Run!PC 蔡崇寶 2010/8/3 上午 10:53:15
簡單說來「管理制度」就是一些書面、電子化或口頭的規定,而「資訊安全管理制度」(Information Security Management System;ISMS)就是有關資料保護相關規定(即資安規定)的集合體制。換句話說,每一個單位或多或少都有一些資料保護的相關規定。例如,每位員工使用的電腦密碼設定至少六碼(含)以上,或者所有應用服務系統上線提供服務前都必須通過弱點掃瞄安全檢測等等,而這一系列資料保護的相關規定,就形成了所謂的ISMS。
ISO27001簡介
然而,大家對於單位本身的資安規定是否周全?到底夠不夠呢?想必許多單位都有這樣的疑慮。於是乎,ISO國際組織就由一群專家替你把單位應該考量的資安規定項目,編寫成為ISO27001標準,避免在建立ISMS時,有所遺漏,並讓大家能有個參照的依據或準則。
ISO27001最新版本是2005年制定的,通常被標示為ISO27001:2005。ISO是國際組織訂出來的國際標準,如果你看到的是CNS27001,則是我們國家的資安標準,由其內容看來,或許可以稱為ISO27001的中譯版。
對ISO27001先入為主的偏見
很多朋友談論ISO時,酸味十足地說:『ISO不就是填填表單嗎?』、『ISO是阻礙資訊發展該死的東西』、『請你告訴我,導入ISO的單位,有那些真的覺得有幫助的呢?又有那些擴大驗證範圍的呢?』…,種種問題著實令我很難招架,不是回答不出來,而是他們這些觀念的養成絕非短時間累積,要我一時扭轉他們的觀念確實是有一定的難度。
對管理制度的迷思?
反過來想,當聽到有人驕傲地說:『我們公司相當有制度…』,是否讓人非常羨慕呢?可是,如果管理制度真的如上述所云,那麼不堪的話,為何大家都會以進入有制度的公司為榮呢?可見很多人對管理制度的認知,確實還有待改進之處。
要知道管理制度中的每一環(會計、人事、採購、勞安…)一旦內化,變成大家的習慣後,不管誰來當家?或有沒有誰?都不再是那麼重要了。儘管資安管理制度只是組織(公司、單位)治理的其中一環而已,他們的過程與結果皆有異曲同工之妙,只是要達成這樣的境界,還是有很多待努力的空間。
ISO成功導入的關鍵
尤其令人擔心的是,說上述這些話的人當中,很多還都是中高階主管人員,如果連這群主管觀念都不清楚,那就更別說要他們支持了。這真是相當嚴重的課題,因為各級主管的支持是導入ISO27001成功的重要關鍵因素之一,就我個人認為也是最重要的關鍵成功因素,雖然成功的主要關鍵因素還包括全員參與,提供必要的人、物力資源…等等,但是,如果各級主管不支持的話,上述的其他關鍵因素要達成,似乎就有一定的困難度可言了。
依單位不同形成各具特色的ISMS
講到資安觀念,由於每個單位預算不同,風險的忍受程度不同,所以,大家討論出來要採取的措施或改善流程也不盡相同,因此就形成了每個單位不一樣且各具特色的ISMS。也因為每個單位的風險忍受程度不一樣,很多單位就利用這個因素來因應驗證人員並且順利通過認證。
筆者曾碰到有位資訊長在跟總經理宣導資安觀念的場合中提到:『拿到ISO27001資安證書是很容易的,只要我們說我們所有的風險都接受,驗證單位也奈何不了我們。』然而,實際狀況真是如此嗎?觀念錯誤也就算了,這樣的ISMS就算符合了ISO27001標準,它會是大家想要的ISMS嗎?會是有效運作的 ISMS嗎?
因單位作業形態、文化及資料重要與機密程度的不同,形成每個單位不一樣且各具特色的ISMS。也就是說,理論上要找到兩個單位具有同樣的ISMS幾乎是很難的事。然而,我們發現有些單位直接拿其他單位的制度文件或顧問提供的範本,而且一字不改地套用,這樣說要真正落實ISMS,也太難為作業人員了吧!如果要人員配合制度實施也不是不行,但除非有再三地向人員宣導,來改變他們的作業習性,否則,一下子就要人員改變現有作業習慣,將是一項艱鉅的任務。
溫水煮蛙方式導入
有人提出『制度實施最好用溫水煮青蛙的方式』理論,對此筆者感受深刻,這句話很真實地告訴我們管理制度從建立、落實、檢討到改善,生生不息的循環,絕對不是一朝一夕就可以做到完善的,要慢慢地(煮),讓人員(青蛙)逐漸習慣周遭的管控措施(溫水),一旦習慣後,自然就水到渠成(熟)了。如果導入單位有決心要做好資安的話,絕對別想能一蹴可及,否則,短時間內要想建置一套好的ISMS,恐怕將只會流於形式罷了。
ISO27001導入偏差的原因
聽了那麼多傳聞,個人認為有七成(甚至更多)導入ISO27001的資安管理制度只會讓作業人員感到徒增困擾而已。然而,這麼多錯誤制度的規劃、實施,到底又是誰造成的呢?
便宜行事造成的浮濫
有些顧問聲稱暨便宜又不會帶給客戶麻煩,所有ISMS建立到證書取得的相關工作,都由其一手包辦,絕對不用客戶動手。想想這也滿不錯的,不過,真的可以如此嗎?這樣的承辦人大多因為上級只要取得證書,以便跟上潮流,又沒經費可以運用,既然如此,心想反正也推不起來,不如就這樣吧!便宜行事,自己也落得輕鬆。
有朋友嘻笑地告訴我,有些單位的輔導顧問提供文件、紀錄,驗證的時候都是顧問在回答問題。有的顧問更化身成為稽核員,球員兼裁判的情形,如此搞的話,你說驗證豈有不過的道理?還有另一位主管朋友引以自豪地說,他們中午帶稽核出去吃個飯,回來稽核員就宣佈:『恭喜貴 單位通過本次查核,無主要不符合事項,此次稽核結論是“建議發證”』。希望上述這些都是玩笑話,否則,導入ISO27001的資安管理制度,就真的成為阻礙資訊發展該死的東西了。
說寫做一致方能落實
我們一定要知道,顧問只是從旁協助的外部專業人士,所謂ISMS是單位人員要執行的作業規定或流程指引,協助主管人員輕鬆管理團隊的章法。而且ISO認證強調的是說寫做一致,如果訂出來的資安規定沒有落實,或者人員不曉得相關作業到底規定了什麼?甚至於主管也不重視,而你就讓顧問輕易的驗收,拿走報酬,這樣的資安管理制度日後就有隱憂,反正驗收了,顧問拍拍屁股走人,爾後,很可能也別再想找到人了。
所以,制度一定是經過導入範圍內的人員,在安全與效能間取得平衡點所討論出來的結果,並被主管人員認可、接受。如果範圍夠大、人員夠多、系統夠複雜,這樣的過程必然是冗長的,如果六個月建置完成並取得認證,說是有效的管理制度就有待商榷了。當然,有些單位可能歷經兩、三年的摸索,最後半年才聘請顧問指導,就另當別論,否則,騙得了別人是騙不了自己的。
承辦負責人應有的態度
有些單位通過ISO27001認證後,人員對於資安觀念還是很薄弱,如果你的單位就是如此,ISMS範圍中的人員觀念還是停留在未導入之前,那麼導入費用可以說是白花了。建議每件採購案的承辦人,要花掉每一筆費用時,都應該幫組織嚴格把關,如果是要消耗預算,或者受上級指示的壓力,或與顧問的特殊關係…等就另當別論,否則,真應該去好好評估一下。
主管支持與否攸關重大
資訊承辦人還是要扮演好自己的本份。許多為了應付上級單位、客戶而不得不做的任務,如果單位主管能支持,並能取得後援、資源的話,既然要做也有績效,何不把這項任務做好呢?曾有製造業主管分享他的經驗是:『起風時(主管有意要推),就順勢讓風箏飛起(ISMS完善建立)』、『各部門主管要與我共舞(支持我、配合我)』,都很一針見血地告訴我們,有主管支持的情形下,承辦人就有四兩撥千斤的力道。
另一方面,有很多單位的承辦人員是因為主管的不支持,無法取得後勤支援也顯得很無力、無奈,但是,如果能經過一番努力,透過顧問的協助下,取得高階管理階層的認同,除了可使專案順利推行,比起一開始主管就支持的情況下,承辦人也較能展現其完成任務的能力。
別讓ISO淪為形式
然而,還是無法說服主管參與、支持,那就轉個念頭吧!既然錢都花了,自己總得跟顧問學學ISO的精神何在,有朝一日成為主管,也才能有效地推動管理制度呀!不過,最糟的是,花了大筆的錢,拿到一堆文件和一張證書,不僅單位沒獲益,連自己也沒學到東西,一點好處都沒,只得到『補單』的麻煩(很多單位就繼續起個維護案,由顧問來做這些瑣事)。
一分錢一分貨
當規範文件的制定皆由顧問幫你完成而不去參與,往後呢?是否要一直仰賴顧問呢?至少學到ISO精神後,請個工讀生來做,也不用花大筆費用來聘請顧問。其實有時候也不能全然責怪顧問,這些情況是否導入單位也該負責呢?當客戶一直壓低成本又要省事,往往迫使為了生存的顧問屈於現況,而造就了今天惡性競爭的局面。
有一個故事,話說某日本公司招標一個大案子,廠商低估了成本,日本公司還主動告訴廠商,是否應該增加某部份的預算以維持應有的品質?這類案件在國內也許不多見,而是希望藉由這個故事,讓大家了解重點不是只有錢的問題,而是能否達到預期的效果?要注意的是:不管花多少,錢總要花在刀口上。如果一人天算5萬,讓你覺得服務內容物超所值;或者一人天算3仟,卻來一位比你還不懂的顧問,這錢花得會讓你心甘情願嗎?
另外,一分錢一分貨,當企業只注重如何減少導入費用時,要注意有些不肖或資金不足的廠商就會想盡一切辦法,儘量由案子中節省成本,以致於造成業主壓低成本,顧問便宜行事,提供劣質服務等惡性循環產生。反之,如果能訂出合理預算,廠商在應有利潤下,提供高品質的服務,這樣對於科技進步才會有所幫助。建議你,下一次尋找顧問要記得信譽、口碑與顧問本身的能力,不要只用價格為主要考量了。
顧問應具備的能量
選擇顧問不能只看這家公司有多少輔導實績,不可諱言,有多少輔導實績是個參考依據,或許他會多一些行業相關法令、法規的了解,又或者它能縮短你與沒有這方面實績顧問的磨合期,但絕不是決定性的評選標準。況且,單位的重要資訊你比顧問清楚,你要得是能提供你資訊保護建議的資訊流程與技術改善專家。
小心濫芋充數
況且,有些顧問公司號稱有多少輔導實績,你得問當初輔導的人員還在嗎?又有的顧問公司在案子取得之前,掛名了一堆資歷豐富的人員,但從頭到尾卻只來了一位出社會沒多久的資管系畢業生,只跟過一、兩個案子,且被告知執行專案依樣畫葫蘆就行,說起理論頭頭是道,試想,沒有系統開發、維護經驗的他(她),如何能給你有效、正確的建議呢?更糟的是,假設他從以前就錯到現在?有多少實績不過是害了更多單位罷了。真不敢令人再想下去了…
這時,若要選個好顧問,你務必得做一下功課,研究看看他們過去的案子,是否大多頗受好評(因為有些客戶本身的問題,所以,恐怕沒辦法做到百分百)呢?導入ISO27001的單位有沒有逐漸擴大驗證範圍,讓大家做起事來都有準則,不會無所適從,問什麼都不知道?
因應單位不同,服務技巧也應有差異
如果顧問只能提供方法、理論或文件範本,這算是基本的服務,比較有經驗的顧問可以因應單位不同的文化,運用不同的技巧,讓制度運行的更有效。例如,有些單位排了6小時的主管宣導,如果排一天是可符合驗收要求,但是,講課時主管可能會睡成一片,充其量只不過為了應付合約而已。若分成幾場不同議題,每場半小時的分段解說,應該更能提起主管們的興趣,讓管理制度真正的落實。不過,顧問因成本的考量,很少能做到這樣的。
又或者單位人員配合度不高,如何利用外界力量(有些顧問做出flash game讓人員過關,玩遊戲學資安)先引發興趣,或者培養資安觀念與認知(由自身的資料保護觀念建立衍生到單位資料保護觀念的同理心),並透過做好有獎賞或活動競賽激發榮譽感,一直到運用權威、懲處(最後不得已的手段),就是要讓全體人員發自內心感受到單位資訊的重要性。
顧問公司的財務狀況
另外,顧問公司本身的財務、信譽也是相當重要的。最近看了一份報告,超過七成的軟體委外開發都有專案延誤的情形,驗收不合格也超過六成,所以,公司會不會倒閉或有沒有重視服務品質就顯得相當重要。有些負責任的顧問公司就算標到成本不合理的專案,也會重視服務品質,並盡心盡力地將專案完成。
顧問能提供的加值服務
許多單位在挑選顧問的時候,可能為了減少採購次數,或由有某方面優勢的顧問公司協助擬訂採購規格。所以,將協助導入ISO27001的諮詢與提供制度文件範本以外的項目給予納入同次採購中,例如,滲透測試、弱點掃描、惡意網頁檢測,或者伺服器增購、機房改善等等。
服務與產品的價值迷思
我們知道做好資安,除了技術面與實體環境面以外,制度面當然也扮演相當重要的角色。很多單位有看得到的才有價值的迷思,一部入侵防禦系統三、四百萬都肯花,有些買二百萬還覺得便宜、賺到了,但是,買來就任由廠商接線、設定,管理員不會用、不會看,主管也以為擺在網路中間,從此公司就安全了。反而,提供服務的廠商就沒那麼幸運了,掏心掏肺的提供Know-How,很多單位卻認為不值錢,原因無它,就是“無形”所致。
技術與管理應該是相輔相成。例如,買了防火牆就要規定誰去管?多久看一次日誌(log)?遇到問題如何處置?…,又如規定A級機房要有溫、濕度自動控制,就應該採購溫、濕度控制設備去實現。反之,有技術沒去管,或者純粹只有管理規範而沒落實都是不行的。
顧問本身如有多年的機房、系統、網路、資料庫管理經驗,規劃過網站、寫過程式,這樣的人是否能提供給你較有用的建議呢?試想,當你剛接手防火牆的管理,卻看不懂上面的Rule或Policy是什麼意思,這時又沒維護廠商或軟體技術支援合約,如果顧問能幫你分析、解說,可讓你快速上手,是否可降低你的憂慮呢?還有,若網路架構有問題,顧問也可以幫你看出潛在的問題點,提出高風險或可能發生資安問題的改善建議,這樣的顧問你不聘用嗎?
顧問專業的重要
筆者甚至聽過,有些顧問沒滲透測試(模擬駭客行為,找尋系統可藉此侵入的弱點)的能力,也接了含滲透測試的ISMS導入、維護專案,好一點的顧問會再轉包給他人來做,不好的顧問就出個“沒發現任何漏洞、弱點或威脅,系統安全無虞”的報告,滲透測試結果他也如期交付了,對於驗收、請款當然沒問題,這時你能奈何得了他嗎?再說結案後,好的顧問不會讓你找不到人或不接電話,不僅會提供疑問解惑,如果有單位相關的資安訊息也會主動提供。
如何找到好的顧問公司
有關ISMS要徹底執行,除了法令、法規面外,還要政府單位大力的推動,或許,所有顧問都必須經過行政院研考會或其委託單位認證、集體聘用,再隨機分派到輔導單位,站在協助單位主官(管)的角色,作為制度建立或維運諮詢的對象,並直接向研考會或其委託單位回報,不要任由各單位壓低價錢或把顧問當工讀生來使用,這樣的制度也許較能有效制訂與貫徹。
另外,顧問也要經過第三方驗證單位的評分(容後介紹,當然,第三方驗證單位也應由研考會或其委託單位認證、集體聘用,同樣也隨機分派到驗證單位,讓顧問與第三方驗證單位無直接的利害關係,這樣評鑑也許較能公平與客觀),評分結果將做為政府單位後續聘用的篩選條件或民間企業的選用參考。
在上述的機制尚未成形之前,找到好顧問的辦法不是沒有,在此建議找一家有信譽、財務健全的公司是必要的,以免做到一半公司就倒了,其次就是靠承辦人員做點功課、打聽一下,最後,還要看看到府服務顧問的能力,以及是否有後勤支援部隊在做顧問的靠山?總之,要找到好顧問需要多方面地評估才行。
(原文刊載於RUN!PC雜誌:2010年02月號