Home / Resources / ISACA Journal / Issues / 2016 / Volume 1 / Managing Data Protection and CybersecurityAudits Role

管理資料保護與資通訊安全-稽核所扮

Author: Mohammed Khan, CISA, CRISC, CDPSE, CIPM, Six Sigma Certified Green Belt
Date Published: 17 November 2017
English

由於所涉及風險的性質,資料保護與資通訊安全是不能分開的。期它基本的假設是:所有資料無論是靜態的或是動態的,都會受到損害的威脅。

在醫療器械業可以看到這樣的一個主要例子。由於醫療器械的爆炸性創新,導致經濟和消費者/病患健康的進步,而在這行業上已經看到來自資通訊安全風險威脅的增長情景。美國是世界最大的醫療器械市場,市場規模大約1,100億美元,預計2016年將達到1,330億美元。1 此行業自21世紀初以來在創新方面有所增長,主要是由於出現技術提升,以及來自消費者和醫療保健從業人員想進一步提升病患護理品質的要求。心律器、輸液幫浦、作業室螢幕、透析機是一些常見的相關醫療設備 - 這些設備都保留且可能傳送病患和設備的重要資料到醫療專業人員以及其他收集資料的資源。

安全專家都說資通訊罪犯越來越是鎖定美國這3兆美元的醫療保健行業,其中有很多公司仍然依賴沒使用最新安全功能的老舊電腦系統。2 因此,醫療保健組織所通報的資通訊攻擊犯罪從2009年的百分之20增加到 2013 年的百分之40 , 這是根據 Ponemon研究所智庫對資料保護政策的一份年度調查報告。正如2014年一份對資料洩露成本的研究所揭示:由 IBM贊助的全球性分析,一個公司一次資料洩露事件的平均成本是350萬美元,這比前一年的平均成本超過了百分之15。3

尤其是隸屬在稽核功能單位的IT 安全專業人員所扮演的角色,要在第一線識別和幫助解決企業在全球運作層面所面臨不斷增加之威脅情境的風險。它的結果是每一個稽核功能單位應規劃時間找機會在他各自的企業裏進行資料保護與資通訊安全稽核,幫忙識別有什麼差距並且跟企業的關鍵部門一起工作輔助他們盡可能的減少和/或消除這些差距。

風險評估

首先,企業應該從管理高層定調開始,考慮對所面對的威脅情境進行一次風險評估。風險評估通常應該由企業層級的功能單位來負責,它可以是稽核功能單位跟各業務功能單位之間的工作組合,以確保共同努力能發揮兩者之綜效。風險評估是在幫助識別和解決因缺乏關鍵控制而在發生資通訊風險時可能加劇的差距。欲建立組織內部風險評估分析,有一個主要來源是美國認證公共會計師學會 (AICPA)所提供的框架。4

AICPA起草有一份白皮書,它著重以有效果(不一定有效率)的方式完成任務並達到目標,試圖簡化執行者對風險評估標準與作業的理解。5 透過把要評估的區域劃分為以下類別(圖一)是一種簡化風險評估的有效方法:

  • 了解業務。
    重要的是要從上游開始往下包括組織的基本面。這包括知道客戶是誰以及哪些關鍵產品是驅動企業的引擎。對美國公司來說,要進一步了解組織的知識有一個最佳的可用來源,就是去檢視 10-K表–一個美國證券交易委員會(SEC)所要求的年度報告。這個表全面的彙整公司的財務表現,它可以根據已經累積的知識進一步有助了解企業,並從業務和財務面建立風險觀點。
  • 了解組織的內部控制環境。
    健全的內部控制環境要素包括IT和交易層級控制的正確組合,它們是透過呈報控制失誤的管理作業以及源自該控制失誤的行動計劃所支持。一個組織的內部控制DNA是由該組織達成控制環 境資源的哲理、適應,誠信和立場所構成。
  • 部門間合作。
    • 在公司裡當談到要邀集各部門來合作處理關鍵業務、財務和法規方面的內部和外部風險時,稽核功能單位則是處於最佳的位置。要建置一個健全的風險評估方案,隱私長(CPO)、資訊安全長(CISO)、總稽核(CAE)和風險長(CRO)之間的合作至關重要。6
  • 總結及溝通所做的風險評估。
    風險溝通通常被定義成「在有關當事人之間針對一個風險的性質、幅度、重要性、或控制進行訊息交流的過程」。7 重要的是應該將組織所有的重要利害關係人包含在風險評估總結報告的收件人裏,如此可以在整個企業階層上理想地跟每一個關鍵業務和功能單位溝通。這樣有助於交付及全面執行計畫在該年度進行的稽核,並且為該次稽核能夠有一個清楚定義稽核與其相關風險的完整稽核計劃而鋪路。

資料保護與資通訊安全稽核的範圍

為提供資料保護與資通訊安全稽核一個有意義的範圍,組織內所有相關的區域都必須被考慮要包含在稽核的範圍內。應當被考慮在範圍裡的功能單位實體應該包括客戶維運、財務、人力資源(HR)、IT電腦系統和應用系統、法務、藥物主動監視、採購、法規事務、環境/實體安全、以及任何屬於這些區域而適用的供應商或第三方。特別是針對以下每一個區域,稽核人員應考慮將它視為稽核的一部分:

  • 位於本地資料中心的主要IT系統與應用系統:
    • 驗證IT系統與應用系統的安全管理機制,並包括含有機敏資料系統的記錄和監控
  • 人力資源(全職與臨時勞工):
    • 對於組織內有權存取高度機密資料之關鍵職位候選人的招聘和審查
    • 在兼顧公司和國家法律對員工的權利和隱私之下,管理到職程序與適當訓練,並且對特定職位是否遵循程序作必要的監控
    • 員工離職程序以及禁止競業與組織和產品智慧財產保密之協議
  • 內部協作工具的管理:
    • 企業內容和文件管理(ECDM)系統之使用和資料之處置:
      • 驗證組織裏協作工具與平台上同事之間共享資料的整體管理作業
    • 檔案的共享管理:
      • 組織各部門所使用大量共享文件的檔案管理和授權、透過適當的系統管理權限保護共享文件、以及關鍵共享文件的監控
  • 與第三方的互動及資料共享:
    • 從開始到結束管理合約生命週期,包括可以存取高度機密資料之關鍵供應商所使用的標準語言,包括病患的健康資訊與智慧財產
  • 個人電腦設備的實體保護與加密:
    • 防止員工及/或承包商竊取資料必要的內部和外部技術控制措施
  • 記錄存儲與管理:
    • 機密書面資料在現場和外場的實體安全,包括用作備份目的儲存於外場的電子磁帶
  • 事故的反應與處理:
    • 關鍵設備的電子化資產管理,包括筆記型電腦、桌上型電腦、伺服器和行動設備:
      • 從生命週期開始到結束的資產損失與報廢程序

結論

資料保護與資通訊安全之管理是所有組織必須妥善經營的關鍵領域。在華爾街日報所舉辦的一個資訊長(CIO)聯誼活動論壇中,與會的資訊長們對未來幾年應該優先推動的業務和政策給出了一些建議。而資通訊安全是那個活動及它相關特殊報告裏所提出的關鍵主題之一。

資訊長或資訊安全長(CISO)向執行長(CEO)或董事會報告時有一個主要的責任,就是要向他們闡述資通訊安全是怎麼轉化成營收數字來表達的。把安全事件付于金錢價值並且把安全和現實生活的商業案例結合,可以向高階管理階層以對他們有意義的方式展示資通訊事件潛在的衝擊。8

稽核的角色是要擁抱它所扮演組織關鍵成員的功能,必須在組織層面進行健全風險評估來超然的評斷組織對資料損失及預防的風險管理做法,並且提供有意義的資料保護與資通訊安全相關稽核。在透過組織員工資源及臨時勞工人力來應付不斷增加的資通訊間諜與內部資料惡意損失的威脅時,這將是有助於進一步提高組織成熟度水平的機會。

Endnotes

1 SelectUSA, “The Medical Device Industry in the USA,” http://selectusa.commerce.gov/industry-snapshots/medical-device-industry-united-states
2 Humer, C.; J. Finkle; “Your Medical Record Is Worth More to Hackers Than Your Credit Card,” Reuters, 24 September 2014, www.reuters.com/article/2014/09/24/us-cybersecurity-hospitals-idUSKCN0HJ21I20140924
3 Ponemon Institute, 2014 Cost of Data Breach: Global Analysis
4 While the AICPA framework is generally used for financial statements, it has proven to be a valuable framework for the general management and creation of guidance that embodies a generic model for other risk assessments—those that are not necessarily related to financial statements.
5 American Institute of Certified Public Accountants, “Risk Assessment,” USA, www.aicpa.org/InterestAreas/FRC/AuditAttest/Pages/RiskAssessment.aspx
6 Tsikoudakis, M.; “Collaboration Between Risk Management, Internal Audit Valuable: Report,” Business Insurance, 11 April 2012, www.businessinsurance.com/article/20120411/NEWS06/120419970
7 Covello, V. T.; “Risk Communication: An Emerging Area of Health Communication Research,” Communication Yearbook 15, Sage, USA, 1992, p. 359-373
8 Norton, S.; “CIOs Name Their Top 5 Strategic Priorities,” The Wall Street Journal CIO Journal, 3 February 2015, http://blogs.wsj.com/cio/2015/02/03/cios-name-their-top-5-strategic-priorities/

作者: Mohammed J. Khan, CISA, CRISC, CIPM, is a global audit, security and privacy manager serving the teams of the chief information security officer, chief privacy officer and chief audit executive at Baxter International. He has spearheaded multinational global audits in several areas, including enterprise resource planning systems, global data centers, third-party reviews, process reengineering and improvement, global privacy assessments (EMEA, APAC, UCAN), and cybersecurity readiness in several major countries over the past five years. Khan has worked previously as a senior assurance and advisory consultant for Ernst & Young and as a business systems analyst for Motorola.

譯者: 邵之美, CISA, ISO27001 LA,中華民國電腦稽核協會編譯出版委員會委員

Quality Statement:
This Work is translated into Chinese Traditional from the English language version of Volume 1, 2016 of the ISACA Journal articles by the Taiwan Chapter of the Information Systems Audit and Control Association (ISACA) with the permission of the ISACA. The Taiwan Chapter assumes sole responsibility for the accuracy and faithfulness of the translation.

品質聲明:
ISACA臺灣分會在ISACA總會的授權之下,摘錄ISACA Journal 2016,Volume 1中的文章進行翻譯。譯文的準確度及與原文的差異性則由臺灣分會獨立負責。

Copyright
© 2016 of Information Systems Audit and Control Association (“ISACA”). All rights reserved. No part of this article may be used, copied, reproduced, modified, distributed, displayed, stored in a retrieval system, or transmitted in any form by any means (electronic, mechanical, photocopying, recording or otherwise), without the prior written authorization of ISACA.

版權聲明:
© 2016 of Information Systems Audit and Control Association (“ISACA”). 版權所有,非經ISACA書面授權,不得以任何形式使用、影印、重製、修改、散布、展示、儲存於檢索系統、或以任何方式(電子、機械、影印、或錄影等方式)發送。

Disclaimer:
The ISACA Journal is published by ISACA. Membership in the association, a voluntary organization serving IT governance professionals, entitles one to receive an annual subscription to the ISACA Journal.

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and/or the IT Governance Institute and their committees, and from opinions endorsed by authors’ employers, or the editors of this Journal. ISACA Journal does not attest to the originality of authors’ content.

Instructors are permitted to photocopy isolated articles for noncommercial classroom use without fee. For other copying, reprint or republication, permission must be obtained in writing from the association. Where necessary, permission is granted by the copyright owners for those registered with the Copyright Clearance Center (CCC), 27 Congress St., Salem, MA 01970, to photocopy articles owned by ISACA, for a flat fee of US $2.50 per article plus 25¢ per page. Send payment to the CCC stating the ISSN (1526-7407), date, volume, and first and last page number of each article. Copying for other than personal use or internal reference, or of articles or columns not owned by the association without express permission of the association or the copyright owner is expressly prohibited.

免責聲明:
ISACA Journal係由ISACA出版。ISACA 為一服務資訊科技專業人士的自願性組織,其會員則有權獲得每 年出版的ISACA Journal

ISACA Journal收錄的文章及刊物僅代表作者與廣告商的意見,其意見可能與ISACA以及資訊科技治理機構與相關委員會之政策和官方聲明相左,也可能與作者的雇主或本刊編輯有所不同。ISACA Journal 則無法保證內容的原創性。

若為非商業用途之課堂教學,則允許教師免費複印單篇文章。若為其他用途之複製,重印或再版,則必須獲得ISACA的書面許可。如有需要,欲複印ISACA Journal 者需向Copyright Clearance Center(版權批准中心,地址:27 Congress St., Salem, MA 01970) 付費,每篇文章收取2.50 元美金固定費用,每頁收取 0.25 美金。欲複印文章者則需支付CCC 上述費用,並說明ISACA Journal 之ISSN 編碼(1526-7407)、文章之出版日期、卷號、起訖頁碼。除了個人使用或內部參考之外,其他未經ISACA 或版權所有者許可之複製行為則嚴明禁止。