2009最高稽密資安研討會

根據資料竊盜資源中心（The Identity Theft Resource Center，ITSC）於2009年1月6日所公布的報告，2008資料外洩件數總計有656件，比2007年的446件增加了47%。電子型態的資料外洩更以82.3%遠超過文件資料外洩的17.7%。而有通報的外洩資料總計為3570萬筆，但其中尚有41.9%的案例未通報，因此波及的資料筆數應該更多。依此比例換算，2008年外洩的資料約達8520萬筆。

商業機密往往是企業維持競爭力的關鍵，客戶名單與會員資料的保護更是關係著商譽以及法律責任，如何謹守門戶，落實資安政策就是企業永遠的要務。

iThome於2009年4月3日星期五所舉辦的最高稽密資安研討會裡， IT管理者、技術專家，以及稽核人員共同探討如何有效防止諸如研發、業務、個資等機密資料被外洩！



通過ISO 27001資安認證的注意要點
企業應先對於資訊安全管理與系統有足夠的認知，了解技術與管理是相輔相成的，並由企業的核心業務開始，確實了解風險的組成，從管理面機制、技術面、實體面來防護。

DLP做到企業完整防護控制
做好資料外洩防護（Data Loss Prevention，DLP），不僅保護個人資料、公司重要情資，也同時滿足了法規要求。

日本企業對資安重視程度高
目前全球有5,190個單位通過ISO 27001認證，日本就有接近3,000張，比例相當高。

防毒軟體是資訊安全的最後關卡
做好企業防護應注意：概念、管理、產品，才能抓到防毒的重點。通過ISO 27001資安認證的注意要點

臺灣票據交換所資訊室主任林占山

臺灣票據交換所在2007年已取得ISO 27001資安認證，並且也是臺灣第4個全組織通過這項資安認證的單位，對於遵循ISO 27001有充分的相關經驗。

對他們而言，因為本身共有16個分所，起初在管理上是各自為政，意見較不統一，因此希望透過更嚴謹的資安規範，讓標準作業規範能有更完善的管理準則去遵行，這也是當時導入的考量。

臺灣票據交換所資訊室主任林占山表示，臺灣多數通過資安驗證範圍的組織，絕大多數都以內部的資訊部門為主，而他們包括4個處室與12個科，因為組織並不算太複雜，業務也較為單純，便將其全部單位納進導入考量。

需了解規範重點
從ISO 27001的導入來看，企業應先對於資訊安全管理與系統有足夠的認知，了解技術與管理是相輔相成的。

林占山認為，要注意資訊保護的3方面：業務持續運作、業務損失最小化、投資報酬與商機最大化，這也是當初臺灣票據交換所考量的面向。

針對企業資訊安全管理考量，首先由風險開始評估，林占山也強調，透過適當的控制方法，把資訊風險降低到可接受的程度內，這是資訊管理系統的目標，也是其中最難的部分。

由於ISO 27001是規範資訊安全管理系統的要求，因此可以有系統地依此實施資訊安全管理，並進行改善。遵循時，林占山認為，初期考量要完整，後面才不易出問題，可依照PDCA（Plan、Do、Check、Act）的流程進行。而現行的ISO 27001共有11個控制要項、39個目標、133個控制項目，來因應企業運作的可能風險，進而實施標準的控制措施。

在這些要項之中，林占山表示，資訊安全組織控制要項中提到，要制訂資訊安全組織單位，而它很可能跟目前企業的行政架構不同，而是一種任務編組，而臺灣票據交換所就是採用任務編組，也就是：資訊面用資訊安全組織來控管，而行政面維持原來的行政組織型態運作。

其中還有值得注意的要項如：人力資源安全、實體及環境安全、通訊與作業管理、資訊系統取得、開發及維護與存取控制。這部分的執行目標的數目與管制方法的數目均不少，需要多留意，此外，在人力資源管理、通訊與作業管理等兩方面，在現今也變得越來越重要。

與業務結合，使人人有責
要做好資訊安全管理，應由企業的核心業務開始，並應確實了解風險的組成，從管理面機制、技術面、實體面來防護。當資訊安全管理系統建置時，首先需定義資訊安全政策與系統管理範圍。林占山表示，當管理的範圍越廣泛時，不僅複雜度高，付出的成本也高。

進入風險評鑑階段後，組織本身需依評鑑報告制訂風險處理計畫，再決定出風險管理範圍。如此，才能選取控制目標與控制點，制訂自動安全手冊，再接受認證機構的審核。林占山表示，要做好這項作業有個訣竅：在取得認證前，可以先請顧問公司實做、稽核，再請認證公司前來稽核，進而取得認證。

在臺灣票據交換所的經驗中，他們認為成功導入的要素可以歸納為2項。首先要能夠做到資訊安全政策能夠與業務結合，以及能得到全面管理階層的承諾與支援，這點在管理學方面來說是最重要的。此外，要能有效推廣資訊安全觀念、使資訊安全相關文件容易取閱，做到人人有責的共識，並且還要建置適切的資訊安全事件管理機制，以便具有完整的衡量與回饋機制。DLP做到企業完整防護控制

思科業務開發經理張志淵

資料外洩的最大途徑，除了不斷受到討論的USB、電子郵件，而即時通訊軟體、網路儲存空間、無線網路環境，也必須相對應機制來防堵。例如，就算不使用無線環境，企業也應有能力阻斷非法的AP，否則將是一個看不見的大漏洞。

思科業務開發經理張志淵表示，做好資料外洩防護（Data Loss Prevention，DLP），不僅保護個人資料、公司重要情資，也同時滿足了法規要求。企業要做到完整防護控制，在建立保護政策、連線安全、存取控制、控制內容方面，從外部到內部，都有解決方案可以達到防護控制，例如防火牆、郵件過濾、IPS、VPN與NAC解決方案等，確保內部網路上所有單點設備，都能夠遵照企業規章行事，不至於造成資安漏洞。日本企業對資安重視程度高

精品科技研發經理陳弘儒

要了解其他國家對資安的重視與落實，離我們很近的日本是一個不能錯過的對象。精品科技研發經理陳弘儒表示，日本的立法約比我國先進五年左右，他們的法律要求與規定，也讓日本的企業與政府非常重視資訊安全。

日本有個人情報保護法與J-SOX（日本版沙賓法案），還推動2個資安標準：Privacy Mark System、ISMS的ISO 27001。目前全球有5,190個單位通過ISO 27001認證，日本就有接近3,000張，比例相當高。陳弘儒表示，面對這些資安標準，其實藉助軟體工具即可對應這些要求，而不需要仰賴行政命令的人工作業要求。他以日本NTT集團導入精品科技的產品為例子說明，透過系統的強制性，可以確保達到認證的要求，避免資訊外洩問題發生。防毒軟體是資訊安全的最後關卡

臺灣二版產品經理盧惠光

惡意程式走向商業化發展的趨勢日益明朗，所以，企業對於資料安全的防護，要更留意有心人士對於重要資料的竊取手法，例如藉由惡意程式取得個人、信用卡資料等。

代理Eset NOD32防毒軟體的臺灣二版產品經理盧惠光表示，由於病毒、木馬的變種速度越來越快，所以，除了更新病毒碼資料庫之外，未知病毒的偵測能力也很重要，做法上，可使用新的已知病毒，來測試各家防毒軟體3個月前的版本。

電腦設備應安裝防毒軟體已成為常識，然而要提升資訊安全，防護方法還有不少，像是檔案接收前需先掃描病毒、定期資料備份、資料加密、不要使用P2P軟體及來歷不明的軟體。盧惠光也強調，做好企業防護應注意：概念、管理、產品，才能抓到防毒的重點。