• Web Security 24.09.2014

    資訊安全的管理面

    System-Security-Reader-2-icon

     

    根據 SAMM這個模型,

    管理面 (Governance) =

    1.Strategy & Metrics +

    2.Education & Guidance +

    3.Policy & Compliance

     

     

    就讓我們分別針對這三項說明

    1.Strategy & Metrics + 2.Education & Guidance + 3.Policy & Compliance

     

    1. Governence > Strategy & Metrics (SM)

    主要的目標是要建立起整個組織對於資訊安全測試的流程與計畫。並且定義資訊安全的目標與評估風險。

    在指標的部分,需要收集企業內部與外部的一些資訊,以便建立起衡量標準。

    所以在這個階段主要的工作分為三個階段,

    SM1 : 建立組織內部的資訊安全計畫 + 評估企業風險

    SM2 : 將應用程式與資料分類 + 建立並評估各類資料的資訊安全目標

    SM3: 定期進行與業界標準的比較 + 收集歷史數據建立衡量準則

    執行的步驟與成熟度為 SM1 > SM2 > SM3

    也就是先建立整體資訊安全計畫 > 再針對資料分類與風險評估 > 收集歷史執行資料與業界比較

     

    2. Governence > Policy & Compliance (PC)

    這個部分主要是內部與外部法規上的考量。

    例如 電子商務會有 PCI 的規範。

    與個人隱私有關的資訊會有”個人資料保護法”,所以必須將這些法規併入資訊安全規範考量,

    所以這個部分會有定期性的檢查與稽核,為的就是確定相關的程序有符合法規的規範。

    PC1: 了解內部外部相關的法規與規範 + 建立遵循的準則

    PC2: 建立符合規範的資訊安全政策與標準 + 建立稽核的機制

    PC3: 建立每個專案資訊安全的出貨條件 + 針對稽核的資料作收集與分析

    執行的步驟與成熟度為 PC1 > PC2 > PC3

    首先,了解所處行業內部外部的法規限制與規範PC1 > 再根據企業內部狀況制定資訊安全政策與標準,並且定期的稽核 PC 2 > 最後針對每個專案訂定把關的條件。

    舉筆者曾經任職軟體公司為例,

    PC1: 內部外部法規的限制,例如加密解密的演算法,出口至美國需要一定的資訊揭漏

    PC2:每個產品出貨都會經過法律審查的流程,標準的審查內容包含:是否有用 GPL/LGPL的license、加解密的演算法等,並且記錄每個產品所提供的這些資訊與法律上審查的結果

    PC3: 針對每個專案出貨前,預期可以達到 2 產品瑕疵 / 每千行程式碼 ( 2 defects/ LOC) ,並且針對每個專案的狀況進行資料分析

    這些就是 Governence > Policy & Compliance

     

    3. Governence >Education & Guidance (EG)

    最後一個,也是最重要最值得投資的一環,教育訓練

    “預防重於治療”

    要預防的好,並須靠教育訓練,讓大家有一定的資訊安全觀念

    教育訓練可以透過電子、實體上課、競賽等方式讓員工了解資訊安全的議題

    除了教育訓練與宣導之外,也提供員工一定遵循的守則。

    同樣的分為三個階段進行

    EG 1 = 資訊安全認知宣導與訓練 + 資訊安全準則

    EG 2 = 針對不同的職務舉辦相關的資訊安全訓練 + 在每個專案實行資訊安全小老師

    EG 3 = 建立內部資訊安全論壇平台 + 建立相關資訊安全專業認證

     

    如果公司內部尚未有一個完整的資訊安全計畫,不防可以參考這三個方向,開始著手規劃適合公司的資訊安全政策與訓練計畫

    Governence > Strategy & Metrics (SM)

    Governence > Policy & Compliance (PC)

    Governence >Education & Guidance (EG)

     

    SAAM Overview

     

     

    Posted by Tony @ 9:13 pm

    Tags: , , , , , , , , , ,

  • Leave a Reply

    Your email address will not be published.