2024 年

2024-03-27

---

推動資安治理，打造組織資訊安全基礎
產品經理 林承億

在當今數位化快速發展的時代，資安治理（Information Security Governance）成為企業和政府機構不可忽視的一環。資安治理不僅是一套策略或流程，而是一種確保資訊安全策略與組織目標一致的架構，它涵蓋了管理層的承諾、組織結構、政策、程序和技術等多個面向。

什麼是資安治理

資安治理涵蓋在組織層面上制定和實施與資訊安全相關的策略、程序和控制措施，目的是保護組織的資訊資產免受威脅和攻擊。它包括技術、管理和操作層面的決策與行動，致力於保障資訊安全策略與組織整體目標的一致性。

資安治理的好處

資安治理可以為組織帶來以下幾個好處：

• 風險管理：資安治理幫助組織識別、評估和處理資訊安全風險，減少潛在的損失。
• 合規性：通過遵循相關法律、法規和標準，資安治理確保組織避免法律風險和罰款。
• 決策支持：提供一個框架，幫助組織做出與資訊安全相關的明智決策。
• 提升信任：強化包含客戶等利害關係人對組織在保護資訊安全方面的信任。

台灣推動資安治理的策略

台灣政府在推動資安治理方面已採取具體步驟以及時程，期望能打造安全可信賴的數位國家。根據國家發展委員會網站提供資訊，評估內容包括策略、管理、技術 3 大面向以及 11 個流程構面，設計 41 個檢核項目。

參考：國家發展委員會-政策新知04-政府機關資安治理成熟度評估機制 (ndc.gov.tw)

這些措施與 ISO 27014 資安治理標準的實踐步驟相呼應，後者為資安治理政策推動提供了一個參考框架，確保資訊安全策略的有效實施與持續改進。ISO 27014 標準中的五個主要步驟為：評估（Evaluate）、指導（Direct）、監視（Monitor）、溝通（Communicate）和保證（Assure）。

1. 評估（Evaluate）：評估是指對組織的資安風險進行識別、分析和評估，以確定組織所面臨的資安威脅和漏洞。評估的結果應為組織制定資安策略和措施提供依據。
2. 指導（Direct）：指導是指為組織的資安管理提供方向和指導。指導的內容包括制定資安政策、建立資安管理體系、提供資安教育和訓練等。
3. 監視（Monitor）：監視是指對組織的資安狀況進行持續的監控和檢查，以發現和應對資安事件。監視的內容包括對資安系統和設備的監控、對資安事件的調查和分析等。
4. 溝通（Communicate）：溝通是指在組織內部和外部進行資安溝通和宣導。溝通的內容包括資安政策和措施的宣導、資安事件的通報等。
5. 保證（Assure）：保證是指提供合理的保證，以確保組織的資安目標得以實現。保證的內容包括建立資安管理制度、制定資安應急預案等。

以上所述的資安治理五大步驟，不僅是理論上的指引，實際上也被各個組織廣泛應用於日常的資訊安全管理中。

以 Openfind 的 Mail2000 郵件系統為例，管理者可以透過 Mail2000 的管理者操作紀錄（圖1）和異常登入警示功能（圖2），實踐資安治理中的評估（Evaluate）、監視（Monitor）以及保證（Assure）。管理者操作紀錄功能使組織能夠追蹤和審查關鍵的系統變更，這有助於保證資訊安全的透明度和責任追蹤。同時，異常登入警示功能為組織提供一個機制來評估潛在的安全威脅，並即時反應異常發生狀況，這有助於提升組織對於資訊安全事件的警覺性和反應能力。這些功能都可以協助組織保證其資安目標得以實現。透過追蹤和審查系統變更，以及監控異常登入行為，組織可以確保其資安措施有效。

圖 1.  管理者操作紀錄

圖 2.  Mail2000 異常登入警示

另外兩個原則指導（Direct）及溝通（Communicate）則可透過以下方式來實現：

1. 制定並定期審查資訊安全政策和程序，確保與組織目標一致。
2. 提供足夠資源和管理層承諾，支持資訊安全策略的實施。
3. 定期進行資訊安全培訓和意識提升活動，提升員工資安意識。
4. 建立有效的溝通渠道，快速傳達資安政策、事件和變更。

資安治理是企業和政府機構在數位時代不可或缺的管理策略。透過有效的資安治理，組織可以提升資訊安全防護能力，降低資安風險，並促進組織的整體發展。

台灣政府近年來積極推動資安治理，並制定了相關評估機制和標準，以協助組織提升資安成熟度。企業也應積極響應政府政策，並結合自身需求，建立完善的資安治理機制，以確保資訊資產的安全。