實行全面的資訊安全方案,對企業相當重要──這已經不是祕密了。但是利用千篇一律的東西來建立一套安全方案,往往會事倍功半。採用經過實證的方法,根據您的企業需求來設計安全方案,才是最有效的途徑。
前言
人們逐漸知道,企業如果想要在越來越危險的網路世界裡發展進步,一定少不了有效的資訊安全規劃。可是,就像他們說的,要命的問題就出在細節上。
資訊安全政策、規範與程序,是一套多樣、彼此相關的文件,公司會根據這套文件,來管理及保護公司目前與未來運作所依靠的資訊。遺憾的是,關於資訊安全「政策」、「規範」與「程序」的討論,往往令人困惑──充滿誤解、錯誤的資訊,以及矛盾的定義。
從資訊安全的觀點來看,這幾個名詞不但在英語中沒有清楚的定義,更不容易翻譯成其他的語言。體認到這一點,就需要先為這幾個操作名詞下定義,讓使用任何語言的任何人都能夠清楚理解。
圖示說明:政策、規範與程序有何不同
要解釋這一套資訊保護文件,也許最好的方式就是畫圖說明:
安全政策說明「為什麼」(why) 要保護公司的資訊。
規範說明公司打算做些「什麼」(what) 來執行與管理資訊的安全。
程序則確切說明公司要「如何」(how) 達成上層規範與政策明文規定的要求。
安全政策文件
您必須注意的是,公司的「資訊安全政策」是單一的文件,清楚說明組織對於保全資訊財產方面所抱持的態度、控管要求以及信念。這份政策說明該政策適用的環境、人事與流程的範圍,以及不確實遵守政策的後果。「資訊安全政策」是公司普遍遵循的許多政策之一。其他政策所處理的通常是人力資源、設備與財務等重要領域。「資訊安全政策」應該配合這些其他的政策,而且要能相輔相成。
規範
「資訊安全規範」含有許多份文件,適用於使用資訊的所有企業面向。這些規範涵蓋實體、行政與邏輯 (技術) 方面的安全控管,目的是要保護資訊。通常,公司安全相關文件所有的內容與規劃,會定義在其中一份規範文件裡。很多公司會有幾十份資訊安全規範的文件。
程序
適用於某一特定工作、安全步驟,或是保護某一項資訊財產,在「規範」文件中會具體說明各種要求,而「資訊安全程序」則會詳細說明達到這些要求
所需執行的實際作業。
判斷資訊財產的價值
許多公司對於資訊安全採用亂槍打鳥的方式,認定所有的資料都需要保護。您應該看看您的公司是不是真的如此,以及您的公司是否對某些資訊保護過度,而對某些資訊卻又保護不足。
若要適當保護公司的資訊財產,就需要了解財產的類型以及其個別價值。以下再依序列出兩個簡短的定義:
資訊財產 - 任何和資訊有關並且是企業認為值得保護的設備、流程或資料。
資訊價值 - 資訊的相關價值或成本:
隱含價值
創造
儲存
維持與管理
只有考量資訊的價值,您才能判斷需要花多少心血來保護它。資訊的保護需要初步和後續的投資,無論是在硬體、軟體、儲存或人事方面。
在評估您的資訊所需的保護程度時,您必須牢記以下幾個基本指導原則:
如果資訊沒有價值,就不要保護它。
如果資訊遺失 (暫時或永久)、洩露或變更,並不會影響企業的運作,又何必儲存或保護?刪掉它吧!您可以省下一筆錢。
並非所有資訊的價值都相等──何必以同樣的標準來保護所有的資訊?
無論如何,都要進行風險評估與企業衝擊分析,了解您的資訊遺失 (暫時或永久)、洩露或變更可能造成的影響,才能判斷需要什麼程度的保護。除非做一次企業衝擊分析,否則您永遠不知道這項資訊到底是保護過度、不足或剛剛好。
最近,在紐約世貿中心災變期間,人們已經明白,資訊不只存放在電腦系統上,也存放在紙張上。保護您公司的重要資訊,應該包括利用紙張、利用電腦,以及其他非電子形式的資訊儲存。萬一資料無法復原,那麼失去某些類型的資訊可能就是某家公司的末日。
保護資訊不是瑣碎的小事,需要在管理方面投注相當大的努力與承諾才可能成功。
