承前幾天的文章，那我們剛起步，是不是就一定要依照NIST/ISO27001的框架走?或是找顧問輔導?還是即日起開始各家資安廠商介紹各種特效藥?到底要以何種概念去規劃整體資安?

中央研究院資訊服務處處長陳伶志表示，「從歷來資安事件可發現，大多是因為輕忽基本工作落實，逐一盤點與落實能改善資安體質」。

既然剛起步，把馬步紮穩、資安體質建立起來是關鍵，不妨跟著個人衛生安全(防疫)的概念來做資安，兩者有異曲同工之妙，請看下表比較比較:

這邊提的都不含額外增購的設備喔，那些設備像是威脅偵測(高級顯微鏡)、ATP防禦IPS(COVID19防護衣)都需要較高額的投資，這邊強調的課題重點是【把自身的基礎保護做好，就有一定的資安防護力(疾病免疫力)】

身為內部IT的你，一定多少清楚這些已知的體質問題點，這些問題點有沒有已經帶來傷害過，可以拿過往實績出來冷飯熱炒一下，證明你的擔心不是空穴來風。

另外，別急著想對策，許多直覺能想到的對策經過POC後不一定理想，且有些症狀經分析後甚至可以指向多重破口，故要帶入多重防禦機制，達到攔阻、封鎖、嚇阻、拖延、告警或規避風險的效用。

(圖片引用自動力安全網頁)

從0到70的關鍵基礎即在此，基礎能談能做的範圍已經很廣了，在有限的能力範圍內盡本分就能收到一定的效果。

(至於從70~90、90~95那又是另外的層次了，先把體質打好方可更上一層樓)

延伸閱讀與參考資料
【從「勤洗手與戴口罩」學防駭】企業與個人都該有資安衛生習慣，落實與持續是重要關鍵
從防疫學防駭
重新架構內網盤點老舊系統，中研院紮好基本功正面迎戰網攻
科學方法評估成熟度　逐步強化資安體質