歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
新聞
您現在位置 : 首頁 >
新聞
企業組織的好朋友 顧問新角色-家庭醫師
2005 / 02 / 03
蔡興樺
資訊安全的生命週期
整個資訊安全的生命週期,依照筆者的區分,概略分為下面幾個階段:
*風險評估階段
*資訊安全政策設計階段
*執行階段
*稽核階段
*維護階段
風險評鑑階段
也有人稱為評估階段或差異性分析(Gap Analysis),重點在於瞭解組織目前資訊安全的狀態,應包括技術及管理兩種類別。好比個人去醫院做身體檢查,醫生除了藉由各種儀器的檢查外,還會詢問我們日常生活的管理方式,例如有無喝酒、抽煙或熬夜的習慣等等。風險評鑑階段最後產出的結果,可能是一份風險評鑑報告,報告內容依據組織的業務特性、組織的文化、組織風險的接受程度、所使用的科技策略等等,而有所差異。因此,一般利用弱點掃描工具所產生的弱點掃描報告,比較像是檢查報告,是尚未經過醫師解讀的原始資料,同樣的數據,對於不同組織或不同年齡的被檢查者應有不同的意義。唯有透過專業的資訊安全顧問,藉由顧問清楚地分析各項威脅或弱點,將可能對組織帶來多大的風險,才能協助組織清楚瞭解有哪些風險是必須去面對,進而適當的管理之。
設計階段
這個階段我們將風險評鑑報告的內容,轉換成資訊安全政策(包括程序、作業指導書及紀錄之統稱)。依據風險評鑑的內容,加上現有的一些管控措施及預計設計的安全作業,決定採行哪些風險管理策略(包括降低風險、規避風險、轉嫁風險及接受風險等等)。此時,顧問也會扮演如同醫師的角色,協助組織分析各種管理策略及安全作業的利弊得失,提供組織在做決策時的重要參考依據。若是最後風險評鑑的結果是可接受的,那就將設計的安全作業加進組織的安全政策,並透過下一階段落實之。
建置階段
依據設計階段所設計的資訊安全政策,建置相關的安全作業。這個階段,顧問會陪這組織瞭解建置情形,如同復健師陪著病人,確實去落實每個控制點。當然有時候,事情並不會是如此順利,因為這些管控措施都會多多少少影響到不同部門、不同工作人員原本進行的工作,勢必會招來反彈,顧問應該也是組織重要的溝通管道之一。
稽核階段
若是稽核人員能夠參與這整個資訊安全的生命週期,這時,也是稽核人員發揮的機會。稽核很清楚地瞭解管理重點,也就更清楚稽核要點了。透過獨立第三者的查核,可以去除一些盲點,協助組織改善不當的資訊安全作業。這時資訊安全的設計顧問較不適合擔任此項任務,可再委由其他顧問執行之。
維護階段
組織是持續不斷在運作的,而且時時刻刻都在變化,既使組織變化不大,環境也在變化。因此我們所設計的資訊安全政策,除了加強落實之外,也該因應組織內部或外在環境的變化,而加以適當修訂。顧問此時應瞭解組織的企業策略及目標,協助修訂(甚至重新制訂)資訊安全政策,以滿足組織的需求。
教育訓練
組織是不斷地學習,一般人員需要一些必要的資訊安全常識;技術人員需要一些技術上的教育訓練;藉由顧問對於資訊安全新知的快速取得,迅速將新知導入組織。
顧問的角色
資訊安全顧問與家庭醫師的作用是可以相互比擬的,資訊安全顧問與客戶之間的關係,其實與病人跟醫師之間的關係是有那麼一些相似之處。
沒有問題時不甚注意:
當身體出現了狀況,才會尋找醫師協助。當組織未發現有資安事件時,通常也不會覺得有資訊安全顧問的需求。
執行方式與作用雷同:
通常醫生會問診,然後透過儀器輔助,確認病因為何,進而開立處方。至於病是否會痊癒,與醫生並無重大關係,倒是病人有無充分休息?補足養分?白血球的戰鬥力為何?等等成為主因。同樣的資訊安全顧問,也是做一適當的訪談,藉由一些工具的協助,瞭解組織資訊安全現況,提出改善建議報告。組織資訊安全的程度,其實與組織是否清楚風險所在,是否確實執行相關措施等等有重大關連。
病好了再等下一次循環(把醫師置之腦後):
病好了之後,又恢復生病前的狀態,等到下次生病時,再去「看」醫生。解決中毒事件後,資訊安全顧問也就沒事了。
顧問的作用:
這是很多客戶首先要清楚的事。當然顧問如何讓您買單也是顧問的基本銷售功力,但為了預防自己的一時衝動或是因為銷售人員的三吋不爛之舌,導致無謂的浪費,瞭解所購買之服務是件重要的事。
舉一個自身的案例,原本為了溝通上的方便,所以想要買一支手機,結果到了店裡,店員以他豐富的銷售經驗告訴我,最新款的手機可以照相、傳影像、錄音等等很炫的功能,價格也不貴,才多萬把塊錢,真是犀利,佩服!佩服!我想也對,我小孩在鄉下,如果有這支手機,我就可以隨時看到我那可愛的「菜脯蛋」(註:筆者的第一個Baby)囉!於是我就這樣多花了一萬多元,原本最陽春的機型也不過幾仟元。這是我們日常發生的狀況,各位看倌,那些功能真的發揮功能了嗎?未必!因為照相的時候還是數位相機好,記憶體容量大、可自動對焦、有閃光燈等;真的可以隨時看到「菜脯蛋」嗎?錯!除非再買同樣功能的手機給我的老爸,再買一台給我太座,才可能解決問題。
因此自己本身的需求及所購買的服務是否相符合,過多或是不足我想都不是適當的,唯有透過不同方式,讓自己清楚明瞭需求所在之時,才能作最適當的決定。另外一個重點,如何辨識顧問公司所提供服務品質差異?例如弱點掃描服務,市面上多的人可以提供此類的服務,從最陽春的使用工具,執行出所謂的弱點掃描報告,交給客戶,客戶自行看著辦;到從企業的風險角度,分析出支撐組織的關鍵性業務、辨識出重要的資產、找出這些重要資產所面臨的威脅與與弱點、計算出各項重要資訊資產的風險、找出適當的風險管理策略及實施作法。這樣的服務價格有可能從數仟元至數十萬元不等。因此,顧問提供的服務內容、執行的過程及最後的產出,組織是否清楚?就是能否要求顧問提供適當服務品質的關鍵。
結論
顧問走了之後,企業用戶應該如何應對?其實,這句問句有一種解釋是這樣的,「資訊安全專案結束後,組織的資訊安全怎麼辦?」好像顧問在,則安全在;顧問一離開之後,組織就無所適從?若我們從新思考一連串的問題,或許我們會更清楚這個問句的整體內涵。一是,組織是否需要資訊安全顧問?為什麼需要?其次是,資訊安全顧問的作用何在?想要資訊安全顧問為我們提供那些服務?達到哪些效果?第三是,資訊安全顧問執行完專案後,組織如何還需要資訊安全顧問嗎? 組織內部,若將資訊安全管理視為專案來執行,一定會有專案的起點與終點,到達專案結束的那時刻,專案成員可能會有一些失落感,因為顧問的離開,就好像失去靠山一樣。因此,資訊安全的管理應該當成日常的作息一般,顧問的角色應該如同家庭醫師一般,這位醫師不會每天跟我們生活在一起,可是當我們有所疑問之時,他總是可以適當給我們一些合適的建議。
資訊安全顧問應該與家庭醫師的角色較為類似,資訊安全顧問對於客戶的組織文化、作業流程、人員都相當熟悉,若是那個環節產生了問題,顧問可以迅速進入狀況,瞭解問題後,進而提供適當的解決方案。因此,除非是更換顧問,否則顧問應該會像家庭醫師,應該會一直伴隨組織的成長,協助組織加強資訊安全的防護。
(本文作者現職為普華資安資深顧問)
最新活動
2025.05.23
2025 雲端資安趨勢論壇
2025.04.30
免費【資安人才培育計畫說明講座】 資安顧問師 與 資安維運工程師 的職能發展與養成
2025.05.14
OpenText+精誠資訊【AI x DevOps打造高效敏捷團隊,提升軟體交付速度!|成功企業案例分享】
2025.05.16
資安媒合交流系列活動
看更多活動
大家都在看
MITRE ATT&CK 發布17.0版,新增 ESXi 攻擊戰術技術與程序
SSL.com 驗證漏洞:攻擊者可輕易取得重要網域憑證
國家級駭客瞄準中小企業 供應鏈成新戰場
新型Android惡意程式 使用NFC中繼攻擊竊取信用卡資料
中國駭客組織 Billbug瞄準東南亞:全新工具發動精密網路間諜戰
資安人科技網
文章推薦
資安格局重塑:Mandiant 揭露2025年五大關鍵網路威脅
TWISA攜手數產署展現台灣資安硬實力
資安託管業者如何應對AI安全盲點