要開頭做資訊安全,總要先了解一下"資安"二字構面有多廣多深、可大可小還是無邊無際,我們來分成定義、目的、框架來快速簡介一下:
引用自wiki:
資訊安全,意為保護資訊及資訊系統免受未經授權的進入、使用、披露、破壞、修改、檢視、記錄及銷毀。
下列三點稱為C.I.A.資安核心三要素:
如果上述三要素較為拗口,我們可以用反面的來說會更容易理解:
另外除了三要素外,另還可加上身分驗證 (authentication)、存取控制 (Access Control)、不可否認性 (non-repudiation)三項組成共同組成更妥當的資安基本原則:
4. 身分驗證-Authentication:確保使用者登入時該數位身分有合理妥當的檢驗。
5. 存取控制-Access Control:確保任何操作或人員均有適當的權限界定且受到合規的授權。
6. 不可否認性-Non-repudiation:確保無法否認於系統上完成的操作,例如數位簽章是讓寄件人無法否認這封信就是從這發出來的。
注意,這邊強調的是"企業"環境,如果談到軍事、國防、乃至量子宇宙或鉗形時空那就太遠了喔。
企業資安主要圍繞著"穩健營運"、"永續經營"和"風險控制"等的商業活動確保為主軸,對於網路上的種種資訊戰,不用奢望打贏人家,只求安穩度過每一日,即達成資安的基礎目的,很簡單吧。
合理的安全管理可以將公司組織的風險降低到一個可以接受的程度,並且持續維持下去。
(用開車交通安全來舉例,我遵守交安法規行駛、好好開車防禦駕駛、保持車主開車時身心靈健康,就能持續保有很高很高的機率能平安回家,但至於發生意外事故-大貨車衝來撞時,藉過一輛主被動安全設施皆備的好車和危機應變技巧訓練,把事故時的傷害降到最低:能活著走下車,我就接受這不可抗力的風險繼續每天開車上班。)
小提醒:除非不要用,不然風險是無法零化的,只有降低降低再降低。
資安如此多元、廣泛,管理起來有沒有結構化概念可以依循的?不用太擔心,一般企業可以參見目前相當成熟的框架,除了幫助,亦可藉此架構來評估自身資安管理的成熟度。
ISMS:資訊安全管理系統(Information Security Management System, 簡稱ISMS),為一套有系統地分析和管理資訊安全風險的方法。
ISO27001:承襲自ISMS,於2005年被國際標準組織(ISO)採納為ISO 27001。ISO 27001 是一套完整的國際標準,協助企業持續進化,全面性架構起企業組織的資訊安全管理系統機密性、完整性及可用性,從事前預防、事中監控、事後應變等不同面向的管理規劃,協助企業在持續強化資訊安全管理時,也得以掌握風險管理的有效性。
ISO 27001可說是最廣為接受且受到尊崇的普遍性資訊安全管理標準,從初代的ISO27001:2005到當今的ISO27001:2013,持續因應資安發展而演進中。
NIST CSF :美國國家標準與技術研究所(NIST)提出的網路安全框架,Cybersecurity Framework(CSF),涵蓋了資安的5大面向,包括識別、保護、偵測、回應與復原,對於企業而言,可供建立網路安全生命週期的風險管理。
最後,資安實務是一種取捨分析(TOA),資安做的越嚴謹大家越不方便且影響企業流程甚鉅;反之越鬆散則越不安全、危險但大家都很方便開心。因此,合理的資安政策要適時的、因地制宜的做取捨分析(Trade-off Analysis),或是安排配套措施,取其兼顧營運和風險的平衡點。
參考資料與延伸閱讀:
https://www.cisco.com/c/zh_tw/products/security/what-is-information-security-infosec.html
https://zh.wikipedia.org/wiki/信息安全
https://www.ithome.com.tw/news/133172
https://twap.sgs.com/Trainsys/iso27001/iso27001.html
https://www.ithome.com.tw/article/129614
大哥的資料好詳細啊,我今天就跟新人同事說,要看完您的系列~~謝謝。
這系列太有料!
卑...卑職惶恐、卑職惶恐,感謝各路前輩不嫌棄。
資料真的很豐富,直接請新人同事來看這篇學習!
是啊!