支付卡營運標準的安全管理層次與精神
2018/08/16
部分初接觸 PCI DSS 支付卡產業資料安全標準的朋友們,在閱讀標準的過程中,很大一部份的思維會落入 “這個標準只看技術實施和落實” 這樣的情境。原因無他,PCI DSS 的第一個 Requirement 就是網路基礎建設的安全管控機制 (如下圖)。
其實仔細閱讀整個標準的內容後,筆者發現,在各個 Requirement 的章節中,都會出現對管理及實施要求,例如:
在儲存持卡人資料的必要性中,應建立有效的資料儲存和銷毀的政策、程序和執行步驟,包含至少以下的事項。
又或是要求組織應建立一套有效的資訊安全政策,並實施及落實到全體人員。
筆者在深入閱讀整份標準及其他相關文件之後,並參考其他業界標準 (如 ISO、NIST 等),深深體會 PCI DSS 並不只是技術實施而已,更深層的意義,在於建立一套有效管理的方法,同時考量全組織各種層級和權責,以發揮主動管理和技術到位的核心價值。
因此,筆者建議對 PCI DSS 有興趣的朋友,或是已經導入實施甚至通過 QSA 審查的組織,進一步思考,對於落實資訊安全的三個層次:資安治理、管理、營運。
有效的安全實施,必須包含三個層級,資安治理、資安管理以及資安基礎營運。也就是,要建立有效的資安基礎環境和管理機制,必須透過有效的資安管理過程來達成,不論是網路基礎建設、系統開發和營運或是環境安全管理等。透過PDCA的循環來思考,需要甚麼樣的資安基礎建設,來滿足至少現階段組織營運安全的目標。一旦建置完成,如何透過有效的監控機制來確保有效執行。藉由定期檢視相關監控數據,進一步思考是否需要調整。而這整個過程執行所產商的數據,是否能夠提供給高階主管作為決策的依據和判斷基準。
中階管理者蒐集到錯誤的訊息,做出錯誤的建議給高階主管,以至於高階主管作出錯誤的決策,導致基礎營運者無法有效實施並滿足整體風險管理目標,這樣的惡性循環,屢見不鮮。
資安治理、資安管理與資安基礎營運的管理要求和模式略有不同,但是他們的基本精神其實是一致的,也就是透過有效的方法來降低營運的風險。讀者可以透過參考各種國際標準或參考文獻,進一步了解其相關內容。筆者未來將陸續就各個層面提供說明。
因此,要認PCI DSS能夠有效的落實,組織絕對不能只靠幾位同仁埋頭苦幹,而是要各層級的管理者同步參與,各司其職,並確保信息正確傳遞、管道暢通,定期檢視與檢討,讓正向循環及安全管理目標能夠融入組織文化與政策,達到持卡人、商號、服務供應商三贏的局面。