香港电脑保安事协调中心(协调中心)经常建议企业应定期进行资讯安全评估(Information Security Assessment),大企业一般设有专责的审计部门或外聘顾问,由持有专业资格的审计人员,为企业进行资讯安全的审计评估,但中小企的资源相对较少,是否代表他们只能坐以待毙?

资讯安全评估需要一套完善的评估准则,分析企业的资讯安全水平孰好孰坏。在协调中心所编制的《中小企网络安全七大攻略》中,特别设计了一份简单的资讯保安风险自我评估清单,让中小企先进行初步的自我评估,再制定相应的改善方案。

自我评估清单因应七大攻略的各个范畴,包括:安全政策和安全管理、端点安全、网络安全、系统安全、安全监控、事件处理及用户意识,列出一些良好操作清单,资讯保安人员只要逐一检视企业内部的操作,是否已实践清单上的指引,然后计算得分,评估企业的资讯安全水平和风险。

做好清单上各项良好操作可得一分,分数越高代表企业的保安措施越完善。不过,高分数并不代表企业可以排除所有资讯安全风险。协调中心强调,资讯安全评估的主要目的并非要评核企业的保安程度高低,而是协助寻找企业资讯安全工作的改善空间,尽快堵塞漏洞,以应付层出不穷的网络攻击。

如欲下载《中小企网络安全七大攻略》或了解更多电脑保安资讯,请参阅香港电脑保安事协调中心网址:www.hkcert.org。