現今資安意識當道，想知道公司環境到底是否安全？網站和系統是否有被駭的風險？即使資安團隊再三保證「安全」，主管若是不懂太技術性的解釋，希望了解「多安全」，想要量化風險指數，想看非專業人士也能看懂的報告；或者當編列年度預算時，想要爭取經費購買設備強化縱深防禦，主管卻覺得「我們很安全啊」而刪除預算，希望能有資料佐證，將預算需求合理化，該怎麼進行呢？

如同人要定期做健康檢查，適當調整生活作習與飲食習慣，我們可以透過不同的方法做資訊安全的健康檢查，了解資安準備狀況，合理爭取預算，把錢花在刀口上。有人覺得自己沒病或忌諱健康檢查，但是健康檢查的目的和方向是藉由種種方式測驗出身體情況，找出潛在問題，加以調整改善，而不是為了在報告上拿高分；資安檢測亦是如此，如果純粹為了在報告上拿高分而有所隱瞞，或高估自己環境的資安防禦程度，對「病情」是沒有幫助的，無法找出系統防護的盲點，或者錯誤地認為已經做了充足資安措施，其實卻並未有效執行，都可能增加公司網路環境遭駭風險。下面介紹幾種檢測類型：

1. Assessment 評估
   眾多評估裡，Risk Assessment風險評估通常是比較受歡迎的，沒有IT背景的主管可以藉風險指數掌握情況，定下整體或單一目標（例如：明年把整體風險指數從4降到5、把DDoS風險從2降到1等等）。其他類似的評估評鑑方法還有各類不同的問卷調查，如IT資產問卷( IT Asset Inventory) 、系統System Inventory、數位資產Digital Asset Inventory 等等，確認MIS掌握、控管所有資產；有些問卷和評估針對Incident Response、災難備援等流程檢測；部分評測簡單地從高層面確認是否各個項目都有防護措施，如：有沒有DDos防護？有沒有災難備援？有沒有實體機房安全控管機制？有些評測針對特定項目或大部分項目詳細盤查，如：災難備援機制為何？RPO和RTO為何？

光是ㄧ一介紹各種Assessment 評估其實就可以寫鐵人賽30天，我單純就自己的經驗和大家分享討論：

這些評估可以是自我評鑑，自己上網找一些表格問卷範本來填寫，也可以顧用外面的團隊來評估。無論是那一種方式，需要事先確認評估目的、類型，決定評估多詳細。否則若需要詳細的評鑑報告卻只做簡單的問卷，或想檢視公司網站安全卻花太多時間在災難備援流程檢測，很難得到想要的結果；另一個要注意的是評分方式，有些風險評估只粗分高、中、低三層，有些評鑑分數從1到5，或1到10，做到什麼程度才算6？什麼程度才算7？怎樣算高風險？怎樣算低風險？這些在填寫的問卷上應該註明，否則不同人會有不同的答案。

以文末所附連結中的US-CERT問卷為例，其中一題「資安意識教育是否有依需求更新？」如果定期更新資安意識教育內容便選Yes，沒有定期更新就是No，如果還在更新中，就選Incomplete。這樣的問卷清楚易懂；倘若問卷的問題是「資安意識教育是否定期舉行，規定所有員工必須完成，並依需求更新內容？」，這樣一個問題問了很多東西，很難回答YES和NO。

再以文末所附連結中的FFIEC 的資安檢測包為例，將資安成熟度分為Baseline、Evolving、Intermediate、Advanced、Innovative五個階層，將風險分為Least、Minimal、 Moderate、Significant 、Most五個指數。在第四個評估項目：Monitoring and Analyzing監控分析，如果有建立SOC可以達到第二層Evolving，若想達到第五層Innovative，必須要有多個不同來源的Threat Intelligence資安威脅情報來進行日誌分析、結合網路流量監控蛀洞偵測預測未來攻擊和攻擊趨勢；在評估開源軟體風險時，若沒有使用開源軟體風險便是在Least，若使用一些開源軟體來支持重要運作，風險便是在Moderate。這樣選項清楚，風險指數訂立明確，填完自我檢測表便能掌握資安防護究竟在什麼程度？某些行為(如使用開源軟體支持重要營運) 約略有多大風險？

另一種方法是借用這些問卷和檢測表的架構，自己先列出現有的措施為何？再進一步評估是否要針對該項目補強。例如我們以US-CERT 的CRR問卷為例，問卷內分為十大項目：

Asset Management
Controls Management
Configuration and Change Management
Vulnerability Management
Incident Management
Service Continuity Management
Risk Management
External Dependency Management
Training and Awareness
Situational Awareness

可以先自己試著列出在員工資安教育(Training and Awareness)這一塊上目前有什麼努力？希望達到什麼樣的目標？如果今天公司企業內完全沒有Vulnerability Management 弱點掃描管理，有什麼風險？是否要投資一套弱點掃描管理系統？還是架設、選擇一套弱點掃描系統自己定期掃描，勤於安裝更新修補？

若是覺得找到的檢測表或問卷不太清楚，想尋求外面的顧問團隊協助、進行資安健診，記得要簽訂non-disclosure agreement (NDA)保密契約，選擇有經驗、願意花時間了解需求的團隊。我其實很怕只會照著書本，一開始就拿ISO27001/27002或COBIT來逐條核對的人，因為我自己就可以逐條核對啊？何必花錢找你來？會向外找顧問最主要是希望藉由專家的經驗及專業，判斷那種評測方式適合我們公司規模和產業類型，提供客製化的評鑑，建議如何加強不足的地方，甚至推薦那些產品方案最能滿足當下大部分需求，或解決眼前最大的風險。

未完待續

「但是藤崎先生，要把全部的風險通通解決，根本不可能啊。」- -櫻坂工兵《奮鬥吧！系統工程師》

FFIEC 的資安檢測包Cybersecurity Assessment Tool Package
https://www.ffiec.gov/pdf/cybersecurity/FFIEC_CAT_May_2017.pdf

US-CERT 的問卷: Cyber Resilience Review (CRR) Question Set with Guidance
https://www.us-cert.gov/sites/default/files/c3vp/csc-crr-question-set-and-guidance.pdf