香港電腦保安事協調中心(協調中心)經常建議企業應定期進行資訊安全評估(Information Security Assessment),大企業一般設有專責的審計部門或外聘顧問,由持有專業資格的審計人員,為企業進行資訊安全的審計評估,但中小企的資源相對較少,是否代表他們只能坐以待斃?

資訊安全評估需要一套完善的評估準則,分析企業的資訊安全水平孰好孰壞。在協調中心所編製的《中小企網絡安全七大攻略》中,特別設計了一份簡單的資訊保安風險自我評估清單,讓中小企先進行初步的自我評估,再制定相應的改善方案。

自我評估清單因應七大攻略的各個範疇,包括:安全政策和安全管理、端點安全、網絡安全、系統安全、安全監控、事件處理及用戶意識,列出一些良好操作清單,資訊保安人員只要逐一檢視企業內部的操作,是否已實踐清單上的指引,然後計算得分,評估企業的資訊安全水平和風險。

做好清單上各項良好操作可得一分,分數越高代表企業的保安措施越完善。不過,高分數並不代表企業可以排除所有資訊安全風險。協調中心強調,資訊安全評估的主要目的並非要評核企業的保安程度高低,而是協助尋找企業資訊安全工作的改善空間,儘快堵塞漏洞,以應付層出不窮的網絡攻擊。

如欲下載《中小企網絡安全七大攻略》或了解更多電腦保安資訊,請參閱香港電腦保安事協調中心網址:www.hkcert.org。