iT邦幫忙

第 12 屆 iT 邦幫忙鐵人賽

DAY 3
4
Security

推動資安從0起步邁向70分,不用花大錢也能有聲有色保平安。系列 第 3

做資安往哪走:企業資安的定義與目的

要開頭做資訊安全,總要先了解一下"資安"二字構面有多廣多深、可大可小還是無邊無際,我們來分成定義、目的、框架來快速簡介一下:

一、資訊安全定義:

引用自wiki:

資訊安全,意為保護資訊及資訊系統免受未經授權的進入、使用、披露、破壞、修改、檢視、記錄及銷毀。

下列三點稱為C.I.A.資安核心三要素:

  1. 機密性(Confidentiality):指訊息不為其他不應獲得者獲得,保障訊息在對的人、對的時間、對的裝置和對的地點上被存取,用以維護用戶資訊的保密性,
  2. 完整性(Integrity):指在傳輸、儲存資訊或資料的過程中,資訊或資料不被未授權的篡改
  3. 可用性(Availability):簡單的說,可用性就是讓一個系統處隨時可工作狀態,資訊服務不因任何因素而中斷/停止

如果上述三要素較為拗口,我們可以用反面的來說會更容易理解:
https://ithelp.ithome.com.tw/upload/images/20200918/20129755btckSr2TJS.png

另外除了三要素外,另還可加上身分驗證 (authentication)、存取控制 (Access Control)、不可否認性 (non-repudiation)三項組成共同組成更妥當的資安基本原則:
4. 身分驗證-Authentication:確保使用者登入時該數位身分有合理妥當的檢驗
5. 存取控制-Access Control:確保任何操作或人員均有適當的權限界定且受到合規的授權
6. 不可否認性-Non-repudiation:確保無法否認於系統上完成的操作,例如數位簽章是讓寄件人無法否認這封信就是從這發出來的。

https://ithelp.ithome.com.tw/upload/images/20200918/20129755iPtlnqoILB.png

二、企業資訊安全核心目的:

注意,這邊強調的是"企業"環境,如果談到軍事、國防、乃至量子宇宙或鉗形時空那就太遠了喔。
企業資安主要圍繞著"穩健營運"、"永續經營"和"風險控制"等的商業活動確保為主軸,對於網路上的種種資訊戰,不用奢望打贏人家,只求安穩度過每一日,即達成資安的基礎目的,很簡單吧。
合理的安全管理可以將公司組織的風險降低到一個可以接受的程度,並且持續維持下去。

https://ithelp.ithome.com.tw/upload/images/20200918/201297556MiujTFiIU.png

(用開車交通安全來舉例,我遵守交安法規行駛、好好開車防禦駕駛、保持車主開車時身心靈健康,就能持續保有很高很高的機率能平安回家,但至於發生意外事故-大貨車衝來撞時,藉過一輛主被動安全設施皆備的好車和危機應變技巧訓練,把事故時的傷害降到最低:能活著走下車,我就接受這不可抗力的風險繼續每天開車上班。)
https://ithelp.ithome.com.tw/upload/images/20200918/20129755BsvCvqEnqi.png

小提醒:除非不要用,不然風險是無法零化的,只有降低降低再降低。

三、常見資安框架

資安如此多元、廣泛,管理起來有沒有結構化概念可以依循的?不用太擔心,一般企業可以參見目前相當成熟的框架,除了幫助,亦可藉此架構來評估自身資安管理的成熟度。

  1. ISMS:資訊安全管理系統(Information Security Management System, 簡稱ISMS),為一套有系統地分析和管理資訊安全風險的方法。
    https://ithelp.ithome.com.tw/upload/images/20200918/20129755vPtHjbswjl.png

  2. ISO27001:承襲自ISMS,於2005年被國際標準組織(ISO)採納為ISO 27001。ISO 27001 是一套完整的國際標準,協助企業持續進化,全面性架構起企業組織的資訊安全管理系統機密性、完整性及可用性,從事前預防、事中監控、事後應變等不同面向的管理規劃,協助企業在持續強化資訊安全管理時,也得以掌握風險管理的有效性。
    https://ithelp.ithome.com.tw/upload/images/20200918/20129755WU6Xe2J7IW.png
    ISO 27001可說是最廣為接受且受到尊崇的普遍性資訊安全管理標準,從初代的ISO27001:2005到當今的ISO27001:2013,持續因應資安發展而演進中。

  3. NIST CSF :美國國家標準與技術研究所(NIST)提出的網路安全框架,Cybersecurity Framework(CSF),涵蓋了資安的5大面向,包括識別、保護、偵測、回應與復原,對於企業而言,可供建立網路安全生命週期的風險管理。

https://ithelp.ithome.com.tw/upload/images/20200918/20129755VcoSME48di.jpg

最後,資安實務是一種取捨分析(TOA),資安做的越嚴謹大家越不方便且影響企業流程甚鉅;反之越鬆散則越不安全、危險但大家都很方便開心。因此,合理的資安政策要適時的、因地制宜的做取捨分析(Trade-off Analysis),或是安排配套措施,取其兼顧營運和風險的平衡點
https://ithelp.ithome.com.tw/upload/images/20200918/20129755ZGTvZuUYpJ.png

參考資料與延伸閱讀:
https://www.cisco.com/c/zh_tw/products/security/what-is-information-security-infosec.html
https://zh.wikipedia.org/wiki/信息安全
https://www.ithome.com.tw/news/133172
https://twap.sgs.com/Trainsys/iso27001/iso27001.html
https://www.ithome.com.tw/article/129614


上一篇
做資安往哪走: 公司想要的資安和你心中的資安不一樣,怎麼搭?
下一篇
先安內後壤外:企業內部資安推動三隻箭
系列文
推動資安從0起步邁向70分,不用花大錢也能有聲有色保平安。30

2 則留言

0
SunAllen
iT邦高手 1 級 ‧ 2020-09-18 00:22:12

大哥的資料好詳細啊,我今天就跟新人同事說,要看完您的系列~~謝謝。

看更多先前的回應...收起先前的回應...
暐翰 iT邦大師 1 級 ‧ 2020-09-18 00:23:17 檢舉

這系列太有料!

卑...卑職惶恐、卑職惶恐,感謝各路前輩不嫌棄。

資料真的很豐富,直接請新人同事來看這篇學習!

SunAllen iT邦高手 1 級 ‧ 2020-09-19 00:26:35 檢舉

是啊!

0
黃升煌 Mike
iT邦新手 3 級 ‧ 2020-09-18 07:03:35

我聞到了得獎的味道
/images/emoticon/emoticon34.gif

我都跪著看大師你的系列文.../images/emoticon/emoticon69.gif

我要留言

立即登入留言