近年來,我們周遭的環境面臨無數的資安威脅,根據趨勢科技 2022 年度資安總評報告,2022 年資安威脅整體偵測數量提高了 55%,駭客無差別攻擊所有產業的消費者和企業,造成已攔截的惡意程式檔案數量暴增 242%。在這樣的情況下,政府也於近年陸續成立數位發展部、數發部底下的資安署、資安院,協助管理政策規劃、計畫檢核、督導考核,執行資安保護、演練及稽核,同時也制定「資安法」,要求公務機關及特定非公務機關必須取得 ISO27001 或 CNS27001的認證,在制定採購標準時,往往也會要求投標廠商須具 ISO27001 認證並於專案期間持續有效,各企業不得不跟上政府的腳步,致力於建立資安管理制度,為了保護資訊安全而採取行動。
ISO27001 是什麼?
ISO27001 究竟是什麼呢?ISO27001 是資訊安全管理系統(ISMS)的國際標準 ,提供所有產業、各種規模的公司企業一套建立、執行、維持及持續改善資安管理系統的指南,符合這套標準代表的是此組織具有安全地管理公司內部的數據安全、資安風險的能力,並能掌控其自身的風險管理、資安韌度和卓越營運。
ISO27001 目前受到全球的重視與泛用,大方向來看,這套標準重視著可併稱為 CIA 的三個要素:機密性(Confidentiality)、完整性(Integrity)和可用性(Availability)。
- 機密性指的是所有的數據原則上受到存取權限制,非相關人員是不可輕易接觸
- 完整性則是指所有數據不會因為不當的程序處理或是技術失敗遭到惡意竄改、毀損,而得以維持完整不變
- 可用性意即透過正當的授權,相關的人員可將數據資料用於商業需求或客戶支援。
制定這套標準的國際標準化組織(ISO)及和國際電工委員會(IEC)會適時調整內容,在 2022 年,ISO 27001: 2013 睽違九年宣布改版了!除了在名稱上調整,明顯地跟隨現今趨勢直接提及資安及隱私保護,在附錄 A 的控制項也有相當大幅度的修改。這意味著企業在換照時,勢必會面臨與過去不同的挑戰。
特別需要注意的是,組織企業應該在新版本公布後的 3 年內完成轉版,也就是 2025 年之前應該要完成,若企業原先 2013 年版本需要更新,在新版供公布後的 3 年內也還能辦理,但須自行注意證書失效期限。
除了 ISO27001,IT 人員可能也注意到國際上越來越多重視的安全架構:ITIL。
ITIL 是什麼?
在了解 ITIL 之前,首先想先解釋 ITSM 的概念。
ITSM,意即 IT 服務管理,包含了設計、創造、提供、支援及管理 IT 服務循環的所有活動。IT 團隊在組織內部不僅僅是出現問題時的救援角色,更是企業策略中的重要一環,透過有效、井然有序的管理方法,IT 工作將可昇華為一種服務,根據企業的需求調整工作內容,協助各個部門完成任務,發揮 IT 團隊真正的價值。
而 ITIL 的全稱是 IT 基礎架構資料庫(Information Technology Infrastructure Library),是一個讓 ITSM 能夠系統化的最佳實踐架構,協助企業管理風險、強化客戶關係及建立一個有成長性、規模及彈性的 IT 環境。ITIL 和 ISO27001 一樣經過過數次的調整,以現行的第四版來說,包含四大面向和七大原則:
ITIL 四大面向
- 「組織和成員」
此面向包含 IT 人員在組織中的角色、責任、技能及人員間建立的文化;組織的結構、治理、協作的溝通管道。這個面向涉及企業的 IT 策略、願景及目標,透過對於自身角色和期待全面的了解,與同事、客戶或任何相關人員的溝通都將會變得更有效率與透明,團隊對內及對外獲得的反饋及建議都能幫助 IT 人員發展出新的技術和能力,培養互信且創新的企業文化
- 「資訊和科技」
「資訊及科技」面向涵蓋所有創造、管理及提供 IT 服務會需要的資訊、知識、科技、工具,確保品質、安全、信賴度的標準、政策及實踐。 IT 人員必須時時關注新的趨勢及時事,選擇最適合的科技及工具完成工作。
- 「夥伴和供應商」
除了企業內部的合作, 對外尋求資源時應該根據其價值、風險及表現進行適當的檢核與評估,建立及維持相互有益的協議及 SLA(服務級別協定),定期溝通合作的進度,並監控外部合作夥伴的表現、適時給予回饋、及時排除任何問題和衝突。
- 「價值和流程」
在任何相關活動中了解並追蹤其帶來的價值及流程,積極辨識並提高成本的效益、管理風險,應用對企業、團隊可能有所幫助的工作方法,例如:敏捷概念、 DevOps等,讓提供的服務更加有效率、更加有品質,持續地改善和創新。
ITIL 七大原則
- 注重價值:了解受眾體驗及期待,賦予 IT 服務主觀價值
- 以起始為本:時時回顧起始,靈活運用現有資源,透過維持及優化節省人力
- 以持續的回饋彈性調整進度:透過相關人員的回饋反覆調整專案方向,以達成最佳效果
- 建立透明的合作模式:提供相關人員足夠的資料參考,以建立互信的合作關係
- 宏觀思考與作業:確認工作過程不會過度干擾其他人進度,以全面的角度觀察專案
- 保持簡單與實用性:比起傳統的方式,化繁為簡、創造價值才是最重要的
- 優化與自動化:使有限的資源價值最大化,減少不必的重複性手動作業
合規的好處
根據 ISO Survey 2021 版本,目前在全世界已經有超過五萬間公司取得 ISO27001 認證,臺灣更有超過千家企業取得,在全世界排名第九,表現十分優異。通過 ISO27001 能夠給企業帶來許多好處,最基本的是能夠符合法律的要求及規範、加強企業內部的資安系統,確保資訊安全,除此之外也可以連帶提升企業競爭力、增加信任感、並穩定公司內部營運穩定。
另一方面,根據市場調查機構IDC的分析顯示,企業在遵循ITIL的情況下,IT人員的生產力將可提升53% 、資訊系統中斷時間(Downtime)則縮減了31%,整體的ROI可望達到1296%。而 CIO 雜誌也曾介紹,P&G 透過執行 ITIL 、改善營運流程在四年間節省了五億美金的支出。
其實合規超簡單!
資安合規的重要性已經被大多數企業認可,然後執行上的困難、所需的大額資金也往往是企業面臨的兩大障礙。除了自建系統,現在有許多 SaaS 的服務已經可以替您省去這些麻煩!思想科技將替您整理您的工作中可能會需要的幾種工具的合規方法,為您一一介紹合規的情境、場景,協助您用最簡單的方法合規、最輕鬆的方式改善企業內部流程、最實惠的解決方案保護您的數據安全,同時,達成最高的效益!(敬請期待)
