四、資產盤點與風險評估
(一)資產盤點
1. 資產盤點方式建議從各單位業務流程進行盤點,再從各業務流程中解構出支援此業務的資訊系統。
2. 依據「資通安全責任等級分級辦法」中的「資通系統防護需求分級原則」分析資訊系統的防護需求等級。
3. 針對防護需求等級較高的資訊系統進行資訊資產盤點,如此,可優先將資源投注在相對較重要的資訊系統,並為下一階段風險評估進行準備。
(二)風險評估
本實施推動說明中建議風險評估應考量以下兩項核心風險來源,以讓所執行出來的風險評鑑的結果,確實的反應出組織內、外部狀況、全球趨勢等,並符合『資通安全管理法』:
1. 內、外部組織
依據ISO 31000風險管理原則與指導綱要影響組織資通安全因素:
(1) 內部因素:與組織策略目標結合、組織文化與責任、組織作業流程、內部利害相關者感知與價值、資源與知識、合約關係的形式與範圍。
(2) 外部因素:外部利害相關者感知與價值、外部利害相關者目標與關切事項、社會文化、國際趨勢、法令規章、競爭環境。
2. 防護及控制措施
依據資訊系統分級結果進行「資通系統防護基準」分析,並將不符合防護基準的項目列入風險因素,以利規劃風險處理持續改善。
五、營運持續管理機制
(一)事件通報應變
組織應依據「資通安全事件通報及應變辦法」規範事件等級以及根據事件等級的不同採取不同通報與處理時限。此外,組織在設計通報流程時,應考量不同事件將會有不同通報流程,故應配合資通安全組織各單位角色權責設計通報流程。若無法由單一單位處理的事件應設置具有跨單位跨組織溝通協調的角色。
(二)營運演練機制
建議參考國際標準ISO 22301 企業持續營運管理系統(Business continuity management systems)發展組織適用的營運持續管理程序。組織透過據營運衝擊分析(Business Impact Analysis)與服務水準協議(Service Level Agreement)來識別以下關鍵資訊:
• 識別出支援關鍵業務的重要作業;
• 評估當重要作業無預警中斷時所帶來的影響;
• 設定優先回復之順序;
• 識別出重要作業所依賴之資源,包括供應商、外包夥伴及其他利害關係者。
營運持續演練在設計情境時應參考內、外部組織風險因素來設計,例如:電力中斷、辦公環境無法正常使用、個人資料外洩、電腦病毒爆發等,定期執行營運持續演練,並將演練結果經檢討後做為持續改善之目標。
六、稽核管理
為確保組織資通安全管理制度各項程序及控管措施的落實,組織應考量法規及政策要求,規劃、建立和維護稽核方案,以監督和審查組織資通安全防護與處理個人資料的效能與效率。組織在規劃稽核的對象時建議包含:組織內部單位、供應商及組織轄下單位。稽核管理程序主要可分為稽核前、稽核中、稽核後三階段,如圖 4稽核作業程序所示,說明如下:
(一)稽核準備
內部稽核前應擬定稽核計畫,經稽核單位與受稽單位雙方同意後進行,並於內部稽核執行前明確討論,確認分工與稽核方式。內部稽核計畫大綱建議包含:稽核目的、範圍、對象、時程、流程、實地稽核時程及執行步驟。
(二)執行稽核
受稽單位指派適當人員接受稽核及參與當日稽核啟始會議,於稽核作業進行前稽核單位向各受稽單位,說明稽核時間及地點。受稽單位應於稽核前準備文件、紀錄等資料。
(三)稽核結果
受稽單位指派適當人員參與當日稽核結束會議,以確認稽核發現事項是否屬實。將稽核發現事項如實列入報告稽核報告,並定期追踪缺失改善進度與成效。
圖4-稽核作業程序
參、總結
組織內各單位對資通安全均具有責任,藉由『資通安全管理法』重新讓全組織各單位對資通安全進行分工分責,並延伸組織對供應商及轄下機關,應執行資通安全監督管理活動,以利整體提昇組織的資通安全管理之成熟度。
組織實施資通安全維護計畫時,應透過管理制度循環的機制:P-D-C-A,與各單位協調出適合運行於組織的資通安全管理規範,並透過風險評鑑與稽核管理手段不斷持續改善進步,逐步將資通安全管理規範循序漸進的成為組織文化。
『資通安全管理法』正式立法上路後,確實對各組織造成不小的衝擊,但同時也樂於見到組織把資通安全做更好的轉機,更期待各產業因應資通安全維護計畫的實施,讓臺灣資通安全環境全面升級。
======
作者:
安碁資訊股份有限公司 /
楊家豪專案經理
|
作者經歷簡述
曾經在安侯企業管理股份有限公司(KPMG)副理任職10年,現今任職於安碁資訊股份有限公司第5年,15年的資訊安全管理與技術面之實務經驗,累積超過50個公務機關與企業 ISMS/ PIMS/ITSM等專案建置輔導經驗、教育訓練授課時數超過200小時,且具有超過50個單位的資訊安全弱點掃瞄、滲透測試,以及資訊安全稽核審查實務經驗。
|