給NxO組織的資安實作建議(一)

本照片由 Bing AI 產生

注意! 我並非什麼資安專家，因此，以下的文章內容，純粹是個人在組織內的做法分享，不符合任何法規或所謂的「標準做法」，若您有更好的做法，請多多給予建議，我們可以一起前進(或請您帶領我們前進)。

我是某 NPO 組織的資訊人員，我假裝您們不知道我是哪個組織的，哈哈哈! 以下是我的個人分享，也是一份給我組織的紀錄，以便後進者(新進同仁)可以參考(叫同仁每年做一次，哈哈哈)。

在正式開始之前，先講一下心情:

最近，只要外出參加 資訊安全 的課程，都一直被恐嚇，因為最近，某銀行因資安問題被金管會罰了上千萬，所以這件事，資訊(資安)公司都會拿出來，告訴你，資安沒做好，到時候就看著辦，還不趕快把錢拿出來...

這事一直被提及，有好有壞，壞處就是組織內的資訊人員，可能備感壓力，我們 NPO、NGO組織，大部分在 資訊安全 上本就量能(能力、人力、財力...)不足，我在聽課時就常常覺得"不如歸去"，做什麼不好，非要在非營利組織負責資訊，搞不好還要被連坐處罰。

好處是這個案例，可以拿來說服主管，多多投注一些金額(財力)在資安吧，先做好預防，總是比被處罰好吧!

人生的每個作為，都可以選擇由「恐懼」驅動，還是選擇由「愛」 驅動。

雖然對資訊人員來說，資安的恐懼無所不在(心裡煩憂)，要買這個什麼來保護資料庫，要導入那個什麼來防電腦綁架...等，但，我們就盡力而為吧，為了保護我們的資助人、服務對象...等，也算保護駭客無法得手(積功德嗎?)，哈哈! 讓我們「由愛出發，做好資安」吧。

好! 廢話完畢。

第一件要做的事，資訊系統盤點。

哇! 突然覺得好像很多事要做呢?

請原諒我，本文只講跟【電腦資訊】方面比較相關的事，我們資訊人員實在權限沒有大到可以管【人】，但【人】也是資安的風險因素之一，另，紙本文件的部分，本文也不提(就是用櫃子鎖起來啦)，請記得以上的提醒...就好了吧?

好，先翻箱倒櫃把組織內會用到的 所有 資訊系統找出來，然後把點點滴滴記到一份 Excel 中吧! 以下是 Excel 大概的格式，個人角度，僅供參考:

資訊系統盤點範例格式

好的，我並不打算提供現成的表格給您，因為想要您自己動手去做。每個欄位應該用您自己的角度，自己組織的狀態去思考，要不要這個欄位，這個欄位要怎麼寫，寫些什麼?

以下，我簡單列舉上面的範例欄位，簡單的欄位就快速略過，有點難填的就說明我的思維給您參考。

1.【資產名稱】、【說明簡述】、【使用單位】、【合作廠商與聯絡人】

以上這幾個欄位如字面所述，不特別說明，略過。

2.【資產種類】欄位:

這個欄位寫法很多種，建議以您所能理解的語言(詞彙)來將此系統分類就好，自創也沒關係，我有舉例的部分之後會分別細說，但實際上的分類有可能會更多，可能是下列幾種可能:

網站系統: 簡單，這個資訊系統就是一個網站囉!

這個部分，視期主機所在位置不同，我會分三篇來分享經驗，分別是「地端租用空間(您不會進機房)」、「自租或自建機房(會需要進機房)」、「雲端(如:Azure)」

電腦應用程式: 從過去的電腦歷史走來，應用程式的範圍就有點複雜了，可能還可以分成 "單機版"(只在某電腦上可以用)，或 "Client(單機)/Server(伺服器)" 架構(要有個主機，主機沒開，單機就無法作業)。

我在這裡用 "應用程式" 這詞，是形容他就是要打開一個軟體(APP)，然後才能連接到系統，在應用程式內操作資料的意思，不是那種直接打開網頁，登入就能操作的系統。

設備: 一個獨立的裝置，您要說他是一台主機也可以啦。像 NAS(Network Attached Storage 網路附接儲存裝置)，說他算設備還是主機呢? 您自己決定吧! 我這裡用 "設備" 這個詞來歸類，而不使用主機。

不過採用「設備」這個詞，是因為~ 比如~ 您有自己的機房的話，「防火牆機器裝置」就比較明確是一個設備，他應該也要受到管理的。

企業網路服務: 這個項目明顯的範例大概有兩個，就是像 Office 365 系統 或是 Google Workspace 有幾種，應該也是有其他的啦，在此系列文章中，先不談此一部份，他們的資安措施應該是沒問題的(我們也管不到)。

其他: 看您的需求與想像，可能會有需多不同的資產種類，您就自行增加囉!

3.【所在位置】 欄位:

通常是只該系統"主機"在哪裡? 請您按實際狀況填寫。依照其所在的位置不同，可能會有不同的資安對應措施，比如說: 在自己的機房，自己的辦公室... 可能防火牆就是一個非常重要的設備，而放在 雲端 的話，連線控制就或許是要認真管控的地方了。細節後續再說。

4.【機敏資料等級】與【機敏資料補充(說明)】 欄位:

這個資訊系統裡面的資料，是否有機敏資料呢? 如果有是什麼樣的機敏資料? 可以寫在補充裡面給自己參考。機敏資料等級 用 高、中、低 來表示即可。

5.【停機影響評估】與【停機影響補充】 欄位:

停機影響評估一樣 用 高、中、低 來表示即可。 此系統萬一不能連線或不能使用時(或主機掛點)，影響是有多大? 要評估呀! 停機影響補充 就隨便寫寫吧!

請注意: 【機敏資料等級】和【停機影響評估】這兩個欄位就是要用來評估，哪個系統要先著手進行資安強化的順序依據，如果兩個等級都是 高，那麼您就知道是要優先處理的系統了吧!

呵呵! 【機敏資料等級】高，【停機影響評估】高 很多吼! 辛苦囉!

6.【系統復原預估】 欄位:

雖然，範例檔裡面都沒有寫上內容，其實，建議您是要認真思考這一欄位內容的，若當該系統被綁架或入侵(甚至是火災)，系統無法運作時，您有辦法(找到廠商，找到備份，或找到機器...)能夠把它復原嗎? 如果可以，預估會需要耗時幾天呢?

如果您的答案是無法復原，那麼該怎麼辦? 想辦法把他補全囉! 或該系統已經沒有廠商可以處理了，是否該進行新的可替代系統導入呢?

這個欄位的資料怎麼來? 如果是委外的系統，就是問問他們，請問，萬一此系統的主機掛了，您們預估多少時間可以復原呢? 有備份可以復原嗎? 依照系統屬性(【資產種類】)的不同，可能會有不同答案，若對答案不滿意，就要追問，有辦法可以更快嗎? 通常得到的答案是花錢，如果必要，錢就是要花的。

這欄位先不急著填，請看完後續文章，我 "應該" 會依照系統屬性(【資產種類】)的不同提示一些備份與系統復原要點。

7.您還可以自訂更多欄位的!

如果需要，您當然可以新增更多的欄位，把恩怨情仇都寫進去，比如說: "合約到期日"(如果有廠商在維護該系統的話)，看您啦!

第二件事，認識資安威脅

這是個大問題，要面對他。我們不希望發生，但要有所準備。

超級大的災難(天災)我們先不談，比如: 外星人攻打地球，剛好用量子炮把機房燒掉了。這種事先不管。因為超級大災難的發生，要關心的應該是組織還能不能，要不要運行，而非小小資訊系統正不正常的問題了。

以組織的資訊系統而言，我覺得(個人觀點)面前面臨的最大威脅有兩種；資料外洩 與 系統綁架。

系統綁架"相對"好處理(這樣講不是很正確啦)，只要密集確實的做好備份，了不起主機重建，幾天後還是一尾活龍。

資料外洩影響就大了，您的服務對象、捐款人、客戶... 登有可能被騷擾與詐騙，關係到組織信譽的問題，影響會很深遠的。而且，平時沒啥交情的主管機關(也不先給點費用來讓我們加強資安)，這時候就會跑出來，頻繁給予關愛的公文... 會被煩死。萬一還要被罰款，就 OOXX 了。

當然，我們在要先認真努力做好該做的啦，避免資安事件發生。

由於 "資訊安全意識" 真的很重要，我在此先提醒一些重點:

1.預先進行反詐騙宣導:

在網站、臉書、IG...各種地方先進行反詐騙宣導，最好定期來做，申明本組織不會怎樣怎樣的(如打電話更改刷卡，更改付款方式，用手機操作 APP ...等)，先幫服務對象、捐款人、客戶...有關係的任何人，先提高反詐騙的意識，先做總是好的，可以先預防，不要等發生再做。

2.建立必要的應變小組與應變措施(S.O.P.)

您要先假裝此事肯定會發生，一旦發生，有哪些人可以分工，哪些人該做什麼事(比如說誰去報警...)，哪些系統該第一時間就要關閉或者哪些系統要立刻追查是否是資料洩漏的系統，怎麼追查...等。

要先準備好，不會發生，但吾有以待之。

應變措施的部分先不多說了，那是收費課程，哈哈哈，開玩笑的，沒空寫是真的(技術能力不足也是真的)，總之要認真想想，並在組織中先實作落實，先寫書面計劃吧。

3.同仁的資安教育訓練

資訊安全意識是全體同仁的事，光處理資訊的同仁有此意識是不夠的，務必要讓每位同仁皆能有所警覺。現在的資安危害，已經不是裝裝防毒軟體就能夠解決的問題了，每位同仁接要關心自己的資安，我們才能強化組織的資安，確保組織在資安防護上沒有時麼漏洞。

定期為所有同仁進行資安教育訓練 勢必(是必) 要的，我們目前最大的困擾是資訊安全教育訓練的教材要哪裡來? 如果您有免費可用的教材，歡迎提供喔。

本篇結語與作業

好的，既然已經起了念要解決資安的問題，每天都要能好好睡個覺! 那就請您開始動手吧! 好好的花一點時間，把 資訊系統盤點表 和 應變小組與應變措施 做出來! 認真想想組織中有些什麼資訊系統，他的影響性如何，或者，從能做的先做，網站先加上反詐騙宣導... 看看以上內容，可以先完成什麼，開始前進吧。

這篇文章，也是我一個念頭，希望對大家有所幫助，沒想到這篇就修修改改寫了約兩個星期，希望第二篇可以趕快寫出來。