支付卡营运标准的安全管理层次与精神

2018/08/16

部分初接触 PCI DSS 支付卡产业数据安全标准的朋友们,在阅读标准的过程中,很大一部份的思维会落入 “这个标准只看技术实施和落实” 这样的情境。原因无他,PCI DSS 的第一个 Requirement 就是网络基础建设的安全管控机制 (如下图)。

其实仔细阅读整个标准的内容后,笔者发现,在各个 Requirement 的章节中,都会出现对管理及实施要求,例如:

在储存持卡人数据的必要性中,应建立有效的数据储存和销毁的政策、程序和执行步骤,包含至少以下的事项。

又或是要求组织应建立一套有效的信息安全政策,并实施及落实到全体人员。

笔者在深入阅读整份标准及其他相关文件之后,并参考其他业界标准 (如 ISO、NIST 等),深深体会 PCI DSS 并不只是技术实施而已,更深层的意义,在于建立一套有效管理的方法,同时考虑全组织各种层级和权责,以发挥主动管理和技术到位的核心价值。

因此,笔者建议对 PCI DSS 有兴趣的朋友,或是已经导入实施甚至通过 QSA 审查的组织,进一步思考,对于落实信息安全的三个层次:资安治理、管理、营运。

有效的安全实施,必须包含三个层级,资安治理、资安管理以及资安基础营运。也就是,要建立有效的资安基础环境和管理机制,必须透过有效的资安管理过程来达成,不论是网络基础建设、系统开发和营运或是环境安全管理等。透过PDCA的循环来思考,需要甚么样的资安基础建设,来满足至少现阶段组织营运安全的目标。一旦建置完成,如何透过有效的监控机制来确保有效执行。藉由定期检视相关监控数据,进一步思考是否需要调整。而这整个过程执行所产商的数据,是否能够提供给高阶主管作为决策的依据和判断基准。

中阶管理者搜集到错误的讯息,做出错误的建议给高阶主管,以至于高阶主管作出错误的决策,导致基础营运者无法有效实施并满足整体风险管理目标,这样的恶性循环,屡见不鲜。

资安治理、资安管理与资安基础营运的管理要求和模式略有不同,但是他们的基本精神其实是一致的,也就是透过有效的方法来降低营运的风险。读者可以透过参考各种国际标准或参考文献,进一步了解其相关内容。笔者未来将陆续就各个层面提供说明。

因此,要认PCI DSS能够有效的落实,组织绝对不能只靠几位同仁埋头苦干,而是要各层级的管理者同步参与,各司其职,并确保信息正确传递、管道畅通,定期检视与检讨,让正向循环及安全管理目标能够融入组织文化与政策,达到持卡人、商号、服务供货商三赢的局面。