上一篇 資安合規全攻略(一):ISO27001改版!合規其實超簡單?!我們提到了 ISO27001 改版,並介紹了資安管理系統國際標準 ISO27001 及 IT 基礎架構資料庫 ITIL,兩者在資安合規的框架下都能夠大大幫助企業,但也因為規範複雜而讓許多企業卻步。在這篇文章中,我們將焦點再度放回 ISO27001,與您分享實行面的相關觀點,並以 ITSM 工具 Freshservice 為例,以系統化的服務突破合規可能面對的困境。
ISO27001 如何執行? 你必須知道的 4W1H
[What] ISO27001 是什麼?
前一篇已經詳細敘述過,在這裡就用其核心概念清楚但簡單地帶過幾個重點:
「從確認資訊資產價值進行相關風險評估,找出需要被保護的資產,與應該關注的潛在威脅,來制定包含管理階層承諾的資訊安全政策,和明確的資訊安全目標,對風險評估結果進行風險管理,在風險處理計劃採取相應的控制措施。」
[When] 何時建議導入 ISO27001?
組織在各個不同發展和營運階段都有其適合導入的時機和方式,較常見的情況為:
- 因應持續增加的法規要求
- 作為承包商或合作夥伴時的第三方保證
- 證明對資訊安全重視的競爭優勢
[Why] 為何選擇符合 ISO27001?
國際上除了 ISO27001 以外,尚有 SOC 2 、NIST 800-53 等資訊安全標準可供參酌與遵循。對於企業組織來說,ISO27001 擁有完整的風險管理、適用非特定產業,以及專業知識門檻不高等特點,相對於其他標準較容易實施與認證。
[Who] 哪些人需要配合實施 ISO27001?
ISO27001 的執行與實施需要整個企業組織中許多角色的配合,一個完整的 ISMS(資訊安全管理系統)的框架規範了建立、實施、維護和持續改進安全流程的要求,其職責分佈如下:
- 管理與領導階層須針對 ISMS 分配必要的資源
- 資安小組負責開發、實施和管理安全流程,風險評估和控制實施,以及識別風險和緩解控制
- 資訊部門對於資訊安全防護技術方面的實作和支援
- 其他在 ISMS 已定義範圍相關的各部門主管、業務流程負責人、設施經理、人力資源經理、內部審計員等,都肩負不同的定義明確的角色、職責和權限
唯有企業組織成員相互協力,才能使 ISO27001 有效實施、持續改善並發揮其真正意義。
[How] 如何取得 ISO27001 認證?
當面對第一次導入與驗證,企業大多偏好聘任專業的資訊安全顧問,顧問會為組織建立一套適合的程序、對成員進行教育和培訓、創建文件記錄,經內部審查後再選擇合適的認證機構進行評審。然而每年一次的實地審查,資安小組常常遇到下列問題:
- 成員對程序難以理解或是不熟悉,導致審查不順
- 受稽人員異動,不易在短時間內交接,出現斷層
- 統計資料需要量化,耗時費日
- 週期性任務未能有效執行,欠缺的部分補充耗費人力及時間
- 分散的紙本文件記錄,難以快速整理及統一
若是成員在日常作業中就能輕鬆遵循程序、產生文件記錄,並更有效率地歸檔及進一步製作統計報告,資安小組將能在短時間內掌握整個 ISMS 框架的樣貌、通過實地審查。當企業將整個 ISO27001 作業流程系統化,這個假設即可成真,而選對系統化的工具更是重中之重。
系統化 ISO27001 ,輕鬆執行、順利通過認證
為了協助企業組織更加輕鬆地符合及通過資安認證,市面上出現了許多系統工具以滿足流程數位化、電子化的需求。因為 ISO27001 的框架規範涵蓋了企業組織內部各個部門、各項作業程序,實務上,多是由資安小組制定記錄文件模板,交由各個單位自行填寫完成,或是由日常作業系統生成,過程中就容易遭遇前段所述的種種窒礙。
「有沒有一套工具可以囊括整個組織的作業流程,集中管理 ISO27001 要求的程序書,且只要使用這個系統作業,就可以將過程以電子化的記錄保存,符合稽核要求?」
事實上,ISO 組織並未建議或認證過任何流程管理工具來達成合規性,但 ISO27001 要求作業程序須依循程序書進行並產出記錄,若想將所有作業流程整合到單一平台,這個系統勢必得支援包含資訊(IT)、人資(HR)、財務(Financial)、法務(Legal)、總務(Facilities)所需功能的最低要求。
既然 ISO27001 是對於組織中資訊安全規範的框架,參照 ITIL 標準開發的 Freshservice 便非常適合導入到作業流程,依照制定的程序書進行設置後,各部門的相關作業將可全部在專屬的平台上申請,可完全依程序執行,同時平台上也會自然留下稽核記錄,免去另外填寫表單的繁瑣工作。
我們透過 Freshservice 的畫面,簡單示範 ISO27001 的導入過程:
1. 需求分析和計劃:
首先,我們應該要確定您的組織需要遵循 ISO27001 的哪些部分,以及哪些控制項是必要的。評估您目前在這些領域的表現,並確定需進行的改善作為,隨後制定一個實施導入的專案,確定時間表、負責人和目標。
Freshservice 當中的「專案」功能,即為一個內建的專案管理工具,提供各個部門不同預設模板套用,只要簡單修改就可快速投入實用。
2. 建立資源庫:
當企業組織內部在執行相關程序時,難免會遇到許多問題,若是這時能夠有個資料庫,讓人員隨時可以查看,不僅可以減少資安小組的負擔,也可確保相關人員對程序的理解是完整的。
資安小組可在 Freshservice 中建立共同資源庫,將相關資訊,包括文件、政策、程序和指南上傳系統,也可設計適用的表單及欄位,幫助相關人員更輕鬆的了解稽核內容。同時,更帶有權限控制,讓資料的保存更加安全。
3. 定義流程和控制措施
Freshservice 提供工作流程自動化功能,資安小組可預先定義 ISO27001 所需的流程,例如風險評估、資產管理、存取控制等,當相關人員執行作業時,便會依循預先設定好的步驟,確保資安防護能被確實執行。同時,資安小組也可透過 Freshservice 自動追蹤和管理,為每個控制項指定責任者和監控機制。
4. 執行風險評估:
Freshservice 包含問題和變更管理功能,可協助資安小組執行定期的風險評估,識別潛在的資訊安全風險,建立風險評估報告並追蹤風險處理計劃。
5. 執行培訓活動:
ISO27001 要求企業組織內部必須安排資訊安全相關的培訓活動,然而對於中大型組織來說,發起、規劃、安排、指派參加人員、掌握參與人員學習進度、整理參與人員意見回饋是個大工程。若是導入 Freshservice ,負責人員可在系統中建立訓練計劃,以確保組織內的人員瞭解 ISO27001的重要性和要求,同時透過系統追蹤訓練進度和參與情況,並留存訓練記錄。\
6. 監控和稽核:
Freshservice 提供完整報表,包含報告和分析功能,將所需的資訊視覺化,資安小組可一鍵導出相關數據,定期監控及追蹤 ISO27001 的遵循情況及稽核計畫執行。
7. 持續改善:
在風險評估、有效性評估、安全事件、內部稽核、管理審查、外部稽核這些發現點獲得持續改善的機會後,資安小組於產出矯正與預防措施時,有其需要遵循的方法以及執行的相關人;Freshservice完善的變更管理便易於留下這些作業涉及的程序變更管理記錄,並將改善措施佈達給必要相關人,或對於相關人是否完成要求進行追蹤管理。
以上列舉步驟僅為一個概述,實際的 ISO27001 系統化實施可能會更加複雜且涉及多個層面的操作,且應根據各個企業組織的需求和實際情況來調整和設置。Freshservice 作為一款本身即符合 ISO27001 的系統化工具,包含了服務管理、資產管理、營運管理等完整功能,除了用於 ITSM (資訊服務管理),也可廣泛用於整個組織。Freshservice 介面清楚簡單好上手,支援包含來自前台、Email、Slack、Teams 等管道的溝通需求,對於API 的支援度更便利您介接現有環境已使用的系統,緩解人員對於作業方式改變的衝擊可確實並有效提升企業組織的營運效率,並簡化、自動化 ISO27001 認證的繁複工序。
思想科技 Master Concept 建議您,在導入過程中應審慎評估自身企業的現況,尋求 ISO27001 的專業顧問或資訊安全專家的幫助,以確保系統化過程的成功和有效性。
