iT邦幫忙

0

各位大大
想請教一下,如果一間公司要做資訊安全
那麼有哪些部分是可以進行的呢?

看更多先前的討論...收起先前的討論...
mytiny iT邦大師 1 級 ‧ 2014-11-15 10:39:31 檢舉
與其看一大堆的文件說明
不如回頭先看一下自己既有的設備都發揮其功能沒有
資安設備中的功能都有其相對應用的目的
即便是你的防火牆也可以幫你做不少的事情
問題是你能發揮它多少功能?
okra iT邦研究生 3 級 ‧ 2014-11-15 12:11:19 檢舉
由於不曉得版大資安管理的需求目的:
個資法稽核?
上市櫃公司SOX or J-SOX稽核(ISO 27001 Compliance)?
食品藥品安全(21 CFR Part 11 Compliance)?
還是頭家染上了強迫症,自尋煩惱?偷笑
bearchang iT邦新手 3 級 ‧ 2014-11-17 10:19:19 檢舉
現在的想法就如mytiny大所說,朝著現有的設備去發揮可用的功能
如有需要的再去添購~
先想成本和目的,
資安,軟硬體都可以做,就看做到什麼程度,

遇到過做到一半,乾脆封網,然後有些單位根本不能封網,最後又開放的。
okra iT邦研究生 3 級 ‧ 2014-11-18 23:53:01 檢舉
張善政:安全管控並不特別,重點在於徹底落實
http://www.ithome.com.tw/node/70818
今天《食安法》修正案三讀通過,提高罰金,可是能落實嗎?收得到錢嗎?Orz
hank1204 iT邦新手 4 級 ‧ 2015-01-09 09:49:21 檢舉
大大您好:
我是永磐科技的SI業務 Hank
是專業的網路資安規劃經銷商
關於上述您的需求可提供給您相關solution
如有興趣想進一步了解可與我聯絡
謝謝!
e-mail:hank_ting@mikotek.com.tw
tel:0921-018-044
32
raytracy
iT邦大神 1 級 ‧ 2014-11-14 12:04:36
最佳解答

你們做完風險評估了嗎? (Risk Assessment) 是用定性法還是定量法?
你們前十大的威脅是甚麼? 前十大的弱點在哪裡? 前十大的風險是損失多少?....

資訊安全的 C.I.A. 三項, 哪一項對你們最重要?
這些都沒列出來, 怎麼可能盲目的花錢去買設備或軟體?

老闆會出 300 萬元的成本, 去保護最大損失只有 10 萬元的資產嗎?
反過來說: 如果資產的風險價值有 5,000 萬, 老闆願意出多少錢來保護她?

預算決定了, 還要決定控制點 (請參考 ISO-27001, 17799 等), 控制點決定了, 才能知道: 要用甚麼樣的設備, 來控制甚麼東西? 或者根本不需要買甚麼設備, 只需要行政命令 (成本 $0 元) 就夠了.

買防火牆? 他是符合哪一個控制點? 他可以阻擋甚麼威脅? 可以彌補甚麼缺點? 最重要的一句:.....他可以避免發生多少財務上的風險損失? (要有個明確的金額)

如果你從買設備的觀點, 來問上面的問題, 結果會像無頭蒼蠅般的亂竄, 沒辦法打中老闆或稽核或財務的痛點. 所以必須反過來, 先去檢視公司面對了哪些風險? 會有哪些損失? 再來決定要花多少錢去預防損失? 然後要在甚麼地方防堵?

有很多狀況, 對付風險的辦法不是買設備, 而是每年花錢買個保險就好了. 例如: 地震海嘯的威脅, 你能買甚麼設備對付? 買設備不如買保險賠得比較快....

看更多先前的回應...收起先前的回應...
bearchang iT邦新手 3 級 ‧ 2014-11-14 13:58:47 檢舉

感謝大大專業的建議和指教!
大致上了解該如何下手了,感恩~

一尾 iT邦研究生 1 級 ‧ 2014-11-14 17:00:23 檢舉

iT邦幫忙MVPraytracy提到:
你們前十大的威脅是甚麼? 前十大的弱點在哪裡? 前十大的風險是損失多少?....

我想這應該有不少人列不出來吧
包含我在內

所以能問一下怎麼找這東東嗎

okra iT邦研究生 3 級 ‧ 2014-11-14 18:28:17 檢舉
raytracy iT邦大神 1 級 ‧ 2014-11-16 00:23:35 檢舉

select提到:
所以能問一下怎麼找這東東嗎

資安風險評鑑
風險評鑑模型每一家顧問公司自己獨門的密技, 不可能公開出來讓大家參考. 最多只有在顧問公司來導入資安規範的時候, 在旁邊盯著它們學, 但仍有許多內部計算的公式不會公開讓你知道.

若要知詳情, 請洽四大會計師事務所的風險管理組, 他們通常都有這些服務可以提供.
要謹記: 風險是從財務層面計算出來的, 所以風險模型應該是從財務的角度來建立, 不是IT部門.

okra iT邦研究生 3 級 ‧ 2014-11-17 10:00:46 檢舉

raytracy提到:
要謹記: 風險是從財務層面計算出來的, 所以風險模型應該是從財務的角度來建立, 不是IT部門.

資安是公司機構治理議題內部管控的一部分
內部管控不只有財務層面的考量,還包括:
Business Process Control;Company Level Control;
Company Level IT Control;IT General Control;
Financial Disclosure Control;etc....
實質是基於人性的考量
資本主義體制下, 經濟自由是政治自由的保證。至於金融方面,一直是個難題Orz

bearchang iT邦新手 3 級 ‧ 2014-11-17 10:17:09 檢舉

原來有如此多樣需要去深深的思考,感謝各位的提供~尤其是ray大

2
u8526425
iT邦大師 1 級 ‧ 2014-11-14 10:13:44

你要不要先講一下你做了什麼

看更多先前的回應...收起先前的回應...
bearchang iT邦新手 3 級 ‧ 2014-11-14 10:20:50 檢舉

sorry,大大
目前就只有防火牆的應用、無線流量的限制、AD的控管,預計購入資安軟體ex:X-fort or SmartIT
不知還有甚麼可以加入?

u8526425 iT邦大師 1 級 ‧ 2014-11-14 10:33:27 檢舉

因為每個地方的需求不一樣
你的問法好像是要大家把所有辦法列出來
你再去挑
這樣對網友的loading太大

如果是針對你的環境
你應該清楚哪些是有疑慮的需要處理的
再去找解決方案
而不是什麼都不知道
就叫網友提解決方案
這種問法廠商可能很喜歡
但是一般網友根本不知道要回你什麼才是對的

文件控管?
電腦防護?
人員管制?
組織規章?

u8526425 iT邦大師 1 級 ‧ 2014-11-14 10:50:25 檢舉

如果沒有概念什麼叫資安
可以去參考BS7799或ISO之類的資安規範
也可以去上SSCP之類的資安認證
先跳脫產品與手段
從制度面下手瞭解
哪些算是資安的範圍
一步步縮小到哪一個是你應該要做的

bearchang iT邦新手 3 級 ‧ 2014-11-14 11:53:49 檢舉

感謝大大的建議

0
一級屠豬士
iT邦新手 3 級 ‧ 2014-11-14 10:48:25

換個比較強的.

u8526425 iT邦大師 1 級 ‧ 2014-11-14 10:51:40 檢舉


其實我也這樣想
專業的事
應該讓專業的人來管理

bearchang iT邦新手 3 級 ‧ 2014-11-14 11:54:03 檢舉

謝謝大大的指教

2
newkevin
iT邦高手 1 級 ‧ 2014-11-14 22:28:48

http://www.nicst.ey.gov.tw/Default.aspx
行政院國家資通安全會報
也可以參考這邊

bearchang iT邦新手 3 級 ‧ 2014-11-17 10:16:22 檢舉

謝謝提供~!

2
shengfu
iT邦新手 2 級 ‧ 2014-11-17 08:56:00

除了..稽核會稽核到的相關項目

我覺得最重要的是..

你老闆認為最重要的資安是什麼..

我要發表回答

立即登入回答