圖3-資通系統防護需求分級原則
本實施推動說明中建議可再採用以下兩項分析構面,來加強判斷資通系統防護需求分級:
(一)營運衝擊分析(Business Impact Analysis):
針對各業務分析復原時間目標(Recover Time Objective, RTO)、復原時點目標(Recover Point Objective, RPO)、最大可容任中斷時間(Maximum Tolerable Period of Disruption, MTPD)等要素,可用於識別業務在可用性環節上的重要程度。識別各業務的最大可容忍中斷時間(MTPD)後,可以比較出各業務間可用性構面等級。
(二)個人資料分析(Personal data privacy analysis):
識別各業務流程中是否有個人資料,若業務流程中具有個人資料時,則其機密性與法律遵循性構面之等級就應相對較高。
三、建置資通安全管理制度文件
(一)政策與目標:
組織在召開業務檢討會議時,通常高階主管緊盯的目標往往是與營業相關的目標,但若沒有完善資通安全管理各項資訊服務,讓資訊服務如期支援各項業務時,恐將造成無法完成營業目標的主因。所以組織在設定資通安全管理政策與目標時,除了將資訊安全的機密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、及適法性(Legitimacy)為主要目標以外,應設法與其業務目標進行結合,如此合併考量才能將資通安全的層次提昇成高階主管所重視的目標,資通安全目標如下表3資通安全目標範例所示。
表1-資通安全目標範例
| Objective |
Information Security Management System Objective |
|
|
Unauthorized use of information system accounts ≦ 3 accounts /Year
No Confidential information leakage
|
| Integrity |
No Data fabrication
Announcement information content approved procedure
Announcement of wrong information content ≦ 1 time/Year
|
| Availability |
Information system availability ≧ 98%/Year
Information system interruption exceeds Recover Time Object (RTO) ≦ 2 time/Year
|
| Legitimacy |
Use authorized software
No Violation of GDPR regulations
|
(二)資通安全管理文件
資通安全管理制度須實踐說-寫-做一致之精神,將『資通安全管理法』與組織管理程序整合成適合組織遵循的資通安全管理制度文件。資通安全管理制度文件架構可分成第一階:最高管理政策;第二階:管理程序;第三階:標準作業手冊及四階:表單。
規劃組織資通安全管理制度文件時,應考量組織內風險因子、現存管理制度、作業流程、外部風險因子、相關法令法規及適用的國際標準規範。如圖2管理制度文件架構圖所示。
圖4-管理制度文件架構圖
資通安全管理文件建議可分為各項領域規範:資通安全管理組織與權責管理、文件管理、人員安全管理、資通安全稽核管理、改善管理、資通安全事故管理、供應商關係管理、資通安全持續性管理、風險管理、實體環境安全管理、通訊與作業安全管理、存取控制管理、資訊系統開發與維護管理。如圖3資通安全管理制度文件領域所示。
圖5-資通安全管理制度文件領域
|
作者經歷簡述
曾經在安侯企業管理股份有限公司(KPMG)副理任職10年,現今任職於安碁資訊股份有限公司第5年,15年的資訊安全管理與技術面之實務經驗,累積超過50個公務機關與企業 ISMS/ PIMS/ITSM等專案建置輔導經驗、教育訓練授課時數超過200小時,且具有超過50個單位的資訊安全弱點掃瞄、滲透測試,以及資訊安全稽核審查實務經驗。
|