企業的資訊安全指導方針 — 原則
Dec 7, 2022
如何使用你既有的商業及營運知識來制定適合您公司的資安政策呢?我們需要全面的理解與管理並減少風險於資安議題上,而我們拋開技術的部份而放在大原則上來制定。
以下4種原則,運用這些原則不需要我們有任何資安背景並且能夠立即行動的,並能使用這些原則來測試我們的資安相關活動是否符合這些原則。
原則一:請資安團隊對高階人員(董事會/C-Suite)說人話
現狀:
- 資安團隊與董事會高層(C-Suite)溝通不良。
- 資安相關人員喜歡用資安術語與其他非資安人員溝通。
- 董事會高層在不了解的狀況下只能完全聽於資安團隊,被綁架。
後果:
- 在公司高層完全不懂的狀況下別無選擇的只能依賴資安團隊。
- 資安團隊不懂公司的業務面流程,完全只從技術面角度來看。
- 公司無法真的了解資安團隊的決定是否真的對公司的資安投資是有幫助的。
解方:
- 高層人員需要對資安概念有基本認識並從公司業務流程面來對資安議題問對問題。
- 董事會高層必須讓資安團隊講”人話”,讓公司會高層了解。
- 資安的管控必須建立在業務風險控管上。
- 高層必須了解相關的資安技術與業務面的整個流程的來龍去脈到底是甚麼?為什麼做這項資安決定?
原則 二:它是業務風險
所有的資安議題與討論都需要圍繞的公司的業務風險來討論。
現狀:
- 資安團隊會一直強烈釋放資安的議題都是圍繞在IT相關的防護上。
- 並會強調套用一堆的資安標準,例如ISO27001/ PCS DSS等。
- 但這些IT資安技術與標準常常無法保護組織的業務流程免受資安攻擊。
- 這些資安產品/技術/標準有時會帶來一些業務上的限制。
後果:
- 這些資安產品/技術/標準阻礙了公司業務的進行(也就是一般員工的作業效率)
- 專注在IT資安技術上並無法完全保護公司的業務免遭資安威脅
解方:
- 以新的方式激勵全公司人員包含資安團隊,針對公司的業務如何在資安議題上免受威脅
- 定義所有部門對於資安的責任但同時也需要有激勵措施
- 公司領導者也有責任將公司的業務流程完全讓資安團隊了解
- 以新的方式激勵全公司人員包含資安團隊,針對公司的業務如何在資安議題上免受威脅。
高層需要問自己兩個問題
- 對於每一樣的數位資產與業務流程,是甚麼樣資安技術保護它的?
- 對於每一種資安技術,公司的哪一種數位資產與業務流程可以被它保護?
原則三:打造屬於我們自己的資安核心流程
現狀:
- 由於資安議題讓全體員工感覺太遙遠,不關他們的事。只要聽資安團隊的指示做就好。
- 可能是用很複雜的密碼或定期換密碼甚至還不可以前幾次一樣之類的規則。然而資安責任並沒有寫在全體員工的工作手冊中。
後果:
- 各部門包含資安團隊都各行其事。
- 資安團隊不斷加強限制於業務團隊,而業務團隊在重重限制下為了完成自己本身的業務就只能他們本身既有的權限不斷地開後門。
如何開始建立核心流程
建立方法:
將資安團隊放入公司的核心業務團隊中,而不是單獨設置一個資安部門。讓資安團隊成員了解公司核心業務流程是甚麼,從中找出風險最高的部分並。將業務團隊的業務流程知識結合資安團隊的專業知識共同開發出能減低這項業務資安風險的最適方法。
建立時間點:
- 當組織有重大變革或有新業務及團隊要加入公司的業務時。
- IT技術的重大變革,例如核心系統升級或將機房搬至雲端等。
原則四:參與的動機
現狀:
- 公司對於員工及部門的本身業務任務與該任務相關的資安議題並沒有規範相對應的責任與義務乃至於獎勵措施。
- 但責任/義務/獎勵該如何拿捏呢?就像醫生看病沒有醫好但沒有醫死人,機長把飛機安全降落。這是責任還是義務呢?
後果:
- 隨著大家各自守著自己的工作內容,對立加深。公司的業務進行愈來越困難。
- 業務不斷變化,資安的風險也可能轉移到其他業務上並不斷的升高資安風險。
如何開始:
- 如何激勵資安團隊與所有業務團隊合作。
- 了解各部門與資安部門的工作動機(請參閱馬斯洛的-人格與動機一書),激勵措施要根據這些部門與人員的動機。
