K書筆記本-Information Security & Risk Management (02)

談到了資安治理那麼IT的安全需求呢(IT Security Requirements)?對於一個完整的資安解決方案又該如何做起?
這個又是一種考量的基礎,在尋找一個IT安全結構下應該由...

上一篇中談論到了資安的構面,但是實際的作法應該如何運作會在下面的幾個K書筆記本中與大家討論
即然談論到了資安,就不能不討論到資安管理(Information Security Mamagement)的內容
在The Official (ISC)2 Guide to the CISSP CBK(Common body of  knowledge)中提到的
資訊安全管理應該包含:Governance Structure(治理結構)、Policies(政策)、Standards(標準)、Procedures(程序)、Baselines(基礎線)、Guidelines(指引方針)

當然談到了資安治理那麼IT的安全需求呢(IT Security Requirements)?對於一個完整的資安解決方案又該如何做起?
這個又是一種考量的基礎,在尋找一個IT安全結構下應該由兩種需求來考量:Functional Requirements(軟體需求)、Assurance Requirements(保障需求)
Functional Requirements: Defines the security behavior of the control measure. Selected based on risk assessment.
軟體需求:控制措施運作狀態的特性。基於風險評鑑的選擇。
一般而言,我們也可以用簡單的一句話來說明,保護你想保護的資訊資產。

Assurance Requirements: Provides confidence that security function is performing as expected. Critical part of the security program.
保障需求: 確保信任預期中的安全機制。部份關鍵的安全計劃。
簡單的說明就是:確認你的安全機制真的安全。

Functional Requirements像是導入防火牆,建置安全區域,而Assurance Requirements則像是測試BCP(Business Continuity Plan)
一般而言,應該要將稽核分為內外部,以確保其可用性。

當然,這兩種需求都是基於資訊安全的角度來看,而企業的需求呢?每種不同的業態都有不同的需求,也隨著企業所專注的領域不同,
全機制也必須達到成本效益(Cost effective),安全則必須由上而下執行,若沒有得到上級主管的認同,那麼任何再強的安全措施則歸零。

IT安全治理則必須透過Leadership(領導階層), Structure(結構), Processes(處理流程)三方結合才能達成
當然IT安全治理也必須仰賴A.I.C.的需求、支持著企業的策略(Strategies)及目標(Objectives)
同時也必須包含若安全措施失效時確保SLA;服務水準協議(Service Level Agreement)

IT安全治理的Structure(結構)也必須上行下效,上至董事長、高層主管,下至雇員、工讀生,當然它也分為內部及外部,內部治理像是人力資源(Human resources)包含雇員協議、雇用程序、結束雇用程序…等等。
Processes(處理程序)可依照Bast Practice(最佳建議)來執行,例如:Job Rotation(職務輪調)、Separation of duties(職責分工)、Least privilege(最小權限)、Mandatory vacations(強制休假)、Brewe-Nash model(私下利益輸送)、Supervision(記錄及監視)、Security audits and reviews(安全稽核及複審)、I/O controls(出入控制)、Antivirus Management(防毒管理)…等等。

當然資訊安全管理系統也有最佳建議,例如ISO標準中的27000系列就是ISMS的最佳建議,也可稱為是Security blueprints(安全藍圖),像是:ISO-27000 series、COBIT、ITIL、COSO…等。


Anything keeps Availability.
Anywhere keeps Integrity.
Anytime keeps Confidentiality.
keep A.I.C. = Information Security