H1Day21：風險識別、評估和處理（續3）

H31. 組織各級員工都有責任辨識風險：

（1）全員資安：現在資安威脅越來越走向APT先進持續攻擊，潛伏在企業或組織中很長的時間，以竊取有價值的組織資訊資產。所以資安不再是資安人員、資安主管甚至是高階主管的責任。資安情資的來源應該是要來自於組織全體成員，那怕是警衛人員通報系統有異聲，都值得資安（資訊）人員重視每一個資安事件（Event）；而一但被確認為資安事故（Incident），資安人員即應立案並且進行處理，即使是年度資安稽核報告日後或資安預算短缺的情況下，仍然要列入報告中並予以重視。
（2）短板理論：一個裝水的木桶，總是從最短的那一塊木板漏水。實體與環境安全、人員安全、通訊和資料安全，以及系統安全，每一個組織對於風險的分類不一樣，並於要守護的安全定義也不一樣，因為每個組織都有自己獨特的業務和價值觀。但請資安人員注意，平衡每一個重要資訊資產所獲得的關注和資源，一家大型賭場很有可能因為魚缸溫度調控系統被攻陷，而導致賭場的計分系統連帶被攻陷。而一個自來水水庫管理局，也很有可能因為其ＩＯＴ設備被攻陷，導致水中加的添加物濃度遠高於標準值２００倍。做為資安人員，短板理論應牢記在心並予以實踐。
2. 識別風險以防範風險：能量化的，就能管理。許多組織的資安目標是個資外洩次數零件、機敏性資料外洩次數零件。這樣的目標管理系統本身就鼓勵資安人員不通報事件或者調升警報系統的閥值。全球的網路攻擊事件每天都在發生，正確的統計出資安事件和其成因，資安人員才能夠更好的守護企業或組織的資訊資產，並且蒐證從法律途徑為公司維護權益。