(三) 不同的范围
范围界定是规划资讯安全管理系统(ISMS)的导入及实施的关键点,组织通常会细分为较小的ISMS范围(例如:与特定专案、服务或政策等相关的ISMS)。在任何一种情况下,范围都决定了资讯安全管理的控制措施、界限及适用性。范围将由以下因素决定:
- 组织的业务
- 相关利害关系者的需求和期望
- 目前的组织结构
重要的是在一开始就正确定义并与相关等级最高的利害关系者达成一致(例如行政院资通安全处或者是重要客户的要求),确认相关系统的执行适用资讯安全要求。组织通常具有与资讯安全相关的多个范畴,资讯安全的整体范围虽然可能被定义为全组织,但是在大多数情况下,整个组织要通过认证(如ISO/IEC 27001或PCI DSS标准)的难度很高。根据本人的稽核经验,验证过的组织仅有一家是全组织导入及验证。因此,组织应考虑具有多个较小的范围,每个范围都适合其所包含的资讯所需的保护。例如,PCI DSS稽核的范围是透过仅保护信用卡持卡人资料来确定的。从缩小范围开始进行导入,也可以增加成功的机会,并在合理的时间内实现ISMS的目标。
(四) 如何定义ISMS的范围
- 识别需要保护的内容
组织到底需要保护什麽?很可能需要保护众多的资讯资产,以支持组织实现其营运目标。重要的是要了解组织认为哪些是最重要的,因此建议采用基於风险的优先顺序的方法来确定范围。为了确定资产实际上值得保护,组织应列出每项资产需要保护的理由。初始的时候可以将ISMS的范围定义为仅包括特定流程、服务、系统或特定部门,再来逐步扩展ISMS范围,或者创建另一个具有不同要求和保护的独立范围。为了使范围完全清楚,特别是对第三方而言,识别不在范围内的内容(例如人力资源、会计部门的活动)是一项基本的工作。无论哪种方式,范围都应根据要保护的业务目标和资讯资产明确定义所包含的内容,并且应该明确指出超出范围的其他任何内容。
- 监督和审查
ISMS、政策、审查或专案的范围不是一成不变的,可能随着环境、威胁、技术和要求的发展而需要逐渐调整。因此,范围界定不应该於专案开始时进行一次然後不再检讨修正;相反地,应定期监测和审查范围和/或根据重大变化进行审查。当进行稽核(无论是内部稽核或是第三方验证)时,稽核员应该做的第一件事就是审查和评估范围的适当性。可能影响/改变ISMS范围的因素包括:
• 时间依存性:特定ISMS和/或安全专案的范围可能仅适用於特定时间段,例如合约期限
• 监管环境的变化
• 更改/更新标准和/或第三方要求
• 组织变更:例如组织改组或迁址
• 识别不符合和/或指示不正确范围的事件
• ISMS的整体成熟度(范围可能会随着时间的推移而增加,逐步扩大)
• 流程和做法的变化(例如停止某些不再需要的活动)
• 外包服务
- 委外和第三方
委外可以定义为「将组织中部分或全部资讯系统功能,转交给外部服务供应商去完成,如应用系统开发与维护、系统操作、网路管理、系统规画及应用系统软件采购等」,云端服务可以定义为「IaaS:云端服务提供者爲使用者提供云端环境的基础架构(如服务器、储存及网路等),使用者在云端服务提供者的基础架构中建构自己的平台和应用程序,以便能够开发、管理与交付应用程序;PaaS:除了基础架构以外,使用者可以选用云端服务提供者预先建置的工具套件来开发、自订与测试自己的应用程序;SaaS:使用者不必於他们的本地端装置上安装应用程序,应用程序位在云端环境上,透过 Web 或 API 存取,使用者可透过应用程序储存、分析资料,或协同进行」,几乎所有组织都会将某些活动外包给第三方,某些第三方活动被认为是理所当然的,经常被人们所习惯及忽视,例如清洁团队、废物清除承包商以及会计师,他们的活动可能没有受到详细审查,但他们可能拥有最高级别的存取权限。
组织希望或需要将其部分(或全部)IT委外的原因有很多,随着资讯技术的变化和发展非常迅速,将组织的某些IT解决方案委外或使用云端储存/服务可能更具成本效益。外部托管服务还可以提供组织内无法提供的专业IT知识和支持。如果管理得当,委外IT或云端技术不会比管理内部IT环境带来更大的风险,并且可以说风险更小。但本人曾经稽核过一个组织,业务承办人员在办理活动时使用GOOGLE表单蒐集参加客户的个人资料(未使用组织本身资讯系统),当问及为何如此做的原因,承办人员回覆,组织的系统或资讯安全风险较高,使用GOOGLE安全性较高,但是在活动结束时,承办人员从GOOGLE将个人资料删除,它真的代表已经确实删除了吗?再者,如果发生个人资料外泄事件时,GOOGLE会负责吗?这一段作业是否在我们ISMS范围内,如何对这种作业执行管控,这都是在订定范围的时候需要考量的,所以采购或管理不善的委外或不适当的云服务提供可能极具风险。使用云端服务时,可能会有多方参与整个服务的提供,例如:基础设施和软件服务可以由不同的组织提供。在此背景下确定范围将清楚地了解所涉及的系统组件以及每个服务提供商的安全责任。这些安全要求应包含在任何合约协议中。实施安全的责任可能是由委外的人负责的,但问责制度很难建立(如同前面的案例),因此在这种情况下理解ISMS的范围非常重要。简而言之,在满足某些安全要求时,委外功能或流程将属於ISMS的范围。