在做資安風險評估和防護前,我們不能馬上就衝去修漏洞、裝防火牆,應該要先「看清楚整個環境」,這個步驟就叫做 全景建立。
想像一下,你要保護一棟大樓,一定得先知道大樓有幾層樓、有幾扇門、哪些地方比較脆弱吧?全景建立就是幫助我們看清楚整體狀況,之後才好制定防護計畫。
全景建立的三個重點
① 了解內外環境:有哪些風險來源?
我們要先識別自己機關的「外部」與「內部」環境:
- 外部環境:會影響組織運作的外部因素。
- 例如:法規政策、社會文化、政治情勢、經濟與科技發展趨勢
- 內部環境:組織自己內部的運作情況。
- 例如:管理制度、組織架構、每個部門的角色與責任、資源與人力能力
② 訂出風險評估的基本準則
為了讓風險評估有標準可依,我們要先規劃與定義風險管理基本準則:
- 風險管理做法:可依據風險管理的範圍與目標採用不同方式。例如,先透過高風險評鑑進行初步篩選,再針對風險較高的項目執行詳細風險評鑑。
- 風險評估準則(Risk Evaluation Criteria):主要用來判斷風險處理的優先順序,協助決定哪些風險應該先處理。
- 衝擊準則(Impact Criteria):當外部威脅結合內部弱點,導致資訊或資通系統的機密性、完整性、可用性(C.I.A.)受到破壞時,所造成的影響程度。通常依嚴重性分為低、中、高三級。
- 風險接受準則(Risk Acceptance Criteria):用來界定哪些風險可以接受、哪些需要處理。當資源有限時,部分風險可選擇接受並保留。不同機關對於 C.I.A. 三大要素的重要性排序不同,因此風險接受的準則也會根據實際情況進行調整。
③ 界定風險範圍:我們要保護哪些資訊系統?
也就是要盤點所有要保護的資訊資產,範圍可能包括:
- 機關內部系統
- 資料庫
- 網路設備
- 各類應用服務系統
這一步非常關鍵,因為沒被列入的東西,後面就不會被保護到!
誰負責做這些事?風險評鑑不是只有資安人員的事!
一個好的風險評鑑計畫,需要來自跨部門的人一起合作,組成風險評鑑組織:
小小總結!
做資安不是一頭熱直接動手,而是先「看清楚全局」,找出風險在哪裡、怎麼評估、什麼時候處理,這樣後面才不會亂成一團!
