企業資訊安全治理與管理框架實作探討： 金融業個案研究

Abstract

金融業為國家資通安全戰略的一環，亦為資通安全管理法所定義之關鍵基礎設施之一，故在資訊安全(Information Security)工作的執行上，金融業皆需依循政府主管機關訂定之各項規範，規劃並執行相關工作，然而在面對更進一步資訊安全治理(Information Security Governance)的問題時，若仔細檢視各層級規範，在相關規範中，對於能明確協助金融業高階主管據以執行策略與管理架構之建議，則尚未看到有完整之串聯及論述。 為了協助金融業高階主管資訊安全治理的最佳實務思考，本研究採取個案研究法，結合筆者於EMBA課程中所學環境(Environment)、文化(Culture)、策略(Strategy)、組織(Organization)、人才(People)，簡稱ECSOP架構，及國際電腦稽核協會(ISACA)企業資訊安全模型(Business Model for Information Security)、美國國家標準暨技術研究院(NIST)網路安全框架(CSF)，提出資訊安全治理與管理框架實作建議，並利用以下七項步驟，期望提供金融業參考，以協助有效建立資訊安全治理機制，並進一步提高資訊安全治理成熟度： 一、 審視內外議題權重，擬定資安策略。 二、 依據組織資源特性，設計治理架構與資安權責。 三、 校準金檢查核重點，持續完備資安規範。 四、 順應國際主流趨勢，培育資安人才發展。 五、 鞏固縱深防禦，慎選資安合作夥伴。 六、 建立資安韌性與金融生態聯防體系。 七、 形塑全面資安文化，提升資安治理成熟度。 最後本研究以某金融業實例，驗證所提出的「資訊安全治理與管理框架實作建議」對金融業的適配性與可行性，並提出可依據下列指標評量資訊安全治理成效： 一、 資安治理成熟度評估結果。 二、 內外部稽核缺失數量。 三、 資安人才證照比例。 四、 接受並通過資安培訓的人員的比例。 五、 社交工程演練點擊率。 六、 專案如期如質如預算達成率。 七、 關鍵風險指標達成率。 八、 發生作業風險事件等級之資安事件數量。 九、 資安事件通報查處回應成效。 十、 作業符合服務水準及復原時間目標等指標。 本研究期望可提供金融業高階主管參酌評估所擬訂的資訊安全治理策略是否適當，所投入的防禦資源是否適量，及所衡量的績效指標是否適切的呈現資安治理成熟度。