一個重視資安且內控制度完整的企業,一定會建立起完善內外稽核系統。
透過內外部資安稽核施作,可強化企業資安體質,且透過所建立PDCA機制,持續提升企業資安的有效性。我於2019年年底剛取得ISMS認證的工程師,透過年度外稽的實兵演練,分享首次接受稽核的準備工作及心得。
首次接觸ISMS制度
在我還沒受稽核訓練前,初次接觸資安稽核工作的時候,我是協助同仁準備資安稽核文件的角色,當中包括處理文件、歸納文件等等的工作內容,並也藉由全程參與外部稽核的機會,更近距離感受稽核當下的氣氛。會有產生一種ISMS只是文件整理的錯覺。
參與ISO 27001資訊安全管理制度主導稽核員訓練課程期間,導師教導資安稽核的觀念、解釋條文的內容、稽核的技巧等,並透過分組討論、模擬情境的方式實作並導正觀念。獲得資安稽核基礎認知後,工作上能夠處理得更適切、也越能夠了解其中的脈絡和意義。對於資產風險管控與分析以及活用PDCA的流程操作有了一番新的體驗。
ISMS過程中需關注多個面向
資訊安全規章辦法多以中性字眼呈現,但是在一些資產風險管理上就必需採取嚴謹的用詞才能確保風險分析的價值,目的是為了搭配不同的組織文化做相對應的措施,多閱讀企業內部文件並與規章辦法做連結,這種練習可以加深對條文的理解以及增加對內部文件的熟悉程度。歸納來說,ISMS相關的條例或辦法可以滿足各類企業管控所需,因為它有足夠的彈性去滿足在經費、人力、制度各方面的需求。
準備資安稽核涵蓋的項目很多,資產清冊、風險評估、緊急應變措施、各式記錄、文件化資料等等,這些項目除了熟能生巧之外,應該要了解其中的來龍去脈、搭配檢討、調整。或許過程略為辛苦,但是對我來說就是一個制度訓練的基礎。
首次外稽給予的衝擊
當外稽進入公司大門開始,填寫訪客通知單、攜帶物品單、閱讀資安規定,年度外稽就已經開始,這也是公司資安制度的常態落實。
由於年度稽核是企業相當期待的一件事情,所以在開始會議前,公司的資安官、資安部門主管、文件管理員、內部稽核員以及相關負責同仁會提前就位,等待著外部稽核員的到來,此時的氣氛很正式。進行開始會議時,外部稽核員會向與會人員說明當次稽核的流程及重點,開始會議之後,就留下IT部門接受外部稽核員的檢視,稽核過程只能以誠惶誠恐作比喻,生怕有哪個小細節沒有做好。
首先外部稽核員會針對去年的次缺與建議事項和負責的同仁進行追蹤確認,接者參考「適用性說明書」,建立條文規章與內部文件的對應關係,這是稽核員後續驗證說、寫、做一致的階段性參考文件,也是稽核方及受稽方都會關注的一個重點。
由於外部稽核不像內稽熟悉內部運作細節,所以還會透過翻閱「內部稽核報告」的方式蒐集資訊、搭配稽核方法做抽樣驗證。資安稽核所羅列的資料十分繁雜,但稽核員必需在有限的時間內進行調查,所以也會以「文件流程的關聯性」作為判定符合規章辦法的依據。最後的外部稽核結束會議,宣告著此次稽核的完成,但不代表制度流程的句點,而必需持續改善。
良善的態度準備資安稽核
在準備資安稽核工作的時候,難免會與同仁互動、交流,由於過程可能會中斷同仁作業或造成多餘工作負擔的關係,容易導致同仁有排斥的情形發生,必需耐心地向同仁解釋並傳遞是基於協助的立場、沒有找碴的意思,建立互助合作的渠道有利於後續檢視並尋找、討論需要改善的地方。
稽核的當下,稽核方與受稽方在處於不對等的關係,雙方都應了解稽核的目的是在於發現問題並達到持續改善的作用,所以建議受稽方敞開心胸配合稽核人員的調查,倘若與稽核人員意見分歧的時候,也要沉澱思索、回歸到稽核的主軸判斷並與稽核人員溝通。
資安稽核不只是文件管理的工作,它是一個透過制度性的管控降低企業資安風險的最適制度,畢竟資安是人、資料、系統與公司文化的結合,要高層的支持,同仁的配合,才有辦法持續與完善。