CLOSE

OPEN

CAREERS

TENDER INFO

CONTACT US

資訊保安策略 「辨識」為基礎 (Chinese only)

早前有旅行社遭黑客入侵,盜取客戶資料及勒索比特幣,導致全線分店一度停業及運作癱瘓的嚴重後果。

其實在制訂資訊保安策略時,第一個重要步驟,就是要「辨識」(Identify) 整個機構業務運作的關鍵要素,以及所有資訊科技系統、數據和業務功能潛在的保安風險,才能夠因應本身的營商環境和資源,配合業務需要和風險管理策略,釐定網絡保安的重點方向和優先次序,確保沒有遺留重要的資訊系統。

上星期本專欄介紹了美國NIST CSF 資訊保安框架五大核心功能,「辨識」是NIST CSF第一個基本功能,也可說資訊保安框架的基礎。

「辨識」共分五個層次:

  1. 資產管理:針對主要和日常業務流程,按重要性來管理當中的系統、設備、用戶、數據和設施。其中特別要留意,資產不單指軟、硬件,因為機構人員往往是保安系統的最大漏洞,必須評估位居要職的人員的風險。
  2. 業務環境:了解公司的使命、目標、持份者及流程,訂下優先次序,並編配各人的資訊保安角色和責任。
  3. 管治:掌握機構政策和程序,對法律法規、風險、環境和營運的要求,按照NIST CSF來管理及監督。
  4. 風險評估:了解影響業務運作或客戶的網絡保安風險,並評估日常使用的系統和平台的網絡威脅。
  5. 風險管理策略:確定機構的挑戰、優先次序和風險容忍度,以作出最佳的風險管理決策。

由於企業營運環境不停轉變,「辨識」不是只做一次就可安寢無憂,企業必須持續評估機構所面對的新威脅。當企業做好這工作後,便需採取方法「保護」(Protect)機構的網絡保安,本欄下星期再談。