隨著駭客入侵的技術越來越高段,資訊安全系統會更為複雜。資訊安全系統必須與現實狀況充分結合。資訊技術被廣泛的應用,而資訊技術本身是中性的角色,所以資訊安全事件的發生取決於人使用資訊技術的目的。安全的使用創造公司的利潤;可是惡意的使用將造成營運的困境與風險。我在資訊安全軟體研發公司服務,公司更為重視資訊安全管理制度的落實。透過導入了ISO 27001資訊安全管理系統認證,公司逐年調整與降低資訊安全風險,搭配ISMS PDCA架構,強化了公司資訊安全防護的體質。在2016年公司指派受訓,讓我充分理解實務與技巧性的應用ISMS。
在培訓過程中,採取分組進行演練,搭配ISO 27001條文,從建構基礎概念到條文的實際應用,再配合分組討論與不同領域的同儕分享,有了寶貴的整合經驗。我也於2016年底參與真正的外稽審查,想必是一場精彩的演訓。五天的課程十分緊湊而密集,再交互攻防辯證下,心情十分激昂。撰寫相關作業之時,審視整天課程與在公司實務管理的盲點,發現了許多可以再調整與降低風險的議題。ISO 27001每八年都會有一次大型的改版,此次正逢大型改版後第一次外稽,相信可以將課堂上所學用在實際的資訊安全制度管理。
就以主機機房定期查核驗證安全為例。除了紙本check list逐一檢查外,也在公司建立了7 X 24 X 365自動化服務水平監控系統,可以在第一時間掌握機房主機與網路的運作狀態。透過ISMS制度說明再搭配自動化監控系統,可以達到更完善的防護監控機制,也滿足了ISMS所規範的相關事項。這就是一種制度與技術充分結合的應用。而類似的整合應用逐一出現在我未來的安全管制設計上,一來降低人員的負載,二來可以達到更高的有效性量測。換言之,就是一個量化監控的實際應用,可以具體呈現ISMS制度的實務成效。
另外一個例子,就是建立更深層的管理連結,來與大家分享。在資訊機房內會有門禁刷卡,搭配CCTV以及機房進出記錄登記表,搭配行管與技術交叉比對,就可以充分呈現真實的機房進出狀態,讓安全管理制度呈現縝密的連結,也建立起有效性管制的效果。再搭配主機登入/登出記錄或資訊設備攜出/攜入記錄,更可以控制整體資訊資產的流動與管理的有效性。當然在課堂上與實務上還有許多充分結合的例子,無法在此一一詳述,但本次資訊安全制度管理課程已深植我心,相信可以做到更好的調整,以及風險的降低。
課程最後一天,是認證的重頭戲,老師幫我們做個總複習後就直接考試,考試的內容十分靈活,不是硬背條文就可通過認證。通過主導稽核員認證,我相信可以替企業建立起更安全且更友善安全管理,透過一次一次的融合應用,將是這次學習最大成長與成就,也十分感謝公司提供我這次的機會參與訓練課程。