資訊安全的管理面

資訊安全的管理面

System-Security-Reader-2-icon

 

根據 SAMM這個模型,

管理面 (Governance) =

1.Strategy & Metrics +

2.Education & Guidance +

3.Policy & Compliance

 

 

就讓我們分別針對這三項說明

1.Strategy & Metrics + 2.Education & Guidance + 3.Policy & Compliance

 

1. Governence > Strategy & Metrics (SM)

主要的目標是要建立起整個組織對於資訊安全測試的流程與計畫。並且定義資訊安全的目標與評估風險。

在指標的部分,需要收集企業內部與外部的一些資訊,以便建立起衡量標準。

所以在這個階段主要的工作分為三個階段,

SM1 : 建立組織內部的資訊安全計畫 + 評估企業風險

SM2 : 將應用程式與資料分類 + 建立並評估各類資料的資訊安全目標

SM3: 定期進行與業界標準的比較 + 收集歷史數據建立衡量準則

執行的步驟與成熟度為 SM1 > SM2 > SM3

也就是先建立整體資訊安全計畫 > 再針對資料分類與風險評估 > 收集歷史執行資料與業界比較

 

2. Governence > Policy & Compliance (PC)

這個部分主要是內部與外部法規上的考量。

例如 電子商務會有 PCI 的規範。

與個人隱私有關的資訊會有”個人資料保護法”,所以必須將這些法規併入資訊安全規範考量,

所以這個部分會有定期性的檢查與稽核,為的就是確定相關的程序有符合法規的規範。

PC1: 了解內部外部相關的法規與規範 + 建立遵循的準則

PC2: 建立符合規範的資訊安全政策與標準 + 建立稽核的機制

PC3: 建立每個專案資訊安全的出貨條件 + 針對稽核的資料作收集與分析

執行的步驟與成熟度為 PC1 > PC2 > PC3

首先,了解所處行業內部外部的法規限制與規範PC1 > 再根據企業內部狀況制定資訊安全政策與標準,並且定期的稽核 PC 2 > 最後針對每個專案訂定把關的條件。

舉筆者曾經任職軟體公司為例,

PC1: 內部外部法規的限制,例如加密解密的演算法,出口至美國需要一定的資訊揭漏

PC2:每個產品出貨都會經過法律審查的流程,標準的審查內容包含:是否有用 GPL/LGPL的license、加解密的演算法等,並且記錄每個產品所提供的這些資訊與法律上審查的結果

PC3: 針對每個專案出貨前,預期可以達到 2 產品瑕疵 / 每千行程式碼 ( 2 defects/ LOC) ,並且針對每個專案的狀況進行資料分析

這些就是 Governence > Policy & Compliance

 

3. Governence >Education & Guidance (EG)

最後一個,也是最重要最值得投資的一環,教育訓練

“預防重於治療”

要預防的好,並須靠教育訓練,讓大家有一定的資訊安全觀念

教育訓練可以透過電子、實體上課、競賽等方式讓員工了解資訊安全的議題

除了教育訓練與宣導之外,也提供員工一定遵循的守則。

同樣的分為三個階段進行

EG 1 = 資訊安全認知宣導與訓練 + 資訊安全準則

EG 2 = 針對不同的職務舉辦相關的資訊安全訓練 + 在每個專案實行資訊安全小老師

EG 3 = 建立內部資訊安全論壇平台 + 建立相關資訊安全專業認證

 

如果公司內部尚未有一個完整的資訊安全計畫,不防可以參考這三個方向,開始著手規劃適合公司的資訊安全政策與訓練計畫

Governence > Strategy & Metrics (SM)

Governence > Policy & Compliance (PC)

Governence >Education & Guidance (EG)

 

SAAM Overview

 

 

Leave a Reply

Your email address will not be published.