ISO 27001 资讯安全管理系统 【解析】(三十二)

三、认知
前面有说过资讯安全的基本要素其中之一是人员，人员是最重要也是最难管理的，综观所有资讯安全事件，大部分都与人有关。资讯安全不是架设一个防火墙或是安装防毒软体、监控设备就可以达成的，若员工缺乏责任感、不知道哪些流程规範可以遵守、没有适当的培训，导致员工不了解正在做的事情会危害资讯安全，这才是资讯安全管理最需要面对的议题。资通安全管理法的子法中有一个「资通安全事件通报及应变办法」，一般我们在资讯安全管理系统内也会订定类似的规範，如果组织能够做好与员工的沟通与认知，一定会减少资讯安全事件的回报件数吗？答案是否定的，当员工更加了解这些规则后，为了避免本身的责任以及资通安全事件通报及应变办法的处罚，资讯安全事件回报的数量可能会比提升员工认知前要更多。至于数量多代表没有做好资讯安全吗？这很难去判定，但可以确认的是，员工更加了解自己在做甚么以及自己的责任在哪里。安全的意识不会凭空产生，组织必须订定相关作法让员工都能知道资讯安全政策、对ISMS有效性及改进资讯安全效益之贡献以及不遵循ISMS要求的可能影响。培养资讯安全认知可以透过下列步骤来执行：
(一)计画準备
对于所面临的威胁以及条文内要求之事项，计画及準备在认知上所要採取的行动(通知方式、週期)与员工与外部相关人员要认知的资讯，例如：安全条款、资安事件回报等，可定义不同的人员执行不同的认知训练，例如：IT人员、线上服务人员、高阶主管等。
(二)执行认知做法
依照计画的步骤方法及期程对人员进行认知的做法，做法可以包含製作文宣、小册子、标语或警示，以加强认知的效果。
(三)实际演练
组织可藉由实际演练来加强认知的行为，公务机关行之有年的社交工程演练、将带有警示的USB放在随手可得的地方或者将带有机敏性资讯的纸张放入回收箱等，都可以实际了解员工对于认知的实践，当然也可以在认知的培养过程中展示一些实际的案例，也有助人员能应对相关的资讯安全事件，例如：密码强度的破解、骇客手法等。
(四)持续进行
一次性的认知活动通常不足以让人员产生警觉或实际了解资讯安全的重要性，应定期性不断地持续认知活动，并且将认知融入日常活动中，例如：每日资安通报、用萤幕保护画面显示资讯安全警语等。
(五)确认了解所要认知的讯息与行为
执行完认知的做法后，必须评估认知的有效性，通常以测验或是实际测试来确认人员是否真正认知而且能够依照条文要求，去知道需要知道的事项。
在此举一个某企业进行认知的做法供大家参考：将需要员工认知的事项(个人资料保护、资讯安全要求)做成文件，以电子邮件方式寄送给员工，要求员工确认收到电子邮件且认真阅读，并于阅读完毕后执行相关测验，测验成绩在例行会议中检讨，要求员工落实认知事项。