安全與合規

前言 前陣子在 DevOpsDays Taipei 2023 參加了一場 OST，該場討論的主題是《DevOps 與資安的平衡（ISO 27001）》，當中聊到了 DevSecOps 成熟度模型（DSOMM）時，有位與會者提到兩年前有人成功運行了 DSOMM，但現在那個方法已經失效，不確定現在組織要怎麼自己架設 DSOMM 的網站… （…突然感受到我該更新兩年前所寫的 DSOMM 文章了…🧐）於是這篇文章就出現啦！ 不過 DSOMM 的概念與組織如何運用與先前的介紹差異不大，所以本篇不會太著墨在 DSOMM 介紹，對於 DSOMM 有興趣的讀者可以先參考之前的介紹文：DEVSECOPS 成熟度模型（DSOMM）。而本篇主要會針對以下幾個變化進行介紹： DevSecOps 的成熟度級別 ISO 27001:2022 的對照 基於團隊的評估 自行架設 DSOMM 網站 一、DevSecOps 的成熟度級別 如同大多數的成熟度模型（例如：CMMI、DMM）將成熟度分為五個級別，今年 DSOMM 亦將成熟度從四個級別重新劃分為五個級別1：

你的企業是否早已有一套施行已久的 IT 服務管理（IT Service Management, ITSM）流程？ 以目前使用最廣泛的 ISO 27001 國際標準來看，ISO 27001 藉由全面性的指引協助企業建構資訊安全管理系統（Information Security Management System, ISMS），來達成資訊安全的三個主要目標 CIA： ISO 27001 基於 「規劃－執行－檢查－行動」（Plan-Do-Check-Act, PDCA） 循環過程來落地並且持續改善資訊安全管理系統，企業為了因應 IT 服務管理通常會設置專職團隊，並由該團隊推動企業內的資安治理，來確保企業所使用的資訊系統（內部服務）與所提供的資訊服務（外部服務）之安全性。該團隊亦是變更管理、稽核、資安事故的最後一道把關人。 有些經營決策者認為當 IT 邁向 DevOps 轉型時，只要將 DevOps 套上既有系統性的資安管理就可以快速地實現 DevSecOps。然而，傳統資安有幾個顯著 DevSecOps 落地的阻礙：

以客戶為中心是每個成功的企業所努力的方向！為了能夠更了解客戶，企業無不竭盡全力留存客戶的相關訊息，並且希望從中了解客戶的需求。隨著資料的範圍與量的增長，個資外洩所引發的企業風險正在慢慢地累積！ 可曾思考過或許你並不需要承擔如此大的風險？ 其實，企業可以把握 Privacy by Design (隱私納入設計) 的原則，並且將隱私融入DevOps 來有效地去除風險！ Privacy by Design (隱私納入設計) Privacy by Design 的概念是在 90 年代，由 Ann Cavoukian 博士所提出。從 GDPR 將其納入條文的作為，便可以知道這概念對於個資保護的重要性，而它的確也為企業提供了如何在個資使用與商業價值之間取得平衡的方法。這個概念主要包含了七大原則： 主動而非被動，預防而非補救 (Proactive not Reactive, Preventative not Remedial) 隱私為預設原則 (Privacy as the Default Setting) 隱私內植於設計 (Privacy Embedded into Design) 雙贏思維與決策 (Full Functionality – Postive Sum, not Zero Sum) 資料全生命週期的保護 (End-to-End Security – Full Lifecycle Protection) 透明公開 (Visibility and Transparency – Keep it Open) 以使用者為中心，尊重使用者隱私 (Respect for User Privacy – Keep it User-Centric) 從這七大原則不難了解，個資保護並非期望企業犧牲商業利益，而是希望企業與其客戶之間的利益取得平衡。

資訊安全管理系統（ISMS）對企業資產的全面保護加上 DevOps 對數位產品價值的驅動力，為企業帶來四大顯著價值： 1. 規範式敏捷 組織可基於最小可行治理原則達成企業目標，同時又能讓創新與響應變化保持彈性。 2. 降低成本 以自動化的方式進行持續整合、測試與交付，取代原先耗費大量人力與紙本的繁瑣驗證。 3. 可視性 以價值流為出發並以數據作為驅動，提升整體流程與資訊的透明度。 4. 業務持續性 透過關鍵指標的建立、持續性監控與快速響應，提升企業數位業務的韌性。 無論以利害關係人、工程人員或是稽核人員的角度，透過 DevOps 的實踐可大幅地促進組織在 ISMS 實施與審查的效率，讓企業在顧及安全性與可靠性的同時，保持市場的競爭力。 CPHT 擁有豐沛的實務經驗與領域專家，能夠為企業打造基於安全與有序的 DevOps 顧問與培訓方案。歡迎進一步了解我們的企業服務。