GSS 技術部落格
在這個園地裡我們將從技術、專案管理、客戶對談面和大家分享我們多年的經驗,希望大家不管是喜歡或是有意見,都可以回饋給我們,讓我們有機會和大家對話並一起成長!
若有任何問題請來信:gss_crm@gss.com.tw
一、資訊安全的幾個誤導的觀念:
- 推動資訊安全會增加工作負擔,並影響組織的正常作業。資訊安全事故不會這麼巧就發生在我身上吧!
- 資訊安全就是要花錢,一次把錢花夠了,就能建立一套完美無缺的防禦體系。
- 資訊安全靠產品,只要有功能強大的「防火牆(firewall)」和「防毒軟體(anti-virus)」就夠了。
二、資訊安全的取捨:
- 資訊完全涵蓋的領域很廣,攻防手法又不停地演進,因此天下沒有絕對完美的防禦。資訊安全是一種取捨(Tradeoff) 。
- 人力與財力資源有限,因此需要在造成不安全的眾多因素中做取捨,應選擇將資源投資在最容易受到攻擊或是對組織衝擊最大的弱點上。
- 「安全」和「便利」之間需要做合理的取捨。過度防禦會造成使用者的不便,反而違背資訊科技給人帶來便利的初衷。
三、資安處理程序:
- 將資安事故的數量和嚴重性最小化。
- 組建資訊安全事故處理團隊。
- 定義事故處理計畫。
四、定期資訊安全檢測:
- 資訊安全檢測,除前次修補與矯正措施成效檢視之外,依據公司紀錄檔進行分析,並搭配相關檢測,確保黑箱與白箱測試之效果驗證。
- 記錄檔分析
- 個人電腦抽檢
- 門禁管制檢測
- 社交工程檢測
- 前次修補與矯正措施檢視
五、結論:
簡而言之,要發展資訊安全,企業要先訂下目標,短期到長期,有順序的列出目標清單,建立防禦措施來降低資安風險。
相關文章
評論
尚無評論