安全規劃也必須照步就班一步一步來
資安計劃又分成三個等級:Tactical level planning(戰術性規劃),Operational Planning(作業性規劃), Strategic Planning(戰略性規劃) …
談到IT治理的觀念就不能不談到安全規劃(Security Planning),當然安全規劃也必須照步就班一步一步來
資安計劃又分成三個等級:Tactical level planning(戰術性規劃),Operational Planning(作業性規劃), Strategic Planning(戰略性規劃)
戰術性規劃主要是發展能達到事業單位標的的各種目標及其策略。
作業性規劃主要是發展部門或個別營運單位的目標及策略的過程。
戰略性規劃則是界定組織的使命評估各種外在內在的展發情況,使企業能夠以強處來掌握發展的機會,以避免外在的威脅,引導企業做有效的控制並達成目標。
上述每項規劃均必須規畫至Security Policy中,並且每個安全等級計劃必須達到無縫細(Seamless transition between levels)
一般的做法是由作業性的規劃向上發展至戰略性規劃,向下發展至戰性規劃,由Tactical Level建置至Strategic,缺一不可。
但是定義這些規劃時又應該如何規劃起呢?首先先訂定各項規劃的(Policy)政策,有政策可依循,也才能以政策為指引的方向前進
在各項資訊安全的推動必須符合法律並不侵犯股東權益及業務的推展,定訂資訊安全策時可訂義包含Standards(標準)、baslines(基準)等規範
政策則分兩個層面Overarching organizational policy(包含於組織條例的政策)及Functional implementing policies(包含導入的方法、工具的政策)
訂定任何資訊安全政策一定要Documents compliance(簽署文件)及Complying with laws(動用決策力來分權)。
而任何政策則必須由Standards(標準), Baslines(基礎), Procedures(程序), Guidelines(指引方針);簡稱SPGB,所支持著,其中Guidelines是不具有強制性。
對於現在的環境來說建置資訊安全是任何一個公司在成長都必須經歷,是企業的現在及未來透過建立對安全的文化
也是企業認定各項資產真正的價值並且了解必須控制的風險及威脅,也因為企業必須有業務才有未來,資安並不是維一
只是透過資安讓公司在未來更具有竸爭力,因此在訂定資安政策時與業務發展不可衝突。
Standards是指企業要用那種安全風險管理標準,那種防毒產品或是那種Token的標準,並不是指要引用何種ISO標準。
Baselines是指以那種可接受的最低安全等級來保護資訊資產的設備或措施,例如連回企業僅能接受VPN,及IDS的組態。
Procedures是指何種方式達成處理目標,因此程序必須Step by Step(一步一步來);BCP(Business Continuity Planning)的設計及運作。
Guidelines是支持Policy實行中不具有強制性的,是一種指引以達成目標的最佳建議;ISO-27002, ITIL(IT Infrastructure Libaray)。
在Policy實行時必須很明確的定義其Scope(範圍)及各類的Standards(標準),當然,做資安總不能毫無止盡,因此必須界定一個安全領域
在進入到這個安全領域之內就必須遵守其資安環境的規範及政策,最終將整個企業納入到資訊安全範圍內,以提升企業的競爭力。
Anything keeps Availability.
Anywhere keeps Integrity.
Anytime keeps Confidentiality.
keep A.I.C. = Information Security