在當今數位化快速發展的時代,資安治理(Information Security Governance)成為企業和政府機構不可忽視的一環。資安治理不僅是一套策略或流程,而是一種確保資訊安全策略與組織目標一致的架構,它涵蓋了管理層的承諾、組織結構、政策、程序和技術等多個面向。
什麼是資安治理
資安治理涵蓋在組織層面上制定和實施與資訊安全相關的策略、程序和控制措施,目的是保護組織的資訊資產免受威脅和攻擊。它包括技術、管理和操作層面的決策與行動,致力於保障資訊安全策略與組織整體目標的一致性。
資安治理的好處
資安治理可以為組織帶來以下幾個好處:
• 風險管理:資安治理幫助組織識別、評估和處理資訊安全風險,減少潛在的損失。
• 合規性:通過遵循相關法律、法規和標準,資安治理確保組織避免法律風險和罰款。
• 決策支持:提供一個框架,幫助組織做出與資訊安全相關的明智決策。
• 提升信任:強化包含客戶等利害關係人對組織在保護資訊安全方面的信任。
台灣推動資安治理的策略
台灣政府在推動資安治理方面已採取具體步驟以及時程,期望能打造安全可信賴的數位國家。根據國家發展委員會網站提供資訊,評估內容包括策略、管理、技術 3 大面向以及 11 個流程構面,設計 41 個檢核項目。
參考:國家發展委員會-政策新知04-政府機關資安治理成熟度評估機制 (ndc.gov.tw)
這些措施與 ISO 27014 資安治理標準的實踐步驟相呼應,後者為資安治理政策推動提供了一個參考框架,確保資訊安全策略的有效實施與持續改進。ISO 27014 標準中的五個主要步驟為:評估(Evaluate)、指導(Direct)、監視(Monitor)、溝通(Communicate)和保證(Assure)。
1. 評估(Evaluate):評估是指對組織的資安風險進行識別、分析和評估,以確定組織所面臨的資安威脅和漏洞。評估的結果應為組織制定資安策略和措施提供依據。
2. 指導(Direct):指導是指為組織的資安管理提供方向和指導。指導的內容包括制定資安政策、建立資安管理體系、提供資安教育和訓練等。
3. 監視(Monitor):監視是指對組織的資安狀況進行持續的監控和檢查,以發現和應對資安事件。監視的內容包括對資安系統和設備的監控、對資安事件的調查和分析等。
4. 溝通(Communicate):溝通是指在組織內部和外部進行資安溝通和宣導。溝通的內容包括資安政策和措施的宣導、資安事件的通報等。
5. 保證(Assure):保證是指提供合理的保證,以確保組織的資安目標得以實現。保證的內容包括建立資安管理制度、制定資安應急預案等。
以上所述的資安治理五大步驟,不僅是理論上的指引,實際上也被各個組織廣泛應用於日常的資訊安全管理中。
以 Openfind 的 Mail2000 郵件系統為例,管理者可以透過 Mail2000 的管理者操作紀錄(圖1)和異常登入警示功能(圖2),實踐資安治理中的評估(Evaluate)、監視(Monitor)以及保證(Assure)。管理者操作紀錄功能使組織能夠追蹤和審查關鍵的系統變更,這有助於保證資訊安全的透明度和責任追蹤。同時,異常登入警示功能為組織提供一個機制來評估潛在的安全威脅,並即時反應異常發生狀況,這有助於提升組織對於資訊安全事件的警覺性和反應能力。這些功能都可以協助組織保證其資安目標得以實現。透過追蹤和審查系統變更,以及監控異常登入行為,組織可以確保其資安措施有效。
圖 1. 管理者操作紀錄
圖 2. Mail2000 異常登入警示
另外兩個原則指導(Direct)及溝通(Communicate)則可透過以下方式來實現:
1. 制定並定期審查資訊安全政策和程序,確保與組織目標一致。
2. 提供足夠資源和管理層承諾,支持資訊安全策略的實施。
3. 定期進行資訊安全培訓和意識提升活動,提升員工資安意識。
4. 建立有效的溝通渠道,快速傳達資安政策、事件和變更。
資安治理是企業和政府機構在數位時代不可或缺的管理策略。透過有效的資安治理,組織可以提升資訊安全防護能力,降低資安風險,並促進組織的整體發展。
台灣政府近年來積極推動資安治理,並制定了相關評估機制和標準,以協助組織提升資安成熟度。企業也應積極響應政府政策,並結合自身需求,建立完善的資安治理機制,以確保資訊資產的安全。