談到資訊安全措施,有下列幾個重點:
資訊安全措施可在資訊安全事件的預防和處理的特定階段中使用。對於每個階段,可挑選適當的措施。措施的選擇視資訊的重要性而定。
在開始時,有一個威脅將具體化的風險。威脅可以是會造成業務流程中斷或對業務結果有不利衝擊的任何事。當威脅具體化時,我們就會談到資訊安全事件。這個資訊安全事件可能導致必須加以修補或矯正的損害(對資訊或對資產)。
〝預防的〞資訊安全措施係用來防止資訊安全事件發生。預防措施,例如:分配存取權限給經過授權的人。與此措施相關的進一步需求,包含:存取權限的管制(權限的賦予、維護和撤銷)、授權(確認誰被允許存取哪些資訊以及使用哪些工具)、身分識別和鑑定(證實誰在尋求存取)、存取管制(確保只有經授權的人才能進行存取)。
可事先採取進一步的措施,以最小化任何可能發生的損害。這些是〝縮減的〞措施。縮減措施,例如:定期進行備份以及應變計畫的開發、測試和維護。
如果資訊安全事件發生,則必須盡快地發現:〝偵測〞。這個的例子是:連接到警報程序的監督行動或病毒檢查軟體。
然後,〝壓制的〞措施被用來對抗資訊安全事件的任何持續或重複。例如:一個帳戶在多次(例如:3次)企圖登入系統卻失敗後,被暫時性地封鎖。
損害應藉由使用〝矯正的〞措施,盡可能地加以修補。例如:矯正措施包含:利用備份進行還原,或回到先前的穩定狀況(倒轉、撤回)。
至於嚴重的資訊安全事件,在適當的時候,〝評估〞是必要的,以確定出了什麼差錯、什麼導致差錯以及將來如何預防。然而,此流程不應限制在嚴重的資訊安全事件。資訊安全方面的所有違反皆需加以研究,以獲得在整體資訊安全措施有效性方面的完整圖象。需要一個在資訊安全事件方面的報告程序,以能夠根據對〝所有的〞資訊安全事件的深入瞭解,評估目前的資訊安全措施的有效性和效率。此係藉助於日誌檔案、稽核檔案以及意外事件管理/服務中心機能的相關紀錄。
**********************************************************************************
上述措施對資訊安全都很重要,但在這裡要強調的是:不管我們採取怎麼樣的措施,資安事件幾乎可以保證一定會發生。這個我們可以從層出不窮的資安事件新聞報導得知,從個人、企業到國家政府,無一能免於資安事件的侵襲。
目前的資訊安全實務,著重在資安事件的預防和偵測,以及資安事件發生後,對於損害的控管和服務的回復,但是對於如何管理資安事件的利害關係人,卻較少提及。這使得在資安事件發生後,雖然可以將損害控制在一定的範圍並且盡快地回復服務,但對利害關係人的傷害和影響卻餘波蕩漾,久久無法平息。
以偷情網站Ashley
Madison被駭事件為例,利害關係人包含股東、員工、政府、執法機關以及受害最深的,也就是顧客/使用者。這些利害關係人各有其不同的關切事項:股東關心股價、員工關心工作、執法機關關心駭客是誰,而有顧客/使用者因為資訊被公開而自殺。
因此,資訊安全的管理應該包含資安事件利害關係人的管理,這也意味著,資安事件一定會發生,而資安事件前的準備工作以及事件發生後的處理,應該包含如何管理資安事件的利害關係人,以使對利害關係人的傷害和影響降到最低。
《《《《《《《《《《《《《《《《》》》》》》》》》》》》》》》》》
l 如果你是高階經理人,你如何讓企業和ICT(資訊和通訊科技)的策略和目標結盟,以提升企業的競爭優勢?你應該作成哪些與ICT相關的決策,而不會讓ICT花費大筆的預算,卻達不到你想要的結果?
l 如果你是資訊長,你如何擬定ICT的策略和目標,與事業單位溝通,建立ICT組織,扮演好ICT的角色,以提升企業的競爭優勢,而不會被批評為只是花錢的單位,毫無貢獻?
l 如果你是資訊部門經理,你如何根據企業的ICT策略和目標,建立相關的流程和組織,例如:服務要求管理流程、意外事件管理流程、異動管理流程、資訊安全管理流程等等,並且據以實行,以達成ICT目標?
l 如果你是系統、網路、應用軟體管理、設計、開發、操作人員,你如何將自己從技術人員提升到管理人員,對企業整體的ICT基礎建設及其管理有一個全面的了解,從而提升自己在公司的地位?
l 如果你從事於資訊服務業,你如何管理本身和顧客的ICT基礎建設、如何擬定合理的價格、如何與顧客談判服務水準並且擬定服務水準協定(SLA)?
龍山顧問所出版的《資訊和通訊科技基礎建設管理系統(Information and Communications Technology Infrastructure Management
System, ICTIMS)》書籍和相關服務,能夠提供上述問題的解答、滿足你的需求,詳情請參考龍山顧問公司網站http://www.longshine.tw/。