支付卡营运标准的安全管理层次与精神

其实仔细阅读整个标准的内容后，笔者发现，在各个 Requirement 的章节中，都会出现对管理及实施要求，例如：

在储存持卡人数据的必要性中，应建立有效的数据储存和销毁的政策、程序和执行步骤，包含至少以下的事项。

又或是要求组织应建立一套有效的信息安全政策，并实施及落实到全体人员。

笔者在深入阅读整份标准及其他相关文件之后，并参考其他业界标准 (如 ISO、NIST 等)，深深体会 PCI DSS 并不只是技术实施而已，更深层的意义，在于建立一套有效管理的方法，同时考虑全组织各种层级和权责，以发挥主动管理和技术到位的核心价值。

因此，笔者建议对 PCI DSS 有兴趣的朋友，或是已经导入实施甚至通过 QSA 审查的组织，进一步思考，对于落实信息安全的三个层次：资安治理、管理、营运。

有效的安全实施，必须包含三个层级，资安治理、资安管理以及资安基础营运。也就是，要建立有效的资安基础环境和管理机制，必须透过有效的资安管理过程来达成，不论是网络基础建设、系统开发和营运或是环境安全管理等。透过PDCA的循环来思考，需要甚么样的资安基础建设，来满足至少现阶段组织营运安全的目标。一旦建置完成，如何透过有效的监控机制来确保有效执行。藉由定期检视相关监控数据，进一步思考是否需要调整。而这整个过程执行所产商的数据，是否能够提供给高阶主管作为决策的依据和判断基准。

中阶管理者搜集到错误的讯息，做出错误的建议给高阶主管，以至于高阶主管作出错误的决策，导致基础营运者无法有效实施并满足整体风险管理目标，这样的恶性循环，屡见不鲜。

资安治理、资安管理与资安基础营运的管理要求和模式略有不同，但是他们的基本精神其实是一致的，也就是透过有效的方法来降低营运的风险。读者可以透过参考各种国际标准或参考文献，进一步了解其相关内容。笔者未来将陆续就各个层面提供说明。

因此，要认PCI DSS能够有效的落实，组织绝对不能只靠几位同仁埋头苦干，而是要各层级的管理者同步参与，各司其职，并确保信息正确传递、管道畅通，定期检视与检讨，让正向循环及安全管理目标能够融入组织文化与政策，达到持卡人、商号、服务供货商三赢的局面。