作者:編輯部 2008/3/24
資安工作無法落實的原因有很多,但真的大多與技術、工具沒有太大關聯。
落實資安工作
許 多資安人員在推動資安管理工作面臨不同的難題。筆者所服務的公司集團本身非常重視資安管理工作,在配套措施上算是相當完整,因此在規劃、預算、採購、評 選、溝通、驗證成效、稽核、維護、教育觀念各方面相對較少其他公司組織所遇到的困難,藉此機會想分享筆者一些實務上的經驗。
談到落實的問題,絕大部分資安工作的執行會是在資訊技術部門,就個人實務工作經驗,無法落實的原因有很多,以下是幾個常見的問題,且大多與技術工具沒有太大關聯:
第一、流程沒有寫下來,資安管理工作難以落實:
無 法落實資安工作,常見的狀況是沒有「寫」下來的流程,但有流程就能確保安全?那倒不一定,但是有流程程序書基本上會規範權責及作業步驟,這部分至少確立了 Accountability,可以去「究責」,也至少能確保某個程度的水準。沒有流程程序書,當相關作業之組織、人員異動,原本「不成文的作業程序」可 能就自動人間蒸發,作業管理主管也不容易掌握資安管理工作項目及完整性。
「不成文的作業程序」通常也可能因為權責不清,不連貫而產生效率問題,效率問題也常成為資安工作落實的致命傷。
第二、有流程但沒有設計適當的「控制」或「檢核」,資安管理工作一樣難以落實:
如 果資安管理工作有寫下來的作業程序書,且依程序執行,一般而言,在運作一段時間之後,如果程序設計合宜,相對於沒有作業程序書,會讓作業效率有明顯提升。 資訊技術部門人員通常對於其工作駕輕就熟之後,例如安裝伺服器,通常不會再看操作程序書,但如果在流程設計上沒有加上一些必要之控制,例如檢查安裝設定值 以及檢核產出,是不會知道是否有潛在人為操作錯誤的問題。就筆者的經驗而言,在流程設計時就設計必要之控制及產出,例如檢核表,會比事後要求其提供控制產 出要來的容易接受。同時也可以較為即時驗證作業人員是否落實資安管理工作。
控制措施會產生影響一些作業效率,降低系統效能等問題,增加作業成本,但是整體而言,如果將人為疏忽所導致資安事件的損失納入考量,還是有其必要的,資安人必須檢視作業流程使否有適當的控制措施以及如何在安全與效率之間取得平衡,才能使資安管理工作落實。
詳細資料請按此 www.isecutech.com.tw/feature/print.asp
留言列表
