資訊安全治理(Information Security Governance)

這一篇我們從CISO(資安長)或組織內資訊安全管理者的角度來談”資安治理”，這是一個管理的問題，而組織中的"人"佔了最重要的因素。搞定人的因素之後其他的政策/方向/實作等等才可迎刃而解。

首先甚麼是資訊安全治理?

治理定義是甚麼呢?
廣泛地來說就是一個企業或組織為了要到進行業務目標所訂出的規則，其中包含的公司政策，標準，程序等等用來"明確"與"控制"所要達到的業務方向及目標。而資安治理就包含在組織治理之下，最終目標就是保護組織的數位資產。
要進行資安治理第一步需要做的就是組織的董事會層級或高層定義出組織資安目標是什麼，從這個目標去定出我們的資安策略/資安計畫/風險管理等等的事項。之後我們要選擇適合組織的治理框架像是ISO 或是NIST的資安框架都是選擇之一，最重要的是要適合組織的架構/文化。因為資安治理是要在整體公司治理的目標之內，必須要輔助公司治理的最終目標。
有了策略與框架之後我們就可以訂出資安政策。哪甚麼是資安政策呢?簡單的來說就是"降低"組織的資安風險，請注意我所說的是"降低"而不是"完全消除"，對風險有概念的讀者應該知道，風險是不可能完全消除的我們能做的就是將資安風險降低到組織可以接受的程度(關於資安風險管理我們會在其他文章中提到)。資安政策需要根據資安策略來訂定且這些政策要非常明確的描述資安管理的意圖與方向。

有政策之後就可以再訂出組織的資安標準。哪甚麼是標準呢?
標準就是對組織的人員/流程/程序/技術設定一個邊界來符合所訂出的政策最終達到公司的資安目標，而資安標準通常都會發搭配一些控制措施，這些控制措施(細節我們會在其他文章中提及)根據以上提及的這些我們會有資安的基準(baseline)。
而說了這麼多我們最終是需要得到組織高層的認可，所以我們需要對組織高層提案來說明根據高層所定出的資安目標我們的資安計畫是甚麼。這個提案內容會包含許多的因素像是整體效益/財務觀點/業務流程觀點等等，每個組織的情況與因素不盡相同。

然而有效的資安治理有幾點是我們可以參考
1. 一切都是為了支援公司的業務活動所做的，若你的資安治理與公司的業務活動背道而馳哪這個資安治理是失敗的。
2. 不要想著消除所有的資安風險，因為有業務活動就會有風險(不管是不是資安風險)如果不想有風險哪公司關起來一定沒風險。
3. 能夠不斷強化我們的資安治理的各項政策/活動等等事項。
4. 與公司的業務與時俱進，公司的業務活動流程有異動資安治理也需要跟著改變。

資訊安全治理概觀(overview)

甚麼是資訊?
資訊就是我們所擁有的資料被賦予"意義"與"目的"。

最終組織的資訊才是我們要保護的而非僅止於資訊技術上的事。畢竟"人"才是資料最終的使用者/決定者/定義者，其他的都是其次。我們需要從組織高層給予的資安目標或目的來定義出公司的策略，資安策略的目標是發展/實現/管理一套組織的資安計畫。這一套計畫是我們想像中組織的資安"姿態"(posture)的理想境界，為了這一個境界需要各種不同的資安活動與控制來達成。然而這個理想境界可能隨時因世界的瞬息萬變需要而修正，所以這是一個重複循環的過程。而一個好的資安治理會有以下六種結果
1. 與公司的整體業務策略相輔相成 —
我們從公司的業務活動來資安的威脅與風險管理並找出相對應的方法而且不會妨礙業務進行。
2. 資安風險管理 — -
主要是降低資安風險並減少發生事件時的業務衝擊達到組織可以接受的程度。
3. 價值傳遞 — -
組織針對資訊安全所投入的各項資源在公司的業務活動上達到想要的效果。
4. 資源的優化 — -
我們對資訊安全投入的各項資源是不是合理的投入，因為資訊安全是一個隨著業務變動而不斷有新的威脅產生的世界我們不可能有無限的資源來投入，所以成本效益會是重要的。
5. 績效評估 — —
持續的監控與回報各項的資安活動是不是如我們預期的達到目標。
6.確保是與組織的業務流程高度整合的 — —
在每個業務活動流程上的每一個活動都能確保考量到每一個資安因素被考量進去。

從資安治理的目標創造出組織需要的資安框架

一個好的資安治理框架包含有以下的組成:
1. 全面且能夠整合在業務目標內的資安策略
2. 能夠清楚闡述管理階層的資安意圖且能對應到組織所需要對應的各項策略/控制/監管等方面的因素。
3. 每個政策都會有一個完整的標準來確保組織內的人員/流程/技術都能在這些標準之內。
根據以上一些我們就會有一個由上往下的階層式的資安框架(如下圖)

上圖我們可以看到資安的目標/策略/政策都是屬於資安治理的一部分，由組織董事會層級或高層訂出目標，高階管理者定義出策略。在定義出策略之後需要實行現況分析跟我們想要的策略比對之後然後就會出現政策，政策是會有一個行動計畫。接下來就會有組織所需要遵守的標準，這些標準可能是內部的(根據政策)但也有可能是外部的(如法規法令等)。

這一個資安框架最重要的是定義出一個具成本效益的資安計畫，因為剛剛所說的一個組織不可能有無限的資源投入做某一件事情中，資安計畫也是其中之一。哪怎麼樣合理分配資源呢?業務風險可能就是最大的考量因素因為業務活動必定帶來各項的風險也包含了資訊安全。哪麼組織對待風險的思維是甚麼呢?這就是我們需要去釐清的。但基本上我們有三種指標可以來確認組織的風險偏好。

Risk appetite

風險承受度，也可以稱作可接受的風險。這是指我們通過各種管理手段(例如:baseline security/cost-benefit calculation/risk management option/incident response etc.)之後可接受的風險程度。

Risk Capacity

組織接受風險的最大承受度，一旦超過可能會發生危害組織存活的狀況發生。

Risk tolerance

而在這兩間之間就是組織的風險容忍值，這可能是組織在追求某一個特定的業務目標時可以容忍的空間。

根據上面三種指標我們可以有一個如下圖簡易圖來表示，我們必須根據組織的各項內外部因素(如組織的大小/文化/企業架構/外部的法規法令/公司的既有規則或者是潛規則等等一堆)找出這三項指標到底在哪裡。

所以資訊安全的目的就是一種風險管理的工作，而這種風險管理要達到組織可接受的風險程度時我們需要了解以下事項:
1.組織的風險的總則(profile)是甚麼?
2. 組織各項業務的風險曝顯程度。
3.了解各項業務的風險管理的各種優先事項。
4.確保各項業務的風險降低手段是有用的。
5.風險對應的方式是基於可能發生的後果來決定的。(這一點我們可以使用 "risk likelihood impact matrix"來評估)

綜合上面的說明，資訊安全其實是一種"紀律"。一種配合組織業務流程的執行紀律來讓我們告訴公司的高層/高階管理者/及相關的內外部人員: 我們目前的資安治理計畫讓我們的業務流程是"under control"並且是有足夠的信心相關風險都在我們的掌控之中。

而這種紀律有賴組織的架構中有明確的R&R(Role and Responsibilities)來支撐。特別是資訊安全，因為大多數的企業在公司的R&R之中很多是沒有明定在裡面的。既然組織沒有明定，哪麼位於這個位置的人為什麼又要care資訊安全呢?
一個組織中有明確的各種職位的RACI(responsible, accountable, consulted, informed)圖表就能有效及明確的定義各種職位在資訊安全的責任歸屬。範例可參考這個網址。
各種職位明確定義在資訊安全的責任義務之後我們如何確認在資安治理中的各項計畫/活動/控制手段是有效的呢?
答案是"量測"，這邊提供一個好的量測口訣 — S.M.A.R.T
Specific — 明確的，基於我們對目標的了解與認知。
Measurable — 可量測的，最好是能夠量化成數字而非我們主觀上的認知。
Attainable — 實際的;基於重要的目標與價值。
Relevant — 與我們要量測的目標是有相關的。
Timely — 即時的，在我們所需要的時間區間內。

另外我們也可以選擇一些標準來協助我們定義我們所需要的量測值，
例如:
1. ISO/IEC 27004:2009 Information security — Security techniques -information security management — Measurement
2. COBIT 5
3. CIS(The center for Internet Security)
4. NIST SP-800–55 -Performance Measurement Guide for Information Security

量測指標

如之前所說我們的資安治理的實行是需要被量測的，否則我們不會知道執行的成效如何。如一開始所說的我們如何針對治安致治理的六種結果量測呢?通常會使用KGI(Key goal indicators)與KPI(Key performance indicators)來量測這六種資安治理的結果。

1.量測" 與公司的整體業務策略相輔相成"

與公司的業務目標是否搭配?是否能支援業務活動的完成?通常我們會使用成本效益來評估這樣的指標。例如:
(1)業務活動不是因為要進行風險管理而產生不當的組織能力進而妨害業務活動。
(2)資安部門是從業務單位基來定義業務需求。
(3)組織的資安目標是被定義清楚而且簡單易懂並與業務活動息息相關，這些可以用資安意識的測試來實行。

2.量測"資安風險管理"

這應該是資訊安全最重要的一環。一個好的資安風險管理是要”有效地"跟"有效率的"並且是"具一致性"的達到組織想要的期望，這個期望就是組織可以接受的風險接受度。有幾個指標可以參考:
(1)有多少個重大風險經過管理後風險是有降低?
(2)我們有哪些程序是是減少不良事件發生的可能性?
(3)我們的事故管理測試的有效性有多少?
(4)組織內的每一個管理者對本身負責的資訊的完整性與資訊價值的了解有多少?
(6)根據組織所了解組織之內的資訊價值我們是否可以對其進行BIA(營運衝擊分析)?
(7)組織的資安事件經過風險管理後是否比同時期減少?

量測"價值傳遞"

簡單的來說我們的相關的資安計畫/活動是不是用最小的代價並且是組織要求的資安目標達成業務上的需求。相關的指標如:
(1)投入資安相關的資源大小是不是根據風險評估與業務營運衝擊做出的決定。
(2)投入的資源並沒有大於業務流程帶給組織的效益。例如用50塊錢去保護10塊錢的資訊資產。
(3)合適且正確的控制規則數量來達成可接受的風險程度。規則不要疊床架屋。
(4)控制規則的成本效益是經過定期測試來決定的。
(5)所有的資安控制規則必須定期在成本/合規/效益的基礎下檢視。
(6)Marginal control — 指有效控制的定義來自於不斷的測試。

量測"資源的優化"

資訊安全的資源管理是指:計畫流程 — "有效地與有效率的"分派與控制相關的資源，這些資源可能是人員/流程/技術。資源的優化最好能夠標準化並簡單明瞭，因為這樣就可以免除人為再度介入管理與進行人員多餘的教育訓練。有效的資源管理指標如:
(1)不常見問題的解決方案的探索。
(2)相關的資安流程能夠標準化。
(3)有效地獲取與傳播資安相關的知識。
(4)清楚的R&R。
(5)員工的生產力。
(6)相關的資安服務用員工人頭數量來分配。

量測”績效評估”

這一部分簡單的來說就是相關的資安活動能夠被數字化。例如:
(1)我們需要多久的時間能夠偵測/回應/回報相關的資安議題?
(2)有多少資安事故我們沒有的得到回報?
(3)BCP/DR的測試結果。
(4)哪方式可以提供來監控不斷變化的資安威脅。

量測"確保是與組織的業務流程高度整合的"

為了有效地與有效率地與業務活動整合，最重要的兩件事是:資安活動不要"重工"(在業務流程做一次資安活動又做一次)與消除在業務流程活動中的相關資安的突破口(gap)。能夠在整串的業務流程中最小化隱藏的風險。相關的指標如:
(1)沒有gap在要保護的組織資產中。
(2)組織的內外部有暢通與有效的溝通管道。
(3)相關的資安保護功能或方式都能夠被考量到組織的策略之中。

資訊安全策略概觀

有了資安目標後在資安治理中就需要資安策略來輔助組織達到想要的資安目標。哪甚麼是策略?有很多的書籍及專家對它有很多種不同的定義。從軍事角度來定義的話:"是一個我們要達到目的的行動計畫"。為了讓這個計畫達到我們的目標我們需要定義好甚麼樣的目標及了解我們現在所處的環境條件。就是你現在在哪裡即你將要去到哪裡。將這兩個位置比較出來落差在哪裡，要彌平這些落差你需要一個計畫來實現。而為了瞭解組織的現況與要達到的目標兩者的落差我們需要組織內的董事會及高階管理團隊中的各式各樣的人員參與從而制定組織資安策略。再次強調我們的資安策略必定是與組織的業務策略相輔相成的，絕對不是扯業務活動後腿的策略。

如何開始建立組織的資安策略呢?我們也許可以參考一些框架來協助我們，例如 SABSA Security Architecture。訂出策略通常不是哪麼難的事畢竟還是在紙上談兵的嘴砲階段，但我們需要注意資安策略一些常見的陷阱。
1. 過度自信 — 這是人的通病，所以組織內需要容許烏鴉在叫(報憂不報喜)(有關過度自信的議題有興趣的讀者可以參考”快思慢想”一書)。
2.過度樂觀 — 這也是人的通病，計畫完美無缺所以一樣組織內要有烏鴉。
3. 定錨(錨點)效應 —當人們考慮一個未知數量時，會用某種特定的價值來做估算比較。(有關錨點效應有興趣的讀者ㄧ樣可以參考"快思慢想"一書)。
4. 現狀偏差 —可以參考這篇說明的第二段的說明。
5.心理帳戶 — 可參考此篇的說明。
6. 羊群行為 — 可以參考此篇說明。基本上是別人做甚麼你也跟著做，完全不考慮自身的情況。

制定資安策略

組織的資安目標到底是甚麼呢?這應該對很多企業或組織來說定義上會有困難。因為組織想要做的事很多，而我們不可能全部都去一次完成這些想要的目標。但基本上我們可以從兩件事開始，
1.我們能否清楚的定義所有組織內的數位資產?(可能可以用分級的方式例如1–5級)。但分級不是一成不變的，可能會因為組織的內外部因素或新的業務活動而有異動。所以必須定期檢視這些分級且有可能會因為這些因素而重新分級甚至進行銷毀，故我們也需要考量這些數位資產的生命週期。然而組織的數位資產可能非常多，我們需要有效率的來分類所以政策/流程/標準/技術都可以協助我們來減輕此類的負擔並且這些能及分類能夠越早越好，最好在業務流程的一開始就進行。
2.定義後我們能否清楚的看到那些需要被保護?並定義怎麼樣才算保護。
第一件事需要請這些數位資產的擁有者(可能是相關部門的人員或主管)來進行資料分類才能知道甚麼是重要甚麼是不重要的，之後才能決定是不是需要被保護。最好是從組織的業務流程活動中辨識這些資料並且根據業務活動來決定資料的"重要性"跟"敏感性"，這裡重要性與敏感性會來自組織的內外部因素。我們可能根據這個業務活動是非常重要的來決定"重要性"，根據資料洩漏來決定敏感性。但也有可能是外部因素來決定這兩項，例如外部的法規法令來決定這個資料是具高度敏感的。之後需要定期去檢視是否需要重新分類這些資料因為這個世界每天都在變。

然而定義目標需要有清楚的說明與意圖，從而規劃出有意義組織的整體行動計劃。不然的話看到資安問題就東補一塊西補一塊的，這樣的補釘措施是難整合在一起的。但大部分的組織的並沒有給予足夠的資源來實行資訊安全的任何行動，最終就是等到出大事了才給予資源。所以在資訊安全上必須能夠見樹也見林。
我們在前面提到資安行動計畫，也就是根據組織的資安策略製作的。這個行動計畫就是我們分析現況之後想要達到"資安姿態"中間的落差所需要實現任何各項的行動從組織的指導原則/政策/框架/流程/組織架構/文化/道德/行為準則到IT的各項服務設定通通包含在這裡。這一個長遠的計畫而且計畫還可能需要每年因組織的變化而變化。
而要想達到剛剛說的組織想要達到的"資安姿態"我們就必須把前面提到的風險因素給加入 — 組織的風險承受度(Risk appetite)與風險容忍度(Risk tolerance)，考量各種內外部因素在投入的資源(大都是費用)與可接受的風險間找出一個平衡點(找出微笑曲線)，可參考下圖。

找出組織的風險(現在及未來)

現在我們需要知道組織面對的風險是什麼以及根據組織的策略還會有那些延伸性的風險產生?進而訂出我們應該怎麼樣對應這些風險並且是組織所能接受的，這時就需要進行風險評估。風險評估會包含三個事項: 威脅(Threat)/脆弱性(Vulnerability)/衝擊分析(Impact analyses) 。

例如根據組織的某項業務活動(end-to-end)有哪些威脅(需要有對應措施)?業務活動中有沒有哪個活動是具脆弱性的(需要件減低脆弱性)?若發生事情會有甚麼衝擊(衝擊分析)。
舉例:每個月給公司同事的薪資條要採用Email附加電子檔案給同仁。這個業務活動:

可能的威脅是有—
因為是用電子郵件發出，有沒有可能郵件伺服器管理者會偷看全公司同仁的薪水?
可能可以對應措施 —
薪資條的附加檔案需要加密。

哪這個這項業務可能有的脆弱性 —
行政面上若發出薪資條的同事生病了?技術面上若是採用同仁的員工編號當密碼等怎麼樣減低脆弱性?
可能可以減低業務流程的脆弱性 —
另一個同仁也熟悉這項業務。加密的方式可能可以用員工的身分證字號當密碼或其他方式。

此項業務的衝擊分析--
如果全公司的薪資條都沒有上面這這方式應對會發生甚麼狀況?

在以上的案例中我們實施了一些控制措施來防範。但我們也可能從另一種叫角度來看，哪修改此流程或是修改組織架構讓員工知道薪資這件事會不會比較好呢?
不管使用的是哪種，我們需要有成本效益分析從短.中.長期來評估。

了解組織的可用資源與限制

我們應該要知道組織有哪些資源可以使用(在具成本效益的前提下)及組織的內外部限制不只是資訊安全。比較High-Level可以參考Cobit 5的框架(如下圖)。

實際一點的，可用的資源如:政策/標準/程序/指導指南/控制措施/人員訓練/資訊科技等等方面。
限制面可能就會有: 法律面/現場環境/公司文化/道德面/資金/個人因素/組織架構/時機/風險容忍度等等。

但就資訊安全管理來看有四個組織的資源是我們一定要用到的。
1.政策(Policies)
是一種High level的管理意圖或期望及方向，且會根據組織內外部因素需要修改。例如政策是:
"所有的資訊資源(實體或虛擬)都需要有效地排除未經授權的進入"。
政策就是組織的資安治理的章程，必須簡單明確描述我們想達成的目標。

2.標準(Standard)
包含了指標(怎麼去度量它)及過程(程序/流程/或系統)來達到政策面所要求的。例如組織的密碼設定標準:
根據資料分級的高中低，我們可能需要有三種不同的密碼強度及更換週期等等的標準。進而達到我們想要"保護"的資料，而非無意義的為保護而保護可能會徒增業務活動的困難。而標準也不會一成不變，組織的要求或技術的進步都可能改動標準。設定標準後需要檢查組織是否照標準而作業，一般稱為合規。從標準的設定我們就可以定義出需要的程序(Procedure)與指導方針(Guideline)甚至有security baseline(基準)，標準設定也必須是明確的/有一致性/精準的。
從一個組織的標準其實我們也看見了一個組織的風險承受度與該控制目標。

控制措施

從標準往下延伸出來的程序/指導方針/基準等等這些都是組織為了要達到想要的資安目標而出現的控制措施。然而控制措施必須是要有效地並且要考慮到對業務活動可能的限制，另外此項控制措施對組織的代價(cost)也需要備考量。
控制措施通常會影響到People(人員)/Processes(程序)/Technology(技術)，在控制這三種事項後，將風險減到組織可接受的程度即可。而控制手法通常會有實際面(Physical)/技術面(technical)/程序面(Procedural)三種方式。
但我們必須注意有些控制措施不是永遠都有效的或是永遠有我們想要的效果(因為世界/組織每天都在變)，控制措施的實行也可能會出現我們沒定義到的後果產生。
另外針對組織的業務活動控制措施最好是有階層式的控制措施以免有某個控制措施失效後繼而危害整個業務流程，但這個階層式的控制也不可無止盡的蔓延，是必須針對某個業務上的威脅且要有足夠的成本效益，使用這些控制功能的考量也是基於組織的需要被保護(基於重要性與敏感性)的資產另外就是曝險程度。

運用資訊科技來實現控制措施

過去幾十年來資訊科技的進步組織的資訊/資料都依附在這上面，然這也是一把雙面刃過多的方便也產生了過多的風險。然而資訊科技也被用來控制這些生於資訊科技上的風險。我們可以有6種的控制措施搭配組織的政策/標準/程序/技術等防止我們的IT系統被突破，細節部分我們會在資訊安全計畫中詳細說明(但可先參考以下總表)。

組織的架構/人員以及他們的技能與認知

說了這麼多的事情最終是需要人員來執行這些事情的，所以我們從關注組織的架構來看是否符合當前的甚至未來的資安目標所需。例如較大的組織可能會設有資安長比較小的組織則可能由資訊長兼任，無論哪種都需要考量當前與未來的資安目標。再來是雇用相關的員工我們是否有做到background check及道德性方面的查核?晉用之後是否還要依據未來的計劃給予適當的教育訓練，組織的的業務流程中相關的人員是否也給予資安定期教育與宣導。這一些也是在治安治理下重要的一環。即使投入了這麼多資源在人員身上事後的稽核與合規檢查也依定是免不了的，好在在資訊科技的進步下稽核與合規檢查也可以變得自動化了，當初只能用抽檢的方式現在可以做到100%檢查了。

資安策略的限制

在我們開始攥寫組織的資安策略時我們必然會遭受到組織內部及外部環境的限制，一一釐清這些限制對組織的資安策略發是非常重要的。

法規與法令的要求

資訊安全會受到這一類很多的要求/需求，尤其是跨國企業因為每個國家區域的法規法令差異可能很大甚至會是相衝突的，例如企業使用雲端平台的服務。相關的資料在這些國家區域之間的傳遞可能會受到當地國家法律的限制或規範。
一般來說組織會受到相關的法規法令的限制或要求可能會有:
資料的隱私權(不管是內部員工或外部客戶);智慧財產權;與組織外的相關人員的合約;國家的刑事法令等等。徹底了解這些內外部的法規法令對組織的資訊安全是至關重要的，因為沒有遵守這一些可能會讓組織遭遇重大損失(包含商譽受損)。
在這些法規法令下比較重要的可能就是相關資料的保存，資料保存可能是業務需求可能要求保存10年之類的。或是外部的要求像是美國的沙賓法案。

其他因素

組織的架構/文化/員工道德/組織的實體環境/人員技能/費用/可用資源/時間限制等等也都是考量的因素。當然最重要的還是組織對風險管理的態度是甚麼?雖然有很多時候風險量化有其困難，但我們還是有一些技巧可以使用。例如: ROI(Return On Investment)或是BIA(Business Impact Analysis).

資安行動計畫

我們之前說到，策略就是我們現在在哪裡以及我們要去到哪邊的行動計劃。既然是行動計畫哪麼我們可能會有一些有順序的步驟需要執行。而不管這個計畫是大是小，我們必須知道從現在的情況去到我們想要達到的目標差異在哪裡，這時差異分析(Gap analysis)就是最基本需要執行的。有很多因素需要考量像是現行的控制措施;風險對應;業務上衝擊的目標等等。另外可能還有
1.現行的資安策略是否得到組織高層的認可與支持?
2.現行的資安策略是否與業務目標高度的整合?
3.現行的資安政策是否完全與具一致性的與資安策略相關?
4.組織的數位資產是否依據重要性與敏感性的被確認與分類?
5.組織所有人員對資訊安全的R&R是否明確了?
6.組織目前的架構是不是符合資安策略所需沒任何衝突?
7.針對業務流程中相關的標準/程序是否清楚/相關/正確/完整且是ㄧ致的?
8.有效的控制措施是否已被設計/實行/維護?
9.相關的資安量測與監控是否是有效的?
10.我們對組織內的人員相關的資安教育訓練是否合適的得當?
等等這一些我們都需要考量。

政策的實施

行動計畫必然產生策略，策略就好像一個國家的憲法而標準就是一個國家的法律。所以資安政策在治安治理中第一個主要的元素。它必須是正確的被定義以及被組織高層認可接受並能夠廣泛地在組織內傳播。一個好的資安策略會帶有以下特性:
1. 基於定義完整的資安策略清楚地描述，並且包含組織高層的意圖/期望與方向。
2.每一條政策只說明一個概括性的資安要求。
3.政策在每個影響到的層面的說明必須清楚易懂。
4.政策說明不需要臭又長。
5.政策不需要太多條。

標準的實施

標準的設定是一個有用資安管理工具，它為組織的程序，技術的實踐，系統/人員及事件設立了界線。所以如上面所說它也類似國家的法律，為人民(組織內的員工)訂下行為規範。從組織面來說它同時也反映了組織接受的風險程度及控制措施故這也是有效統治的工具。卻也代表我們必須小心地設定標準，以免對組織產生不必要的限制。標準必須”明確"/具一致性/精準的"貴定"範圍"以及"受相關規範的人員"。但不是所有的事都能列入標準的，標準之外的例外流程也需要被制定。另外在我們使用合規檢查這些標準時當有不合規的狀況時想對應的控制流程也需要有。

量測行動計畫

任何計畫都需要被量測我們才會知道有沒有成效通常量測計畫的"進程"與"費用"並時時監控與量測，從這些量測才知道計畫需不需要被及時的修正。例如我們可以使用平衡計分卡來看實行的成效，我們從現在的位置到想要的位置差距有沒有拉近是不是照著計畫行程在拉近距離。如果沒有我們是不是要對相關的資源及時間再做調整。我們可以有相對應的量化指標(KPI)如
1.控制措施的有效性的測試計劃。
2.每次測試時的有效性進展，是不是每次測試都有進步還是沒有?
3.測試計畫的結果，是不是有達成如我們預期的結果?
這些量測出來的結果是有一個目的:提供必要的資訊給能做決策的人，能夠讓有決策的人決定下一步要做甚麼。如果不到這個目的，你的量測值基本上不是錯誤就是跟我們的資安目標不相關。而這些資訊也要能及時提供才不會讓決策者依據過時的資訊下錯誤的決策。
這些依據資訊做決策的人通常我們會把資訊分為三類，通常是組織的高層領導者/中階管理者/基層員工這三類接收到的資訊，分別是"戰略類"資訊/"戰術類"資訊/"執行面"資訊。
高層需要知道的可能是組織有重大的異動/變更會影響到整個業務流程/活動。中階管理層(以資訊安全管理者來看)可能需要知道基於資安政策整個IT系統的合規指標是如何。基層人員(以資安單位來看)防火牆的日誌分析或弱點掃描的結果等。提供正確及有用的訊息給相關的決策者也是很重要的。資訊太多太雜將使決策的人難以做出決策或是做出錯誤的決策。

根據資安策略與行動計畫我們會產生出各種資安方案，如何訂定資安方案我們會在其他的文章中說明。對大多數的組織而言真正的有達到資安目標是必然要有資訊安全常說的CIA 跟 真實性(authenticity)與不可否認性(nonrepudiation),
C -Confidentiality / I-Integrity / A- availability

1. 資訊(information)y在需要時是有用(available)與可用(usable)的並且能有一定可以抵抗攻擊的保護(這是availability)
2.資訊是給有適當權限的人使用的(right to know)(這是confidentiality)
3. 資訊不會給未經授權的修改(這是Integrity)
4.資訊/資料的轉換/變化/交換在整個業務流程的活動(組織的內外部)中都可以信任的(這是authenticity and nonrepudiation).

以上就是簡單的資安治理介紹，下一篇我們將說明資安風險的管理。