如何推動企業資安治理?從選擇有效績效指標開始吧!
文/ Greg (安碁學苑 專案處長)
我國政府推動資訊安全管理制度已有一段時間,特別是公務機關大多以導入資訊安全管理系統(Information Security Management System, ISMS)視為優先要達成的目標,並透過公正第三方驗證管理系統之有效運作,惟在機關內之分工,資安管理工作大多為資訊單位或資安專職(責)人員的責任,其他單位較少參與。
美國國家標準技術研究院(NIST)提出「網路安全框架(Cybersecurity Framework, 簡稱CSF)2.0」之前,已正式將識別(Identify)、防護(Protect)、偵測(Detect)、回應(Response)與復原(Recover)五個功能之防禦概念,放入ISO/IEC 27002:2022資訊安全、網路安全及隱私保護的控制措施中,幫助組織研議適當的控制措施。為了強調治理在制定網路安全政策與計畫中的重要性,並協助企業評估與優先處理重要風險,2.0版本中新增了「治理功能」並明確定義角色與責任。
由此可知,在現今數位化的環境中,資訊安全治理對於保護企業的資料和系統至關重要。有效的資訊安全治理不僅能防範潛在的網絡威脅,還能確保遵循法令法規和行業標準。評估資訊安全治理狀況需要一系列具體且明確的指標,這些指標能夠幫助企業全面了解其安全狀況並制定相應的改進措施。本文將列舉三個的資訊安全治理評估指標做介紹。
1. 合規性審核通過率
指標說明 | 合規性審核通過率反映了組織在遵守相關法規和標準方面的表現。它衡量組織是否達到法律、行業標準和內部政策的要求。此指標涵蓋了廣泛的合規要求,適用於各種行業和領域。其中指標有效性量測結果:高合規性審核通過率顯示組織在安全政策、程序和控制方面的嚴謹程度性。 |
選擇的原因 | 合規性審核通過率是一個優秀的資訊安全治理指標,通過系統化的合規性管理,組織可以在遵守法規的同時,保持高水平的資訊安全保護,從而有效降低風險並提升運營穩定性。選擇該指標的概略說明如下: l 確保法規遵循 合規性審核通過率直接反映了組織對相關法規、標準和政策的遵循情況。這些法規和標準(如ISO/IEC 27001、PCI DSS、NIST等)是根據最佳實踐制定的,旨在保護信息和系統的安全。通過這些審核,可以確保組織在法律框架內運營,避免法律和財務風險。 l 提升信任和聲譽 通過定期的合規性審核並保持高通過率,有助於提升組織在客戶、合作夥伴和監管機構中的信任和聲譽。這展示了組織對資訊安全的承諾,從而增加了其市場競爭力和公信力。 l 促進資訊安全管理體系的持續改進 合規性審核過程可以幫助識別安全管理中的弱點和缺陷,為持續改進提供依據。高通過率通常意味著組織的安全管理體系運行良好,並且在不斷優化和完善。 |
參考依據 | l ISO/IEC 27001:資訊安全管理體系標準,提供了組織在資訊安全管理方面需要達到的要求,並具有該標準遵循的審核指引。 l NIST SP 800-53:美國國家標準與技術研究所(NIST)發布的安全控制框架,規定了聯邦資訊系統和組織的安全與隱私控制。 l PCI DSS:支付卡行業資料安全標準,適用於處理信用卡資訊的組織,明確了必須遵守的安全要求。 其中NIST SP 800-53與PCI DSS都有具體的審核和評估準則。 |
2. 漏洞修補平均時間
指標說明 | 漏洞修補平均時間衡量組織修補已知漏洞的速度。快速修補漏洞可以防止攻擊者利用已知漏洞入侵系統,更代表組織能有效降低因漏洞導致的潛在風險。其中指標有效性量測結果:短修補時間顯示組織在發現和修補漏洞方面的效率。 |
選擇的原因 | 漏洞修補平均時間是一個優秀的資訊安全治理指標,因為它能降低風險暴露,維護系統完整性和穩定性,並幫助組織符合合規要求。選擇該指標的詳細說明如下: l 降低風險暴露 快速修補漏洞是防止潛在攻擊者利用已知漏洞的重要手段。漏洞一旦被公佈,攻擊者通常會迅速利用這些漏洞發動攻擊。縮短修補時間可以顯著降低風險暴露,減少被攻擊的可能性。 l 維護系統完整性和穩定性 漏洞修補平均時間衡量了組織在識別和修補安全漏洞方面的效率。及時修補漏洞能夠確保系統和應用程序的完整性和穩定性,防止因漏洞導致的系統崩潰或資料泄露。 l 符合合規要求 許多法規和行業標準(如ISO/IEC 27001、PCI DSS、NIST)都要求組織及時修補已知漏洞。保持短的修補時間有助於組織滿足這些合規要求,避免法律和財務風險。 |
參考依據 | l CIS Controls:網際網路安全中心(CIS, 網際網路安全中心)所推出的關鍵安全控制(Critical Security Controls),提供了關於漏洞管理與及時修補已知漏洞等要求,並提供具體的修補時間框架與指引。 NIST SP 800-40:計算機安全補丁和漏洞管理指南,描述了漏洞修補流程和時間管理。其中詳細說明了漏洞管理過程和修補時間的最佳實務指引。 |
3. 資安意識培訓覆蓋率
指標說明 | 資安意識培訓覆蓋率可衡量員工接受安全培訓的廣度。員工是組織安全的重要防線,培訓有助於提高整體安全意識。同時該指標能有效減少因人為因素引發的安全事件。其中指標有效性量測結果:高覆蓋率表明組織重視並定期進行安全培訓。 |
選擇的原因 | 全員與特定職務人員資安意識的提升,得以快速應變安全事件,且可以最大限度地減少損失和影響來設計應具備的安全意識,對組織的資安事件緊急應變處理能力有直接的關聯。選擇該指標的概略說明如下: l 預防和減少人為錯誤 人為錯誤是許多安全事件的主要原因。通過資安意識培訓,員工可以了解如何識別和應對常見的安全威脅,例如釣魚攻擊和社會工程攻擊。培訓提高了員工的安全意識,從而減少因疏忽或缺乏知識而引發的安全事件。 l 建立安全文化 資安意識培訓覆蓋率反映了組織在建立安全文化方面的投入程度。高覆蓋率意味著更多的員工接受了安全培訓,從而有助於在整個組織內部建立起一種重視安全的文化氛圍。這種文化能促使員工在日常工作中主動遵循安全規範和最佳實踐。 l 提升整體安全防護能力 培訓不僅僅是知識的傳授,更是能力的提升。通過定期的培訓,員工可以掌握最新的安全技術和防護措施,增強其在面對新型威脅時的應對能力。這對於快速變化的資訊安全環境尤為重要。 |
參考依據 | l ISO/IEC 27001:強調組織需對所有員工進行信息安全培訓和意識提升。其中包括要求組織進行定期的安全培訓和意識提升活動。 l NIST SP 800-50:美國國家標準與技術研究所(NIST)發布的資訊安全意識培訓計劃指南,提供了建立和運行有效培訓計劃的框架。在NIST SP 800-50使用指標的舉例中包括:表明安全事件或違規行為的減少、接觸意識訓練教材的用戶百分比正在增加、具有重大安全意識的用戶百分比接受適當訓練的安全責任正在增加等…,其中就包含有「表明現有意識和培訓覆蓋範圍與已確定的需求之間的差距正在縮小」。 |
上述三個指標提供了一個全面且具體的框架來評估資訊安全治理的狀況。它們不僅能幫助組織了解當前的安全水平,還能指導未來的改進方向。選擇這些指標是基於它們的覆蓋範圍、可量化性、直接影響、實際效果和可持續改進的能力(如下表)。
選擇原則 | 比較與選擇原則 |
覆蓋範圍 | 選擇的指標能夠全面反映資訊安全治理的各個方面。以上指標涵蓋了合規性、反應能力、培訓和漏洞管理。 |
可量化性 | 指標是可量化的,以便於追蹤、比較與分析。上述指標都具有明確的數值衡量標準。 |
直接影響 | 選擇的指標能夠對資訊安全有直接的影響和指導意義。例如,漏洞修補平均時間能直接影響系統的安全性。 |
實際效果 | 指標能夠反映實際的安全治理效果。例如,資安意識培訓覆蓋率,透過系統化互動和協作,強化如培訓設計與規劃、執行與參與度、效果評估、及持續改進培訓內容和方法等要素,能夠有效減少因人為因素引發的安全事件。 |
可持續改進 | 選擇的指標能夠有助於持續改進資訊安全治理。合規性審核通過率和資安意識培訓覆蓋率均能幫助組織識別並改進其不足之處。 |
當然還有許多可以做為資訊安全治理評估的指標,如:安全事件和事故應對能力、資訊安全政策符合性、與風險管理與評鑑等,其中在滿足組織營運目標的基礎上,所研議的資安管理策略中,最容易忽略的是「資安人力資源策略」,無論評估資訊安全治理成校係採用內部審計、外部評估或是基於標準化框架的評估,組織若對於人員資安意識與職能要求沒有完善規劃,往往就陷於「資安是資訊單位或資安專職(責)人員的責任」的窠臼,而無法全面地識別和解決資訊安全治理中的問題。
評估資訊安全治理狀況需要綜合考慮多方面的指標,才能全面了解企業的安全狀況和治理效果。通過持續監測和改進這些指標,企業可以不斷提升其資訊安全治理能力,有效防範各類安全威脅,確保業務的穩定運行和法律合規,提醒您不可不重視之。