iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 4
0
Security

什麼都會一點的住海邊資安證照 cissp系列 第 4

機房和機房操作人員哪個比較貴重?

前面幾篇寫了好幾次了,資安沒有100%安全,不過不只是沒有100%安全,也沒有齊頭式的安全,所以今天來聊聊資訊資產。

何謂資訊資產?

資訊大家可能比較熟,所以我們先講資產。

在會計中,資產是企業擁有的任何資源。任何有形或無形的可以擁有或控制以產生價值並由公司持有以產生積極的經濟價值的東西都是一種資產。來自維基百科https://zh.wikipedia.org/wiki/%E8%B3%87%E7%94%A2

那資訊資產呢? 圍繞著"資訊"為出發點的都算資訊資產
從最小單位一路往上看

  • 電磁資料
  • 處理資料的應用程式
  • 儲存資料的儲存空間
  • 運作應用程式的作業系統
  • 裝載作業系統的虛擬化平台
  • 實體主機
  • 機櫃
  • 實體線路
  • 機房環境
  • 實體環境儲存的紙本資料(紙本公文、SOP手冊)
  • 操作資訊設備的人

任何對企業有價值的東西 (資料、設備、人)都是資訊資產

這邊千萬要記住,不管是在cissp考試或是實際在工作上,人命一定都是最重要的,資訊設備可以花錢再買,電磁資料可以備份,生命沒了就是沒了,沒有任何方法可以挽回,如果考試的選擇題出現了關於人命的東西,請優先放在第一順位。

假設有一個情況,如果機房失火了,作為資安人員,你衝進去救硬碟是最不智的,因為如果人被燒死了,公司的賠償費用可能更多,不能救到人命的話就不要談資訊安全了,如果用人命換到硬碟,之後系統恢復,沒有會操作的人員,救了也沒有意義。

資訊資產分級分類

既然知道了資訊資產的意思,那接下來就是要分級,幫各種資產分類和排重要程度

這個目的是

  • 讓企業了解掌握該類資產遭受破壞可能造成的嚴重性與損失
  • 依據資訊資產的價值來給予不同的分類並決定應有的安控措施
    舉個例子,你有一台藍寶堅尼超級跑車,也有一台3000元大賣場腳踏車,通常會把跑車放在車庫好好保護,腳踏車會停在有遮雨的地方就好
    反之亦然,腳踏車價值只有3000塊的腳踏車,你應該不會花個30000塊買指紋鎖保護腳踏車

應用在資訊資產同理
如果有一個醫療資料庫,因為很貴重,所以資料庫會放在機房,有攝影機有磁卡門禁,進出要寫記錄簿,有做備份和異地備援,使用磁帶保存。

關鍵來了 如果你的磁帶保管只是放在普通的書櫃裡面,沒有門禁就算了,連門鎖都沒有,那這就是漏洞,說不定哪天出事時才發現書櫃裡的磁帶早就被掃地阿桑清空,一問之下發現阿桑只是外包清潔工而且半年前就退休了。

備份資料的重要程度等同於原始資料,必須給予同樣等級的保護

最後再補一下價值,資訊資產不能只看帳面價值
假設在iphone 上市前,某個工程師在A4紙上畫了iphone的草圖,這張紙就很有價值,不小心掉到競爭對手那邊或外流都很不得了。


上一篇
如何呈現資安(自己)的價值?
下一篇
盤點時,點不到帳上的東西 vs 點到帳上沒有的東西 哪個比較可怕?
系列文
什麼都會一點的住海邊資安證照 cissp11

尚未有邦友留言

立即登入留言