簡單說來「管理制度」就是一些書面、電子化或口頭的規定,而「資訊安全管理制度」(Information Security Management System;ISMS)就是有關資料保護相關規定(即資安規定)的集合體制。換句話說,每一個單位或多或少都有一些資料保護的相關規定。例如,每位員工使用的電腦密碼設定至少六碼(含)以上,或者所有應用服務系統上線提供服務前都必須通過弱點掃瞄安全檢測等等,而這一系列資料保護的相關規定,就形成了所謂的ISMS。
ISO27001簡介
然而,大家對於單位本身的資安規定是否周全?到底夠不夠呢?想必許多單位都有這樣的疑慮。於是乎,ISO國際組織就由一群專家替你把單位應該考量的資安規定項目,編寫成為ISO27001標準,避免在建立ISMS時,有所遺漏,並讓大家能有個參照的依據或準則。
ISO27001最新版本是2005年制定的,通常被標示為ISO27001:2005。ISO是國際組織訂出來的國際標準,如果你看到的是CNS27001,則是我們國家的資安標準,由其內容看來,或許可以稱為ISO27001的中譯版。
對ISO27001先入為主的偏見
很多朋友談論ISO時,酸味十足地說:『ISO不就是填填表單嗎?』、『ISO是阻礙資訊發展該死的東西』、『請你告訴我,導入ISO的單位,有那些真的覺得有幫助的呢?又有那些擴大驗證範圍的呢?』…,種種問題著實令我很難招架,不是回答不出來,而是他們這些觀念的養成絕非短時間累積,要我一時扭轉他們的觀念確實是有一定的難度。
對管理制度的迷思?
反過來想,當聽到有人驕傲地說:『我們公司相當有制度…』,是否讓人非常羨慕呢?可是,如果管理制度真的如上述所云,那麼不堪的話,為何大家都會以進入有制度的公司為榮呢?可見很多人對管理制度的認知,確實還有待改進之處。
要知道管理制度中的每一環(會計、人事、採購、勞安…)一旦內化,變成大家的習慣後,不管誰來當家?或有沒有誰?都不再是那麼重要了。儘管資安管理制度只是組織(公司、單位)治理的其中一環而已,他們的過程與結果皆有異曲同工之妙,只是要達成這樣的境界,還是有很多待努力的空間。
ISO成功導入的關鍵
尤其令人擔心的是,說上述這些話的人當中,很多還都是中高階主管人員,如果連這群主管觀念都不清楚,那就更別說要他們支持了。這真是相當嚴重的課題,因為各級主管的支持是導入ISO27001成功的重要關鍵因素之一,就我個人認為也是最重要的關鍵成功因素,雖然成功的主要關鍵因素還包括全員參與,提供必要的人、物力資源…等等,但是,如果各級主管不支持的話,上述的其他關鍵因素要達成,似乎就有一定的困難度可言了。
依單位不同形成各具特色的ISMS
講到資安觀念,由於每個單位預算不同,風險的忍受程度不同,所以,大家討論出來要採取的措施或改善流程也不盡相同,因此就形成了每個單位不一樣且各具特色的ISMS。也因為每個單位的風險忍受程度不一樣,很多單位就利用這個因素來因應驗證人員並且順利通過認證。
筆者曾碰到有位資訊長在跟總經理宣導資安觀念的場合中提到:『拿到ISO27001資安證書是很容易的,只要我們說我們所有的風險都接受,驗證單位也奈何不了我們。』然而,實際狀況真是如此嗎?觀念錯誤也就算了,這樣的ISMS就算符合了ISO27001標準,它會是大家想要的ISMS嗎?會是有效運作的 ISMS嗎?
因單位作業形態、文化及資料重要與機密程度的不同,形成每個單位不一樣且各具特色的ISMS。也就是說,理論上要找到兩個單位具有同樣的ISMS幾乎是很難的事。然而,我們發現有些單位直接拿其他單位的制度文件或顧問提供的範本,而且一字不改地套用,這樣說要真正落實ISMS,也太難為作業人員了吧!如果要人員配合制度實施也不是不行,但除非有再三地向人員宣導,來改變他們的作業習性,否則,一下子就要人員改變現有作業習慣,將是一項艱鉅的任務。
溫水煮蛙方式導入
有人提出『制度實施最好用溫水煮青蛙的方式』理論,對此筆者感受深刻,這句話很真實地告訴我們管理制度從建立、落實、檢討到改善,生生不息的循環,絕對不是一朝一夕就可以做到完善的,要慢慢地(煮),讓人員(青蛙)逐漸習慣周遭的管控措施(溫水),一旦習慣後,自然就水到渠成(熟)了。如果導入單位有決心要做好資安的話,絕對別想能一蹴可及,否則,短時間內要想建置一套好的ISMS,恐怕將只會流於形式罷了。
ISO27001導入偏差的原因
聽了那麼多傳聞,個人認為有七成(甚至更多)導入ISO27001的資安管理制度只會讓作業人員感到徒增困擾而已。然而,這麼多錯誤制度的規劃、實施,到底又是誰造成的呢?
便宜行事造成的浮濫
有些顧問聲稱暨便宜又不會帶給客戶麻煩,所有ISMS建立到證書取得的相關工作,都由其一手包辦,絕對不用客戶動手。想想這也滿不錯的,不過,真的可以如此嗎?這樣的承辦人大多因為上級只要取得證書,以便跟上潮流,又沒經費可以運用,既然如此,心想反正也推不起來,不如就這樣吧!便宜行事,自己也落得輕鬆。
有朋友嘻笑地告訴我,有些單位的輔導顧問提供文件、紀錄,驗證的時候都是顧問在回答問題。有的顧問更化身成為稽核員,球員兼裁判的情形,如此搞的話,你說驗證豈有不過的道理?還有另一位主管朋友引以自豪地說,他們中午帶稽核出去吃個飯,回來稽核員就宣佈:『恭喜貴 單位通過本次查核,無主要不符合事項,此次稽核結論是“建議發證”』。希望上述這些都是玩笑話,否則,導入ISO27001的資安管理制度,就真的成為阻礙資訊發展該死的東西了。
說寫做一致方能落實
我們一定要知道,顧問只是從旁協助的外部專業人士,所謂ISMS是單位人員要執行的作業規定或流程指引,協助主管人員輕鬆管理團隊的章法。而且ISO認證強調的是說寫做一致,如果訂出來的資安規定沒有落實,或者人員不曉得相關作業到底規定了什麼?甚至於主管也不重視,而你就讓顧問輕易的驗收,拿走報酬,這樣的資安管理制度日後就有隱憂,反正驗收了,顧問拍拍屁股走人,爾後,很可能也別再想找到人了。
所以,制度一定是經過導入範圍內的人員,在安全與效能間取得平衡點所討論出來的結果,並被主管人員認可、接受。如果範圍夠大、人員夠多、系統夠複雜,這樣的過程必然是冗長的,如果六個月建置完成並取得認證,說是有效的管理制度就有待商榷了。當然,有些單位可能歷經兩、三年的摸索,最後半年才聘請顧問指導,就另當別論,否則,騙得了別人是騙不了自己的。
承辦負責人應有的態度
有些單位通過ISO27001認證後,人員對於資安觀念還是很薄弱,如果你的單位就是如此,ISMS範圍中的人員觀
留言列表
