電腦化已經是現今企業經營的趨勢,資訊系統的最終目的是幫助企業更有效的執行經營管理。但隨著企業越來越倚賴資訊系統,資訊系統安全也成為企業經營風險的一部分。談到資安控管,一般人的第一個反應就是想到駭客。甚至很多人都把資安控管和網路控管劃上等號。但事實真的是如此嗎?在這一系列的企業資訊系統安全基礎的分享中,筆者希望能將一些企業資安控管的基本觀念做一有系統地介紹。
資安要花錢,要犧牲效能,在講求競爭力的商場,這些見不到立即效應的花費或機會成本,本來就不容易討喜。而且投資在資安上面的收益,也很難量化。所以怎樣的資安投資才是合理的?控管要做到什麼地步才叫錢花在刀口上?要能完整的評估,要先從風險評估開始。風險可從幾個方面來探討:
- 資料(data) 管理風險:儲存在系統裡的大量資料如客戶,銷售,產品設計,都是公司的資產。怎樣考量評估資產的風險,決定我們要投資在那一些控管措施上。資料風險可由下面三方面來評估,簡稱CIA rating:
- 機密性 (Confidentiality) : 資料若遭競爭對手竊取,對公司營運的影響有多大?有沒有法令的規定來保護此類資訊?如個人資訊 (Personal Identifiable Information -PII)? 如果公司有跟歐盟市場往來,歐盟對PII的法令要求非常嚴。根據公司或系統所處理的訊息機密性,來考慮用甚麼樣的加密技術。
- 精確性(Integrity) : 系統所處理的訊息精確度要求是甚麼?如銀行交易的處理,事關客戶的財務權益及銀行的信譽。交易的正確性及完整性都非常重要。此時精確性要求就非常高。此時認證,授權,確認,防呆甚至取消返回原始狀態的控制就非常重要。
- 可用性 (Availability) : 系統裡的訊息急迫性如何?需要上線時間和系統穩定性對企業的影響如何?有些生產線系統一但出錯停工,一天的營業損失就不得了。可用性決定要投資多少來做災害恢復。為什麼雲端系統現在如此熱門?因為大的雲端公司如亞馬遜或微軟都有分散式的即時備份,減少因天災或地區因素產生事故資料的損失及降低系統停機時間。
- 營運(Operational)風險:一間公司在營運上有那些安全風險?目前業界有一些標準架構可供參考。但主要都是以以下幾點作為重點。
- 變更控制 (Change Control) : 資訊系統是用來幫助企業增加效能,節省成本。但資訊系統是為人辦事,如何確認系統的完整性,所有的變更包括系統更新或新功能升級都能在變更後仍然能繼續正確執行企業任務。變更控制是維護系統完整性的重要程序。
- 存取控制 (Access Control): 系統有機密性考量,未經授權的存取權限會增加企業營運風險。這些存取權限從一般使用者,客戶,主管,道系統管理員。如何有系統的管理並定期稽核。可有效降低營運風險。
- 災難恢復 (Disaster Recovery): 資訊系統所儲存的資料是公司的重要資產。到底有多種要?如果因為天災人禍或硬體故障導致資料遺失,公司可否經得起如此損失?
- 網路安全及防衛 (Network Monitoring and Defense): 因人為的惡意行為導致的營運損失是自古以來企業經營的風險。企業資訊系統如何防治內部或外部惡意的攻擊。並減少因攻擊造成的損失。尤其現在的駭客以拉高到組織犯罪及國對國戰爭層級。企業如何防範已成為重要課題。
以上是企業資訊系統風險評估的概要。至於風險的管理,再另文解說。