关闭

展开

职位空缺

招标资料

联络我们

资讯保安策略 「辨识」为基础

早前有旅行社遭黑客入侵,盗取客户资料及勒索比特币,导致全线分店一度停业及运作瘫痪的严重后果。

其实在制订资讯保安策略时,第一个重要步骤,就是要「辨识」(Identify) 整个机构业务运作的关键要素,以及所有资讯科技系统、数据和业务功能潜在的保安风险,才能够因应本身的营商环境和资源,配合业务需要和风险管理策略,釐定网络保安的重点方向和优先次序,确保没有遗留重要的资讯系统。

上星期本专栏介绍了美国NIST CSF 资讯保安框架五大核心功能,「辨识」是NIST CSF第一个基本功能,也可说资讯保安框架的基础。

「辨识」共分五个层次:

  1. 资产管理:针对主要和日常业务流程,按重要性来管理当中的系统、设备、用户、数据和设施。其中特别要留意,资产不单指软、硬件,因为机构人员往往是保安系统的最大漏洞,必须评估位居要职的人员的风险。
  2. 业务环境:了解公司的使命、目标、持份者及流程,订下优先次序,并编配各人的资讯保安角色和责任。
  3. 管治:掌握机构政策和程序,对法律法规、风险、环境和营运的要求,按照NIST CSF来管理及监督。
  4. 风险评估:了解影响业务运作或客户的网络保安风险,并评估日常使用的系统和平台的网络威胁。
  5. 风险管理策略:确定机构的挑战、优先次序和风险容忍度,以作出最佳的风险管理决策。

由于企业营运环境不停转变,「辨识」不是只做一次就可安寝无忧,企业必须持续评估机构所面对的新威胁。当企业做好这工作后,便需採取方法「保护」(Protect)机构的网络保安,本栏下星期再谈。