資訊保安策略「辨識」為基礎

早前有旅行社遭黑客入侵，盜取客戶資料及勒索比特幣，導致全線分店一度停業及運作癱瘓的嚴重後果。

其實在制訂資訊保安策略時，第一個重要步驟，就是要「辨識」(Identify) 整個機構業務運作的關鍵要素，以及所有資訊科技系統、數據和業務功能潛在的保安風險，才能夠因應本身的營商環境和資源，配合業務需要和風險管理策略，釐定網絡保安的重點方向和優先次序，確保沒有遺留重要的資訊系統。

上星期本專欄介紹了美國NIST CSF 資訊保安框架五大核心功能，「辨識」是NIST CSF第一個基本功能，也可說資訊保安框架的基礎。

「辨識」共分五個層次：

資產管理：針對主要和日常業務流程，按重要性來管理當中的系統、設備、用戶、數據和設施。其中特別要留意，資產不單指軟、硬件，因為機構人員往往是保安系統的最大漏洞，必須評估位居要職的人員的風險。
業務環境：了解公司的使命、目標、持份者及流程，訂下優先次序，並編配各人的資訊保安角色和責任。
管治：掌握機構政策和程序，對法律法規、風險、環境和營運的要求，按照NIST CSF來管理及監督。
風險評估：了解影響業務運作或客戶的網絡保安風險，並評估日常使用的系統和平台的網絡威脅。
風險管理策略：確定機構的挑戰、優先次序和風險容忍度，以作出最佳的風險管理決策。

由於企業營運環境不停轉變，「辨識」不是只做一次就可安寢無憂，企業必須持續評估機構所面對的新威脅。當企業做好這工作後，便需採取方法「保護」(Protect)機構的網絡保安，本欄下星期再談。

資訊保安策略 「辨識」為基礎