公司的資安治理該從何開始?(Part 1)
淺談資安評估流程 Security Review is an organizational decision-making process
資安評審或資安評估 (Security Review) 是公司內部進行資訊安全管理時經常使用的一種方法(approaches) ,本系列文章會精簡介紹此種方法的重點精髓、主要框架及如何使用,希望能藉由 Security Review 的思維激發更多資安管理理念的討論。
曾風行美國投資銀行界的貝爾斯登公司就是使用 Security Review 來作為公司內部資安管理的主要方式,來檢視自己公司的資安落實程度。我本人曾在該投資銀行CISO組織擔任評審長 (Security Reviewer) ,便是主要負責投資部門的Security Review:包括括資安審查、建議與決策。 Security Review 是以整合框架理念、商業需求及資安最佳執行策略 Best Practice 而設計,目的是要解決資安落實過程中所遇到的人、流程、文化、效率、靈活度、決策、溝通、與科技技術相關問題。
既然 Security Review 這麼重要,那對於想投入資安管理的公司該怎麼著手?
知名的資安大師 Bruce Schneier 說:「Security is a process」,資安是一個過程(流程)!
意思是說資安狀態是無止境的,沒有「安全」的一天。重點是流程的進步與再進步。 流程的精進需要有個結構性的方式去定義。
這裡我就用大家比較熟悉的經典框架 CMMI 做討論。「能力成熟度模型」(CMMI) 把流程評量分成五個等級 — 1.Initial (初始級), 2.Managed (導入級), 3.Defined (成熟級), 4.Quantitatively (量化級), 5.Optimizing (優化級)。你可以利用這五個等級簡單的思考自己公司組織與流程的成熟度。你的資訊安全流程的成熟度現在屬於哪一個等級?未來想走到哪一個等級?在資訊管理(IT)組織中,軟體開發或系統導入流程 (SDLC)是什麼?有無規範與標準? 有無稽核與符規的需求?有無系統變更管理流程?有無營運持續流程?這些流程又是如何與資安管理完整的、自動的、有責任的綁在一起!?Security Review 就是以這個思維來設計優化公司資訊安全的整合性流程。
Security Review 是一個可以綁入 SDLC 的「子」流程。資安評估流程可以跨部門、跨組織,但必須聚焦在人、角色與責任。因為資安不只是資安部與資訊部的事,是公司所有人員(End User)的事。以下提供五個要素做參考,或許能讓你在資安治理與資安審查的導入過程中更順暢。
1. 專案管理 Project Management
專案管理辦公室與資安管理部為組織治理中扮演重要的角色。 當公司的任務(特別是資訊相關的事)都專案化,便能做出有制度的審核與把關,並可以利用這個制度,把資安評鑑的流程與相關文件設定為專案的檢核點(Toll Gate)。Security Review 也可針對資訊相關的專案做資安架構的釐清、技術上的審查、與需求上建議。
2. 規範與標準 Policies and Standards
負責執行資安評估的人,通常是公司的資安長(Security Reviewer or Information Security Officer)。資安長在做審查時必須要有根據,好的資安長需要有好的規範與作業標準的支持。資安治理團隊必須協助組織最高領導人(或是董事會的資安委員會),執行「營運風險」的評估來建立規範與作業標準。「營運風險」評估需求可包含:符合國家法律的規定、 營運持續規劃(BCP)與永續經營、及降低資訊風險與評估(Risk Assessment)等。
3. 資安評估者或資安評審長 Security Reviewer or Information Security Officer
成為評審長有三個基本的必要條件:資安治理知識與經驗(相關技能證照例如:CISSP, CISA, CISM)、語言與溝通能力、及對資安評估角色的責任感及熱情。 由於技能與責任的不同更可再細分成三種角色: 軟體開發 (BISO or RD)、系統導入(Infrastrature or CTO)、及外包單位 (Vendor or Outsource)。
軟體開發 (BISO):常見的角色名稱有Information Risk Manager, Information Security Officer, Business Information Security Officer (BISO) 。必須有中高階主管的溝通能力,必須熟悉自己所負責的部門(Business Unit)的軟體應用與商業需求,軟體架構與電腦程式。主要的對口(Reviewees) 為資深軟體開發主管(RD Manager),軟體開發專案經理 (PM),軟體開發工程師,部門資訊長 CIO。
系統導入(Infrastrature or CTO):必須是個系統架構師,熟悉作業系統、資料庫與網路架構。主要的對口(Reviewees) 為技術工程主管,網管主管,系統工程師,資安監控部SOC,技術長CTO。
外包單位 (Vendor or Outsource):必須熟悉資訊資安法律合約用語與外包審核框架的應用。主要的對口(Reviewees) 為專案經理 (PM),系統工程師與外包單位技術人員與管理者。與公司的採購部與法務部有密切的合作關係。
4. 由上而下的授權 Top-down Authorization
組織最高領導人(或是董事會的資安委員會)必須正式公開申明並於文件上同意且授權資安管理部所協助訂定出的規範、作業標準與流程 (上述項目2)。 CMMI等級一~三的組織可以每年重新檢視、修改與簽合。成熟度高的組織,頻率可以延長久一點。
5. 文件管理 Tools and Documentation Management
資安評估也是ㄧ個重要文件,用於記錄評估的內容與結果,應透過文件管理工具有限度地公開資安評估的相關紀錄,讓評估的結果與資安需求可以更有效的分享給專案執行者、安控管理與稽核人員。
有設計過的決策品質才能達到最佳的營運方式,資安管理也不例外。資安管理必須思考的事是「資安的決策」(Security Decision)。如何在資訊系統應用過程中的各個層級做「最好的」(Best Practice) 的資安決策? Security Review 所提供的「資安解決方式」必須是靈活的、有意義的、並且避免變成一個「官僚的」形式,用專業的知識扮演破除阻礙的重要角色。資安評審長必須熟悉公司資安需求的「點、線、面」才能幫公司做最好的決定。以資安評估流程 Security Review 為中心的資安治理會延伸出更多相關流程以及自動化管理。這部分的細節之後有機會再跟大家分享。
公司的資安治理該從何開始? (Part 2) 淺談資安評估應用情境 Security Review is a verb.
公司的資安治理該從何開始?(Part 3) 淺談資安評估文件 Security Review is a document.
文章日期: 2020.08.27
作者 李彥民 Anthony3000 曾多年服務於美國金融機構,專精於資訊安全策略及框架規劃、資安評鑑與架構規劃,協助多家美國金融機構改善資安流程與制度管理。曾任大型投資銀行的資訊安全長(BISO),擁有資訊管理碩士學位(專修資安管理) 與「電腦駭客鑑識調查員」證照 (CHFI)。本文撰寫時,任職於凱信資訊股份有限公司的資訊安全顧問經理。
Disclaimer: 本文圖片及內容由作者 Anthony3000 彙集製作,如需轉貼或改作我的文章與圖片:1. 請在圖片上與文章內註明並引用作者與網頁的出處連結。2. 歡迎您在尊重智慧財產權的前提下分享或轉貼我的文章與圖片,若有其他商業用途請先徵求本人的審查與同意。3. 歡迎下載提供的範例檔案或軟體,本網站作者不保證內容的完整性或適合在所有場合使用。
