、更新軟體、測試系統等。
  • 進行資料備份和還原的步驟，確保資料的完整性和可用性。
  • 進行員工入職和離職的步驟，包含帳號建立、權限設定、設備分配、資料轉移、帳號停用等，以確保資訊安全。
• 注意事項: SOP 應該使用清晰易懂的語言，並包含圖表或流程圖，以便員工理解和遵循。

其他政策參考

資訊安全政策 (Information Security Policy)

• 定義 企業資訊安全的最高指導原則，定義了企業對資訊安全的總體目標、策略和管理架構。
• 內容 涵蓋所有與資訊安全相關的方面，例如資料保護、存取控制、網路安全、事件應變等。
• 適用對象 企業內的所有員工、承包商和第三方合作夥伴。
• 目的 確保所有與企業資訊系統互動的人員都了解並遵守相關的安全規範。

密碼政策 (Password Policy)

• 定義 規範員工設定和使用密碼的方式。
• 內容 密碼長度、複雜度、有效期限、重複使用限制等。
• 目的 有效降低帳號被盜用的風險。

遠端存取政策 (Remote Access Policy)

• 定義 規範員工如何遠端存取企業網路和資源。
• 內容 可使用的設備、連線方式、安全措施等。
• 目的 在遠端工作趨勢下，保護企業資料安全。

資料安全政策 (Data Security Policy)

• 定義 規範企業如何收集、儲存、使用、傳輸和銷毀資料。
• 目的 確保資料的機密性、完整性和可用性。
• 重要性 符合 GDPR 等資料保護法規。

事件應變計畫 (Incident Response Plan)

• 定義 定義企業在發生資訊安全事件時的處理流程和應變措施。
• 目的 幫助企業快速有效地應對安全事件，降低損失，並從中吸取教訓，改進安全防禦體系。

資安意識培訓與教育訓練 (Security Awareness Training and Education)

• 定義 定期對員工進行資安意識培訓。
• 內容 教導員工如何識別和防範網路威脅，例如網路釣魚、惡意軟體、社交工程等。
• 目的 提升員工的安全意識，是企業建立有效資安防禦體系的最重要環節。

資訊安全風險管理與跨部門合作

情境與痛點

情境

資訊安全不再僅是 IT 部門或藍隊的責任，而是需要全公司跨部門合作才能有效應對的挑戰。

痛點

1. 部門間缺乏溝通與協作 各部門對資訊安全的理解和重視程度不同，導致安全策略無法全面落實。
2. 風險意識不足 許多部門未察覺自身業務存在的資訊安全風險，例如，行銷部門可能無意間洩漏客戶資料。
3. 資源分配不均 企業可能將大部分資源投入 IT 基礎設施，忽略其他部門的安全需求，如員工安全意識培訓。

解決方案：風險管理與跨部門合作

透過有效的風險管理，企業可以系統化地識別、評估和處理資訊安全風險，並促進跨部門的協作。

風險定義

• 風險：對業務、財務或安全等產生負面影響的可能性。
• 弱點：可被威脅利用的漏洞，透過管理可減少影響。
• 威脅：利用弱點的可能性取決於威脅的存在和控制措施的有效性。

識別資訊安全風險

• 跨部門合作：藍隊應與各部門緊密合作，了解業務流程、資料處理方式及潛在威脅。例如，藍隊可與行銷部門合作，識別其在客戶資料處理方面的風險。
• 識別潛在危害：跨部門合作能全面揭示威脅。例如，藍隊可與法務部門協作，評估違反 GDPR 等法規的風險。

風險評估目標

1. 識別風險並評估其影響。
2. 評估風險發生的可能性與後果。
3. 幫助組織根據評估結果制定應對決策。
4. 確保符合法律法規要求。

風險評估步驟

1. 識別潛在危害。
2. 識別受影響的部門或人員。
3. 評估風險嚴重性及可能性，並制定預防措施。
4. 實施控制措施並記錄結果。
5. 定期審查並根據變化更新評估。

跨部門評估資安風險

藍隊應與各部門合作評估風險。例如，藍隊可與 IT 部門評估系統漏洞，或與公關部門分析聲譽風險。

處理資安風險

• 跨部門協作：根據風險評估結果，藍隊需與管理層和各部門協作，制定安全策略及預算，並落實防禦措施。

風險管理方法

根據組織的風險偏好，企業可採用以下四種方式來管理風險：

1. 風險降低：通過技術和管理控制，如修補程式和政策，降低風險。
2. 風險轉移：透過保險等手段將潛在損失轉移。
3. 風險接受：對無法避免或可接受的風險，選擇接受。
4. 風險避免：徹底消除危害以防止事件發生。

範例

針對員工遺失公司筆記型電腦的風險：

• 可能性：遺失設備的概率。
• 後果：資料遺失風險。
• 風險應對：
  • 風險降低：加密資料以保護安全。
  • 風險轉移：購買保險。
  • 風險接受：在可接受範圍內。
  • 風險避免：限制員工將筆電帶出公司。

範例

針對行銷部門發送電子郵件時無意洩漏客戶資料的風險：

• 可能性：行銷部門人員無意將敏感客戶資料發送至錯誤收件人。
• 後果：客戶隱私洩漏，可能違反隱私法規（如 GDPR），導致法律責任和聲譽損害。
• 風險應對：
  • 風險降低：實施自動化敏感資料檢測工具，防止資料洩漏，並加強員工資料處理的培訓。
  • 風險轉移：購買隱私責任保險以應對潛在的法律罰款和聲譽損害。
  • 風險接受：如果認為此風險發生概率低且後果可控，則可選擇接受該風險。
  • 風險避免：設定內部流程，要求每次發送敏感資料前進行雙重審核。

範例

針對開發部門未及時修補系統漏洞的風險：

• 可能性：開發團隊忽略或推遲修補已知漏洞。
• 後果：系統遭受攻擊，導致資料洩漏或服務中斷，影響業務運營。
• 風險應對：
  • 風險降低：實施漏洞管理計劃，強制定期更新和修補，並使用自動化安全掃描工具。
  • 風險轉移：透過購買網絡安全保險，將攻擊後的恢復成本部分轉移。
  • 風險接受：對不影響核心業務的低風險漏洞，暫時不進行修補。
  • 風險避免：嚴格要求開發人員在每次更新和發布前進行安全測試，確保漏洞修補到位。

範例

針對客服部門遭遇社會工程攻擊的風險：

• 可能性：客服人員被攻擊者欺騙，無意洩漏公司敏感資料或客戶隱私信息。
• 後果：公司敏感資料洩漏，導致經濟損失或聲譽受損。
• 風險應對：
  • 風險降低：加強社會工程防護培訓，讓員工學會識別詐騙手段，並建立雙重驗證流程。
  • 風險轉移：購買資料洩漏保險以應對資料洩漏帶來的經濟影響。
  • 風險接受：針對部分非機密信息的詢問，允許客服部門在符合政策的前提下靈活處理。
  • 風險避免：實施高度自動化的數據保護措施，限制客服人員訪問敏感數據，從根本上杜絕洩漏風險。

跨部門合作的重要性

資訊安全風險涉及企業各部門，跨部門合作有助於資訊共享、經驗交流及提升安全意識。透過協作，確保資訊安全目標與各部門的業務需求一致，提升整體應變能力及防護水準。

企業網路架構 vs 變更、修補管理

了解企業網路架構和安全需求至關重要，因為企業網路架構是企業資訊安全的基礎。

藍隊需要深入了解企業內部網路設備的連接方式，例如路由器和伺服器是如何互相連接的，並分析網路架構，才能找出可能的安全漏洞並評估解決方案的可行性。

而透過資訊安全管理原則中的變更與修補管理，可以確保任何網路架構或系統設定的變更都經過適當的規劃、測試和審核，避免因為變更而引入新的安全漏洞。

變更管理

任何對網路架構或系統設定的變更都可能引入新的安全風險。藍隊需要參與變更管理流程，評估變更帶來的安全影響，並確保採取適當的安全措施來降低風險。

• 例如，如果企業要部署新的伺服器或應用程式，藍隊需要評估其安全性，並確保其符合企業的安全策略。
• 藍隊可以使用滲透測試來模擬攻擊，找出新的伺服器或應用程式中可能存在的漏洞。

修補管理

及時安裝修補程式是降低安全風險的關鍵措施，因為修補程式可以修復系統和軟體中的已知漏洞。

藍隊需要建立有效的修補管理流程，以及時安裝修補程式，並確保修補過程不會影響企業的正常運作。

• 藍隊可以使用各種工具來協助修補管理，例如 Windows Server Update Services (WSUS) 和 Microsoft System Center Configuration Manager (SCCM)。
• WSUS 讓 IT 團隊能夠部署最新的 Microsoft 產品更新，並管理透過 Microsoft Update 發佈到網路上電腦的更新。
• SCCM 則是一個付費解決方案，可作為資產清冊，協助軟體安裝，並將更新和安全修補程式部署到整個網路的系統。

小結

了解企業網路架構和安全需求是藍隊工作的重要部分。透過實施變更與修補管理等資訊安全管理原則，藍隊可以確保企業網路架構的安全性，並降低安全風險。

結論

藍隊的任務不僅是抵禦外部攻擊，而是建立在風險管理、跨部門協作、政策落實等綜合措施之上。企業必須透過合規、風險管理以及有效的變更管理來強化其資安體系，並確保所有部門都能參與資安防護的每個環節。唯有如此，企業才能在持續變化的威脅環境中確保資訊安全。

五題選擇題（含答案）

1. 資安管理的重要性是什麼？

   • A) 只需技術措施
   • B) 需要結合技術與政策
   • C) 只需人力資源參與
   • D) 不需要技術支援
     答案: B

2. GDPR 的哪一項權利賦予個人可以要求企業刪除其個人資料？

   • A) 資料保護權
   • B) 資料可攜權
   • C) 被遺忘權
   • D) 個資自主權
     答案: C

3. 風險管理的主要目標是什麼？

   • A) 減少業務效率
   • B) 只專注技術風險
   • C) 識別、評估並控制潛在風險
   • D) 增加 IT 部門的負擔
     答案: C

4. ISO 27001 強調哪一個要素？

   • A) 資訊的機密性
   • B) 員工的休假政策
   • C) 系統性能
   • D) 資安風險的管理和持續改進
     答案: D

5. 以下哪一項屬於企業變更管理的必要流程？

   • A) 忽視潛在風險
   • B) 只交由 IT 部門負責
   • C) 評估變更帶來的安全影響
   • D) 不進行修補管理
     答案: C

給企業的 CTA 步驟

1. 建立資安管理政策：制定涵蓋網路架構、資料保護、存取控制和應變措施的全方位資安管理政策。
2. 跨部門協作：鼓勵所有部門積極參與風險管理過程，藉由跨部門合作來識別和處理各自的風險。
3. 遵循合規與框架：確保企業的資安策略符合 GDPR、ISO 27001 等國際標準，並依據這些框架定期進行自我審核。
4. 實施變更與修補管理：確保所有的系統變更和更新經過嚴格測試，並及時修補漏洞，以維持系統的安全性。
5. 定期培訓與審查：提供員工資安意識培訓，定期進行政策審查，確保最新的威脅和合規要求都能被納入資安防禦體系。