面對(duì)變化莫測(cè)的信息安全事件�,BS7799提供組織或部分單位一個(gè)安全管理的方向去解決和應(yīng)對(duì)。
大企業(yè)在充足的預(yù)算編列下���,可依其考慮導(dǎo)入安全管理機(jī)制���; 然而中小企業(yè)亦有其安全需求,要如何在有限的預(yù)算下做最佳化的安全管理���,以下將提供一個(gè)概念性的模式提供企業(yè)參考����。
引用軟件開(kāi)發(fā)的方法論。幾年前受訪者在英國(guó)為幾家小型的企業(yè)作信息安全服務(wù)�����,因中小企業(yè)礙于有限的預(yù)算�����,無(wú)法完善的做好信息安全工作��,當(dāng)時(shí)便引用以下方法為企業(yè)導(dǎo)入適合地安全機(jī)制����,建立基本信息安全防護(hù)����。
1.定義需求(Requirement Specification):了解客戶的安全需求和原因。
2.分析(Analysis):為需求做詳細(xì)分析和評(píng)估�。
3.設(shè)計(jì)(Design):分析之后為客戶設(shè)計(jì)適合的方案。
4.執(zhí)行(Implementation)
5.測(cè)試和評(píng)估(Testing and Evaluation):執(zhí)行之后必須再重復(fù)測(cè)試與評(píng)估是否符合需求�����。
這個(gè)概念是從軟件開(kāi)發(fā)工程(SDLC,Software Development Life Cycle)中發(fā)展出來(lái)的���。SDLC(Software Development Life Cycle)的模式后來(lái)被更廣泛地應(yīng)用到安全(Security Develo
pment Life Cycle)及資訊系統(tǒng)(Systems Development Life Cycle)的范圍����。事實(shí)上�����,它的流程和觀念無(wú)論是在導(dǎo)入Software�、Security或是Systems都是相同邏輯的。例如E-banking的
建置���,E-banking是屬軟件開(kāi)發(fā)系統(tǒng)���,而建立E-banking時(shí)安全是第一考慮,可由這樣的概念了解���。
“安管的SOP” (Standard Operation Procedure)
這個(gè)方法的好處����,是它可運(yùn)用在信息安全各個(gè)不同的層面和領(lǐng)域�����。舉例說(shuō),組織遭受病毒的侵略
事件很頻繁���,于是就產(chǎn)生病毒防制的需求����,接著便需分析其發(fā)生的原因~是否企業(yè)的防毒軟件是違法的或是已過(guò)期����,或是使用者的教育訓(xùn)練不足��,任意開(kāi)啟不明的email而引發(fā)中毒���,或是沒(méi)有固定的維護(hù)…等�����。此階段針對(duì)需求和原因做完分析后��,然后針對(duì)各個(gè)原因去設(shè)計(jì)不同的控管的方式���,像是更新軟件及購(gòu)買合法軟件�����,或針對(duì)認(rèn)知不足的使用者加強(qiáng)教育訓(xùn)練��,或是買軟件在server上阻擋病毒…等�。執(zhí)行之后重復(fù)測(cè)試是否有所改善����,假設(shè)沒(méi)有改善則必須再重復(fù)回到分析步驟的循環(huán)再次檢視。
以銀行安全規(guī)劃為例��,可能在總行或分行都設(shè)有IT部門(mén)�,也可能分行沒(méi)有IT部門(mén),則發(fā)生問(wèn)題時(shí)就由總行來(lái)支援����。為使計(jì)劃在有限時(shí)間內(nèi),符合分行的使用者需求和稽核標(biāo)準(zhǔn)��、有績(jī)效地將系統(tǒng)建立起來(lái)����,總行可能以這樣的機(jī)制去協(xié)助分行解決。把安全的需求先定義出來(lái)�,而這些需求的資訊來(lái)源則可以是顧問(wèn)�、外界的研究結(jié)果或是內(nèi)部的信息安全需求等����;定義了需求之后進(jìn)入設(shè)計(jì)的階段,再將控管方式帶入設(shè)計(jì)里討論����、分析和評(píng)估,定義出問(wèn)題后����,針對(duì)重要事項(xiàng)的解決方法是可被使用者接受的話,就開(kāi)始實(shí)施到計(jì)劃當(dāng)中來(lái)測(cè)試這些安全需求�����。
國(guó)外的信息安全工作做的很嚴(yán)謹(jǐn)�,由于大多臺(tái)灣發(fā)生的信息安全事件在國(guó)外都已有較久的經(jīng)驗(yàn)���,因此�,國(guó)外己有很成熟的check list用來(lái)檢視可能犯下的疏忽�����,以防重蹈覆轍;然而人的疏忽是最難預(yù)防的����,花旗網(wǎng)路銀行的信息安全事件就是一例。
建議中小企業(yè)在做安全的需求定義或分析時(shí)�,可多從以前累積的經(jīng)驗(yàn)和國(guó)外的信息安全經(jīng)驗(yàn),歸納進(jìn)來(lái)檢視使用者的需求再去設(shè)計(jì)�。
SDLC model是一個(gè)簡(jiǎn)單的觀念和和思考模式,除了軟件開(kāi)發(fā)����、安全和資訊系統(tǒng)的應(yīng)用外,可適用的范圍很廣���。亦可應(yīng)用到風(fēng)險(xiǎn)管理���、客戶服務(wù)管理、硬體建置����,乃至BS7799的導(dǎo)入…等,都可以此模式導(dǎo)入���。 在BS7799里其中一個(gè)規(guī)范~校正御防措施�,提到四個(gè)重點(diǎn),『原因』����、『分析』、『校正』���、『御防』��,和SDLC的步驟亦很類似��。事實(shí)上�,這個(gè)方法可說(shuō)是簡(jiǎn)化
BS7799的方法���,將大標(biāo)準(zhǔn)切成小范圍�,再依中小企業(yè)的環(huán)境需求導(dǎo)入�����。
結(jié)論
BS7799談到10個(gè)領(lǐng)域�,包含了36項(xiàng)目標(biāo)訂定及127項(xiàng)安全稽核��,可做為企業(yè)安全管理系統(tǒng)評(píng)估的基準(zhǔn)。然而有些部分對(duì)中小企業(yè)而言���,依成本或?qū)嶋H需求考慮是很難做到也是不適用的��,像是BCP(Business Continuity Planning)或是人員安全的部分(此部份或許還可以做到保密安全���,但是要二三十個(gè)人的中小型企業(yè)做到對(duì)每個(gè)員工身家調(diào)查,恐怕沒(méi)那功夫)����。但臺(tái)灣占九成以上的中小企業(yè)而言,信息安全是其必然的考慮和需求�,如何在有限的預(yù)算下解決其信息安全問(wèn)題,此方法提供一個(gè)很好的思考方向����。
