第一節、 研究結論
一、 客觀可行的績效衡量指標
本 論 文 就 技 術 管 理 面 、 營 運 管 理 面 , 設 計 資 訊 安 全 績 效 評 估 架 構 (Framework),作為企業衡量資訊安全績效良窳的依據。各項績效評估指標遵循
「S.M.A.R.T.」原則,可客觀與準確計算,免除人為主觀判斷的差異。各指標均量 化為單位如小時、次數、百分比等,各項指標可以合理的代價(時間、金錢、人 力)有效取得,具備可操作性。有了適當的績效評估指標,則管理階層可以有效 衡量與評估投資效益是否合理,哪些項目需要加強、哪些部份在預期之中。
二、 回答管理者關心的投資效益問題
在發生資訊安全事件以後,本論文依據所造成的影響,參酌銀行作業安全作 業安全損失的認定方法,計算實際財務損失,可以精確的衡量投資效益。在非銀 行領域,依照我國個人資料保護法的罰則,計算賠償的金額,供實際負責的管理 者衡量資訊安全營運管理的投資效益。以上方法,可以廣泛用來衡量不同企業的 損失,並能精確的反應負面影響的範圍與大小。透過真實個案的探討,回答企業 高階管理階層最關心的資訊安全績效問題:
投入的資訊安全成本,是否獲得「合理效益」 ?
要「投資多少」資源,才能達到安全的程度?
資訊安全的狀態「比」過去好嗎?
三、 盡責管理
(Due Care)的證明
各種資安事件層出不窮,就算所有的安全機制均穩定與有效的運作,也不能 保證絕不會有新種惡意程式或攻擊手法,此類事件發生依舊會對企業產生危害與 損失。此類事件發生時,企業首要證明是否已經採取必要且符合現有科技平均水 準的管理作為,盡職的保護企業資源、員工與客戶免受資訊安全事件的危害。個 資法通過後,要求企業必須採行適當之安全措施,以防止個人資料被竊取、竄改、
毀損、或洩漏。企業需確認對於所擁有的個人資料,已經有善盡善良管理人的職
責,將個人資料外洩的風險盡可能降到最低。
資訊安全的政策制訂與各項防護機制的施行良窳,對企業高階經理人至關重 要,有了這些績效評估指標,可以證明企業善盡 "due care" 與 "due diligence" 的 有力證據;一旦公司的資產遭到不當的使用或破壞,相關資安政策文件與資安營 運管理的各種日誌與數據,企業是否盡善良管理人之注意義務,將影響企業需負 擔過失責任的賠償規模的大小。
有訴訟發生時,企業若已經採用符合當今科技水準的管理措施,並且可以提 出各種數據與佐證,證明善盡善良管理人的責任,可將企業賠償責任降到最低,
是對企業永續經營與股東權益最好的保障。
第二節、 後續研究建議
本論文就資訊安全營運管理的角度,設計績效衡量指標,瞭解營運管理的效 率與品質,並進一步評估投資績效。在投資績效部份,仍有幾個值得後續探討的 方向,值得後續研究釐清:
本論文的真實個案,其投資績效是以付給委外資安專業廠商的合約金額 為評價的基礎。就銀行與醫院療機構個案而言,確實有很高的投資效益。
但反過來從資訊安全服務供應商角度,所收的服務費用定價是否合理?
是否與對客戶所獲得的效益取得平衡?本論文尚未討論。一個極端的例 子是委外廠商定價過低,導致全部資訊安全服務案都獲得很「高」的投 資報酬率,是否代表委外廠商應酌予提高服務費用,取得平衡?
對於沒有發生資訊安全案例的客戶,其投資績效又要如何計算?各種安 全控制均有效防患損失於未然,全年度都沒有發生因資訊安全衍生的損 失。也就是說整體健康狀況在很好的狀況之下,那是否代表委外廠商的 服務費用可以酌予降低?
本論文設計的績效評估指標項目很多,未來可考慮研究綜合所有指標,
計算一個最終的積分或燈號(如綠、黃、紅燈),這樣可以讓高階管理者 一目瞭然營運管理的狀態,更為直覺與簡單。
有關資訊安全營運管理績效評估的研究,目前仍然很缺乏,這是值得耕耘與
深入研究的資訊安全管理題目,唯有客觀與有效的衡量方法,可以讓企業經營者 與資訊安全提供者,取得雙贏的成果,降低企業營運風險,最大化企業營運績效。
參考文獻
[1] A Complete Guide to the Common Vulnerability Scoring System, Version 2.0, Forum of Incident and Security Teams (FIRST) and the Common Vulnerability Scoring System-Special Interest Group (CVSS-SIG)., June 2007.
[2] Maizlitsh B. and Handler R., IT Portfolio Management: Step by Step, John Wiley
& Sons, 2005, p. 53.
[3] COBIT 4.1 - Control Objectives for Information and related Technology, IT Governance Institute (ITGITM), 2007.
[4] Conficker, Wikipedia, , http://en.wikipedia.org/wiki/Conficker
[5] Doran, George T. "There's a S.M.A.R.T. way to write managements's goals and objectives." and Miller, Arthur F. & Cunningham, James A "How to avoid costly job mismatches" Management Review, Nov 1981, Volume 70 Issue 11.
[6] Federal Information Security Management Act (TITLE III—Information Security), December 2002.
[7] ISO/IEC - Information technology — Security techniques — Information security incident management, First edition, 2004-10-15.
[8] ISO/IEC 27006 - Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems.
[9] Jaquith Andrew, “Security Metrics, Replacing Fear, Uncertainty, and Doubt”, Addison Wesley, 4th Printing, October 2008.
[10] The New Oxford American Dictionary, Second Edition, Hardback, Mar 2005, ISBN13: 9780195170771, ISBN10: 0195170776, Oxford University Press.
[11] Zavidniak Paul, Dr. D’Amico Anita and McCallam Dennis H., “Achieving Information Resiliency”, Information Security Technical Report, Vol 4, No. 3 (1999) 54-62, Elsevier Science Ltd.
[12] 九十四年度國家資通安全技術服務與防護管理計畫:資安規範整體發展藍 圖。執行機構:財團法人資訊工業策進會。行政院研考會委託。
[13] 中華民國 97 年電腦應用概況報告,行政院主計處電子處理資料中心,中華民 國 98 年 9 月編印。
[14] 台灣金融卡多元應用-網路 ATM 之應用與發展,李成全,財金資訊季刊第 64
期,2010/03/30。
[15] 金管會銀行局 98 年 7 月 27 日銀局(法)字第 09800303590、09800303591 號函,
由銀行公會與聯徵中心共同研商於 98 年 12 月前辦理作業風險外部損失資料 庫。
[16] 金融機構自動化服務概況,行政院金融監督管理委員會銀行局統計室,
2010/11/15。
[17] 計算機信息系統安全等級保護管理要求,GA/T 391-2002, 中華人民共和國公 共安全行業標準,2002/7/18 實施。
[18] 總統令:個人資料保護法,中華民國 99 年 5 月 26 日,華總一義字第 09900125121 號。
[19] 國家資通安全政策研討會,行政院國家資通安全會報,中華民國 98 年 6 月。
[20] 淺談 BASEL II,蔡明熹,
http://blog.sina.com.tw/ases_1995/category.php?pbgid=33445&categoryid=13468 2,2007/10/01。
[21] 慎選合適的企業防火牆,資訊與電腦 208 期(民國 86 年 11 月):頁 95-96。
[22] 資訊安全通訊:Vol.14 Number 1, P11, 中華民國資訊安全學會。
[23] 銀行公會 98 年 8 月 10 日全風字第 0980002071A 號函,作業風險資料報送。