從IT的建置到Policy一路到了SPGB,更底層的,必須談到有關企業內對於資安的Roles and Responsibilities;R&R(角色及職責)
畢竟,資訊安全不可能靠一個人就可以達成,必須由Group(群組)或是Team(小組)來策進、推動
那麼在資安的角度來看,該會有那一些人來執行、那些人來推動安全文化,教育員工具有安全的概念 …
從IT的建置到Policy一路到了SPGB,更底層的,必須談到有關企業內對於資安的Roles and Responsibilities;R&R(角色及職責)
畢竟,資訊安全不可能靠一個人就可以達成,必須由Group(群組)或是Team(小組)來策進、推動
那麼在資安的角度來看,該會有那一些人來執行、那些人來推動安全文化,教育員工具有安全的概念
R&R主要的目的除了介定所有資訊安全工作內容以外,更重要的就是定義了可規責性
在一般的情況之下,會將資訊安全R&R粗略的分為:Executive Management(執行經理)、Information System Security professional(資訊系統安全專家)
、Owners(擁有者)、Custodians(托管者)、Auditor(稽核者)、User(使用者)、IS/IT Function。
Executive management必須要能承諾並推動資訊安全的政策、目標、並且承擔所有保護資產的責任,並且要能同意接受風險的權衡。
ISSP則有責任去設計、規劃、導入、管理及覆核企業的Security Policy及SPGB…等等。Owners則為別擁有Data(資料)、System(系統)的關鍵角色,
Data Owners則必須負擔起Information Classification(資訊分類)、並分配資訊予Custodians,並且依循著Security police來執行安全作業,
針對資料的敏感、緊急層度來給予授權的使用者以need to know(僅知原則)為基礎給予適當的權限。
※Need to know可解決A.I.C.中的I2可能引發的問題。Custodians受到Owners的管理,owners受到ISSP的管理,而ISSP受到Executive management的管理。
system owners則是負責分配使用系統的使用者權限並且掌控著System change controls系統變更控制,備份及災後回復…等職責。
Custodians則必須受到Owners的信任有能力確保資訊安全,並且必須接受各項教育訓練,以免受到攻擊而造成資訊的洩露
例:避免因社交工程而洩露資訊資產的弱點或是成為利用的弱點。
Auditor確保了Security Programs在執行過程中有受到正確控制,在一個流程之中找出有問題的節點,並且提出改善流程的方法,以確保整個資訊系統保持安全
※information system auditor確保了Functional Requirement的正確運作,Auditor且確保Assurance Requirement的正確執行。
User是責任是使用任何資源時,均需承諾使用適當的資源,並且任何程序均需遵守保持資產的A.I.C.。
IS/IT Function必須依循Security policy並且以最合適的Best Practices(最佳建議)來建置系統、網路、環境。
前面的各種職務均說明了每個角色所需的職責,但人呢?人才是主導資安的成敗的因素,因此在人員的招募時應該如何來執行
才能由人為基礎發展資訊安全的建置,人員招募時除了讓應徵人員了解其工作職掌職責外,也必須要對應徵人員做安全的確認
依照每種職務不同給予不同的Clearances level(機密等級)
人員的安全確認包含有:Background Checks/Security clearances(到職確認;身家確認)、Verify References and Educational Records(確認學歷)、Sign Employment Agreements(簽署雇員合約)
Background checks確認所需的或是該職務所必須有的的基本門檻、職能,例如必須檢查所檢附於履歷上的各項專業認證證書及職務所需專業技能證明…等
以確保該員是個有能力且可被信賴的雇員。
Verify References and Educational Records是確認該職務所需的基本學歷是否符合該職所需,並繳驗學歷證明供企業存查。
Sign Employment Agreements主要是要讓應徵者了解企業的各項規定,並且在讀完後應徵者同意後簽名代表願意遵守企業內各項規範及職務保密條款。
當然人員是安全建置的基本要素,但離職員工往往是資訊安全的最大威脅之一
人員安全必須透過Consult the human resources Department(與人力資源部門商議)、Low Level Checks(低階確認)、Termination Procedures(終止雇用程序)來控制
當員工是友善的離職時透過面談了解原因後重新宣讀保密條款後同意簽署離職,繳回公物及接交後依照企業人員管理程序辦理離職
不友善的離職則必須立即繳交所有公物並終止雇用、停權,並由實體安全維護人員帶離安全領域之外,雇員私人用品則由上司主管整理後由實體安全維護人員轉交予終止雇員
雇員屬於內部安全控制部份,但合作伙伴呢?是否也有其安全考量呢?
Third Party Considerations(第三方需要考慮的事)每個組織結構均有不更,而每個與企業來往的外部人員也應該要做為設計安全架構的考慮中
一般而言分為Vendors/supplies(產品銷售/支援人員)、Contractors(約聘雇員)、Temporary Employee(暫時雇員)、Customers(客戶)
Vendors/supplies通常會針對企業系統做維護或更新,必須要求配合安全政策。
Contractors像是由vendors或是supplies所雇用的駐點人員,可以有少部份的存取系統的權限,必須同時遵守企業內的安全政策及原企業的管理。
Termpoary Employee則是最難控制的不定因素,通常暫時雇員與企業較無直接關係,且對企業亦無忠誠可言,有可能擴大雇用的風險。
Customers則是對企業有更多的苛求、要求更多的服務,也有可能擴大更多安全挑戰。
以上對於外部雇員可能產生的問題可以透過Need to know 及Least Privilege及劃分安全區域,以保障公司較核心的機密資料,亦達成可接受的最小風險。
Anything keeps Availability.
Anywhere keeps Integrity.
Anytime keeps Confidentiality.
keep A.I.C. = Information Security