如果機敏資料未經盤點,便不知曉需要被保護的資料在哪裡?是否有遺漏與疏忽?若沒有分類與鑑價,便不清楚哪些資料的價值與重要性最高?需要特別的保護與『降低』或者『轉移』風險?便不清楚哪些資料雖有風險,但是因為價值風險不高,在資源有限狀況下,其風險可以被『接受』,這個道理如同產險一樣,價值越高的不動產其保費較高,立論簡單也合理。
透過機敏資料盤點降低成本、提升效果
但是在資訊安全的領域,企業卻不知需要如何進行?因此如何對機敏資料加以分級,找出(Discover)哪些資料是公司營運的核心資產,或是個人資料保護法的標的,例如個人身分資料、營業秘密、財務資料、原始碼、策略計畫、客戶資料、產品設計、資料庫等,也就是一件很重要的事情了。
此外就如大多數的科技,資安產品仍舊有限制,最大的問題在於成本,全功能的內容過濾監控產品價值不斐,從數千到數十萬美金不等,計價方式通常以單一設備、遠端代理程式或偵測節點以及用戶數來計價。但,透過分類、整理機敏資料的方式卻可以得到非常好的保護效果,不論是人工進行分類,或者藉由一些自動化的資產盤點工具,如:Google搜尋系統、StoredIQ的資訊分類與管理平台。有效整理機敏資料,可以讓不常使用的機敏資料加密,將合理的縱深防禦措施應用於作業系統之上,包括強韌的存取控制、嚴謹的檔案權限設定以及使用者權限的最小原則等,好處多多。
此外,某個資訊資產可能具備多個先天的弱點,每種弱點可能的的潛在威脅可能僅有一個,也可能是一個弱點卻有多種威脅,所以經過資產盤點分類的鑑價、弱點分析、威脅判斷、發生機率的推演及每種威脅的導致損失比例的層層分析,便可以完成所謂的資訊安全管理系統中的最重要的「風險分析(Risk Analysis)」階段。藉由機敏資料的盤點,完成最基本卻也最重要的部分。
機敏資料盤點須從業務營運面思考定義
首先就是要配合公司營運階層及業務單位來定義,在工作流程中會產生出哪些資料?存放在何處?其存取權限的定義表(Access Control Matrix)。再根據其要價值與等級該採用何種保護機制,以及何時套用?但是,機敏資料的分級措施總是相當困難,也最讓資訊單位怯步,因為,組織的傳統包袱(資料量)多到無法想像,並且太過於繁雜多樣,資訊單位往往無法明確定義資料的分級方式,各業務單位也可能因為表達不同意見,導致資料分級無法有效執行。
台灣中小企銀當時的經驗,是從風險評鑑中去劃分出標準,雖然顧問公司也提供過去的經驗跟作法予以參考,但仍有許多工作必須要資料擁有者自己決定。由於每個單位的定義往往都不同,當時台灣企銀也經過很多次的內部溝通才得以完成,台灣企銀資訊部副理郭清雲舉例,就像台灣企銀的分析設計一科、分析設計二科的工作內容雖然一樣,可是業務卻不同,今天訂的標準分類,過兩天可能又變了,也可能是對資料的分類有些想法,但為了要讓標準一致,必須來來回回的討論。郭清雲認為,每家企業都要視自己的資源、組織架構來規劃。
資料分級有賴主管決心
而這種跨部門的溝通,當然是必須來自於高階主管的支持。這部份建議的解決方式為:「主管決心、全體共識及系統輔助」,意指老闆只要下決心,全體必然有共識。並且,資訊單位只要制訂資料分級的作業程序並進行文件化,後續流入稽核管理PDCA流程,即可有效達成並持續檢討改善。
高階主管沒有資安風險的危機意識,將會導致資安人員無法獲得組織力量,必須獨立完成資訊資產的盤點、分類與鑑價,進而無法提出資安的成本效益分析來善盡告知責任讓企業主充分了解資安與企業營運的重要相關性。
例如富邦金控在獲得高階主管支持與認同下,甚至還自行開發硬體資訊資產管理系統,結合條碼設備,大幅提升了機敏資料的盤點效率。
友善連結 : http://www.informationsecurity.com.tw/article/article_detail.aspx?aid=6784
SafeNet 資訊安全保護鎖系列 , 歡迎來電借測 !
正新電腦提供 [ 借測活動 ] 並且提供借測使用上的技術指導。
有意借測者,歡迎來電洽詢詳細借測內容或有關資訊安全相關問題。
更多產品資訊來源 : www.pronew.com.tw
正新電腦 TEL : 04-2473-8309
留言列表
