中國文化大學推廣教育部數位科技中心主任陳仁偉表示,應以管理思維來思考,如何訂定資安組織的目標和策略,他並提出3項資安管理思維的建議。

資安議題已是各企業無法避免的挑戰和考驗,為抵抗資安威脅,許多企業紛紛設立資安專責單位,訂定資安出錯率的容許度,還有列出資安業務清單,來擬定資安組織的目標和策略地圖。不過,中國文化大學推廣教育部數位科技中心主任陳仁偉認為,企業應透過管理思維,來訂定資安組織的目標和策略。

陳仁偉是中國文化大學推廣教育部的資訊主管,近年他致力於發展一套將資安融入企業架構的方法論。他在臺灣資安大會中,分享了多項資安管理思維的建議。

第一建議是,陳仁偉指出,企業要建立資安管理思維框架,來探索資安問題。他解釋,建立管理框架除是為因應法規需求,更重要的是,採取監督管理的積極作為,來確保所有作業符合SOP,達成零缺失的目標,並可搭配滲透測試,找出資安不足之處。

他建議企業,獨立第三方驗證(Independent Verification and Validation,IV&V)也必須要納入管理框架。他解釋,由第三方協助管理,更可確保每個驗證業務項目,環環相扣,達到零缺失的目標。所以,他強調,建立資安管理思維框架的目的就是,要看清楚資安問題。

第二建議,資安單位必須超越單一的法遵,打造整合式資安管理制度。陳仁偉解釋,法律是道德的最低標準,同樣地,法遵是資安作為的下限。因此,企業通過資安法並不能代表,一切沒有問題,換句話說,企業只依資安個資相關法遵,來採取對應的資安作為,是不夠的。他建議,企業構思資安作為時,結合相關標準制度,進一步建立整合式資安法遵體系。

他建議,企業至少整合三項標準,包含了品質管理標準ISO 9001認證,還有資安管理認證標準ISO 27001作業規範,以及隱私保護與個資管理ISO 27701標準,從三面向打造資安管理制度。其中,陳仁偉建議優先導入ISO 9001,有系統地規畫應執行的工作方向,確認內部整體作業的每一項流程。

「企業若無法盤點和標準化組織作業流程,便難以規範資安制度」,他補充,就像個資管理,若流程反覆變動,就容易出現資訊的變動性風險。企業先導入ISO 9001品質管理認證,確立整套作業流程之後,才能了解各流程潛在的漏洞,進行風險分析,接著,再導入ISO 27001作業規範和ISO 27701標準。

不過,要將這三項標準整合管理和驗證,還需跨部門整合。陳仁偉表示,因資安多由資訊單位負責,個資通常是法務單位負責,而品質則是由研考或品保單位負責,因此需要跨部門整合,才可以結合不同的標準,打造整合式資安管理制度。

他進一步提到,許多人認為資安是資訊部門的事情,但,這必須改變,只有資訊部做好資安是不夠的,資安是企業全員的責任。有鑒於此,他提出了下一點資安管理思維的建議,將資安作為融入組織作業,建立無感常民資安文化。

資安作為需全面落實到組織流程,首先從流程改造開始

陳仁偉將企業所有人都具資安意識的組織文化,稱之為常民資安文化,而要做到這樣的資安程度,他表示,需先進行組織流程再造,讓每位企業成員皆能在日常作業中,融入資安作為。而何謂「無感的」常民資安文化?他則表示,就是低負荷的文化,讓人員不需做很多額外的資安工作,即達到資安效果。

他進一步說明如何建立常民資安文化。企業檢視既有流程後,需依據資安需求重新定義企業的作業流程,再將符合資安要求的作業流程列入ISO規範,也就是配合ISO 9001認證。接著,透過監管和稽核兩個動作,來確保作業流程符合資安規範。陳仁偉說明監管與稽核的差異,監管是由內部人員隨時監督管理作業流程,確保運作機制符合資安規範,而稽核則是定期由外部人員來檢查流程,確保機制未違反規範。

而一旦企業在監管與查核過程中,發現問題,則需立即進行作業流程修正。陳仁偉表示,如此,便可打造低負荷的常民資安文化,「簡單來說,讓企業成員沒有任何資安犯錯的空間。 」

陳仁偉強調,企業設定的資安目標不應是負責組織資訊安全,也不是業務清單,更不是資安出錯率,而是導入資安管理思維,來建構零缺失的資安環境,還有打造整合式資安管理制度,以及建立組織常民資安文化等。文⊙黃郁芸


熱門新聞

Advertisement