各位大大
想請教一下,如果一間公司要做資訊安全
那麼有哪些部分是可以進行的呢?
你們做完風險評估了嗎? (Risk Assessment) 是用定性法還是定量法?
你們前十大的威脅是甚麼? 前十大的弱點在哪裡? 前十大的風險是損失多少?....
資訊安全的 C.I.A. 三項, 哪一項對你們最重要?
這些都沒列出來, 怎麼可能盲目的花錢去買設備或軟體?
老闆會出 300 萬元的成本, 去保護最大損失只有 10 萬元的資產嗎?
反過來說: 如果資產的風險價值有 5,000 萬, 老闆願意出多少錢來保護她?
預算決定了, 還要決定控制點 (請參考 ISO-27001, 17799 等), 控制點決定了, 才能知道: 要用甚麼樣的設備, 來控制甚麼東西? 或者根本不需要買甚麼設備, 只需要行政命令 (成本 $0 元) 就夠了.
買防火牆? 他是符合哪一個控制點? 他可以阻擋甚麼威脅? 可以彌補甚麼缺點? 最重要的一句:.....他可以避免發生多少財務上的風險損失? (要有個明確的金額)
如果你從買設備的觀點, 來問上面的問題, 結果會像無頭蒼蠅般的亂竄, 沒辦法打中老闆或稽核或財務的痛點. 所以必須反過來, 先去檢視公司面對了哪些風險? 會有哪些損失? 再來決定要花多少錢去預防損失? 然後要在甚麼地方防堵?
有很多狀況, 對付風險的辦法不是買設備, 而是每年花錢買個保險就好了. 例如: 地震海嘯的威脅, 你能買甚麼設備對付? 買設備不如買保險賠得比較快....
感謝大大專業的建議和指教!
大致上了解該如何下手了,感恩~
iT邦幫忙MVPraytracy提到:
你們前十大的威脅是甚麼? 前十大的弱點在哪裡? 前十大的風險是損失多少?....
我想這應該有不少人列不出來吧
包含我在內
所以能問一下怎麼找這東東嗎
select提到:
所以能問一下怎麼找這東東嗎
資安風險評鑑
風險評鑑模型每一家顧問公司自己獨門的密技, 不可能公開出來讓大家參考. 最多只有在顧問公司來導入資安規範的時候, 在旁邊盯著它們學, 但仍有許多內部計算的公式不會公開讓你知道.
若要知詳情, 請洽四大會計師事務所的風險管理組, 他們通常都有這些服務可以提供.
要謹記: 風險是從財務層面計算出來的, 所以風險模型應該是從財務的角度來建立, 不是IT部門.
raytracy提到:
要謹記: 風險是從財務層面計算出來的, 所以風險模型應該是從財務的角度來建立, 不是IT部門.
資安是公司機構治理議題內部管控的一部分
內部管控不只有財務層面的考量,還包括:
Business Process Control;Company Level Control;
Company Level IT Control;IT General Control;
Financial Disclosure Control;etc....
實質是基於人性的考量
資本主義體制下, 經濟自由是政治自由的保證。至於金融方面,一直是個難題
原來有如此多樣需要去深深的思考,感謝各位的提供~尤其是ray大
你要不要先講一下你做了什麼
sorry,大大
目前就只有防火牆的應用、無線流量的限制、AD的控管,預計購入資安軟體ex:X-fort or SmartIT
不知還有甚麼可以加入?
因為每個地方的需求不一樣
你的問法好像是要大家把所有辦法列出來
你再去挑
這樣對網友的loading太大
如果是針對你的環境
你應該清楚哪些是有疑慮的需要處理的
再去找解決方案
而不是什麼都不知道
就叫網友提解決方案
這種問法廠商可能很喜歡
但是一般網友根本不知道要回你什麼才是對的
http://www.nicst.ey.gov.tw/Default.aspx
行政院國家資通安全會報
也可以參考這邊