本篇延續Day 9 的步驟往下說明,下一個步驟是
明確定義資安的基準線
此部分主要是定義出企業在正常執行業務的情況下,所需要的最低資訊安全標準。此部分可以用前面都是直接以機密資料預設當作ISMS保護的對象,但是實際上哪些資料算是機密資料,其實是使用者或企業自己去定義的,當然也有些算是公認的、法定的機密資料定義,比如說個資等。定義一個資料的機密程度可以用風險評估去協助。也就是去設想這個資料一旦被未授權的人拿到、破壞會對於企業本身造成甚麼影響。例如有關於技術核心的資料一旦暴露等於砸了企業自己的飯碗,機密程度當然很高; 假設是B2C的企業,資料庫中含有顧客的個人資料等,一旦被公開影響的不僅是企業本身,更有可能有其他的法律責任或賠償金接踵而來,機密程度也必須提高。
而風險評估協助企業去審查和管理哪些事件可能會造成機密資料受到危害。這些事件可能是資安架構上的弱點或是某些員工作業程序上可能犯的錯誤。並依據這些事件發生後的風險等級去決定該採以什麼樣的措施予以反制,並於未來預防。