現今與資安有關的可不只是資訊部門管理的資訊系統而已,更大的安全風險是業務流程上的問題。
日前行政院做了一件罕見的事,政務委員張善政在一個公開演講場合,說明行政院今年度的資安稽核結果,首度指出「行政院陷入高度的資安風險」。
行政院在每年 9 月、10 月都會針對重點機關實施資安稽核,但過去未曾對外公開談論稽核的結果。正所謂家醜不外揚,更何況是資訊安全這等內容敏感的問題。然而,資安專家時常引述孫子兵法「知己知彼,百戰不殆。」的心法,來說明資安意識的重要性;若對自己的情況不甚了解,是不可能在資安攻防戰獲勝,況且,在多數的攻擊事件中,發動攻勢的駭客早已占盡優勢,使得攻防局面一開始就處於不對等的狀態。倘若我們再不面對問題,甚至還隱匿問題,使得訊息不通透,那麼就只是讓駭客繼續得逞罷了。
張善政所指行政院處於高度的資安風險,是稽核結果顯示政府機關在資安管理與資安技術的失衡。有些機關雖已遵照規定落實資訊安全管理政策,但是資安技術能力卻明顯不足,一旦遇到緊急資安事件,可能就會難以應付;而有些機關的情況則是相反,資安技術能力較強,但未落實資安管理制度。
資訊安全專家時常以木桶理論與鍊條理論來解釋上述狀況。木桶理論是指,木桶的最大裝水量,取決於最短的一根木材。這是說以好幾根木板圍成木桶,若其中有一根木板比其他的短,那麼木桶裝滿水的高度就是這根短木板的長度,因為超過此水位就溢出來了。而鍊條理論則是說,鍊條的強度取決於最弱的一節,因為只要其中一節斷了,鍊條就沒作用了。
這兩個道理其實都是一樣的,說明了資安防護的各個環節必須有一致的水準,所以不論資安管理政策或資安技術何者為強,只要其中一個不符標準,就有致命的弱點。因而張善政才會說:「不均衡的發展讓行政院陷入高度的資安風險。」
針對今年行政院資安稽核的結果,行政院資訊處處長趙培因提出 3 個面向的 6 個共通問題,在政策面上,雖然一級機關普遍都取得國際資訊安全管理制度ISO 27001的認證,但實際的情況是認證範圍只及少數部門,而不是整個機關都通過資安認證。例如有的機關只是資訊部門通過資安管理制度認證,然而現今與資安有關的可不只是資訊部門管理的資訊系統而已,更大的安全風險是業務流程上的問題;此外,資安預算不足則是長久以來的問題。
管理面的共通問題,則是業務承辦人員對資安意識的不足,以及個資保護的宣導與訓練不足;技術面的問題則是對員工自帶設備的管制不確實,以及網路服務的安全控管措施。
其實大家對這些資安問題都不陌生,有些甚至是老生常談了,然而,解決問題最重要的就是先正視問題。敢於指出問題需要勇氣,決定公開政府的資安問題,更需要很大的魄力。對於行政院這次的作法,我們應該給予鼓掌。
友善連結 : http://www.ithome.com.tw/itadm/article.php?c=84005
SafeNet資訊安全保護鎖系列,歡迎來電借測!
正新電腦提供 [ 借測活動 ] 並且提供借測使用上的技術指導。
有意借測者,歡迎來電洽詢詳細借測內容或有關資訊安全相關問題。
正新電腦:www.pronew.com.tw 04-2473-8309
留言列表
