昨天介紹評估Assessment，記得無論是自我檢測或外顧團隊進行健診，檢測的準確性取決於資料有多正確、多詳細，不應為求報告好看而故意隱瞞，就好像去健身房鍛鍊，需要先掌握自己身體狀況，才能和健身教練擬訂計畫。如果真的顧慮主管對報告質疑，那自己默默填問卷和檢測表，掌握情況後做參考也可以，如實知道資安防護準備是否充足，才能應付層出不窮的威脅，下面繼續介紹評測方式：

2. 法律、法遵規定和業界通用標準

如果公司企業必須遵守特定法規，有Compliance 法遵需求，或者已經選定ㄧ套資訊安全標準來執行，自然以「是否確實做到各項要求」為評鑑。例如Day10 將資料分類Data Classification一文中提到，美國的醫療保險公司，由於Health insurance Portability and Accountability Act of 1996 法案，必須遵守HIPPA Compliance ；教育機構由於Family Educational Rights and Privacy Act，必須遵守FERPA Compliance；電子系統進行信用卡交易，必須遵守PCI Compliance等等。我也遇過雖然公司不需要遵守特定Compliance法遵規定，卻還是通過認證，那間公司並沒有信用卡交易系統，卻有通過PCI Compliance的認證，來顯示它們資安措施完善，有達到PCI Compliance 標準。

公司企業也可以選定ㄧ套Cyber Security Standard資安標準作為規範，例如Center for Internet Security (CIS)制定頒布的 CIS Controls 和 CIS Benchmarks；美國國家標準技術研究所National Institute of Standards and Technology (NIST) 制定頒布的NIST Cybersecurity Framework (NIST CSF)及相關標準；也有從管理角度從IT Governance資訊科技監管著手，導入資訊科技監管信息及相關技術控制目標Control Objectives for Information & related Technology (COBIT Framework)；或者導入ISMS資訊安全管理系統，遵守ISO27001/27002。

通常我會建議如果沒有法律、法遵上的要求，先從自我評鑑開始做起，了解目前資安防護準備情況後，再選擇導入資訊安全標準，否則花很多時間閱讀文件，了解這些標準，還要解釋給團隊希望大家遵守一個資安標準，卻連現在資安準備是否充足都不知道，豈非盲從？再者，有些標準可以當作基礎，還有提升空間，並非達到標準「就夠了」。例如PCI DSS標準要求一年至少四次Vulnerability Scan弱點漏洞掃描，是至少四次，而不是說只要四次，如果有完善的弱點漏洞掃描系統，每月、每週都可以掃描產生報表追蹤。

3. 動態測試

除了從管理、控制、流程上評鑑，評估如何應付資安威脅，還可以進行動態測試，例如進Vulnerability scan 弱點漏洞掃描，掌握目前網路環境內有什麼弱點漏洞需要進行安全更新，或進行Penetration Test滲透測試，實際測試駭客是否有可能輕易地侵入網路環境，現有設備系統是否能偵測、判別惡意行為，甚至寄發模擬釣魚郵件，看資安意識教育是否成功，員工是否有所警覺，還是點擊連結URL或開啟附件檔案等等，可以看多少員工回報、多少員工開啟附件，作為評測結果。

4. 定期演練

動態測試外，可以定期演練模擬情境，做Tabletop exercise，例如可以拿出Day 7 提到的企業永續運作計畫(BCP)，訂下日期模擬一個災害狀況，測試備份和系統還原，確認RTO和RPO，確保大家熟悉流程、相關文件更新無誤；也可以測試Incident Response資安事件應變處理， 確認團隊熟知流程，蒐集必要相關鑑識證據，或針對特定的新興威脅進行模擬，在模擬的過程中確認是否能偵測、阻擋、防範，或者需要編列預算採購新的設備來預防。

以上簡單介紹一些方式，也可以上網搜尋一下廠商提供的資安健診服務包括什麼項目？怎麼進行？了解內容後自己針對類似內容進行評測。記得做完資安健診，拿到檢測報告，最重要的是擬訂計畫，針對高風險、防護不足的部份優先補強，下次檢測的時候也可以和上次報告比較，看有多少進步，逐年依據改善計畫，健全整體資訊安全防護。

「老子曰：知人者智。
老子又曰：自知者明。」- - 《火鳳燎原》

你有資安健診的經驗嗎？是自我評鑑還是外顧團隊評測呢？歡迎留言分享。

資安人科技網的文章：資安，從有做就好 到有效做好
https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=8548