有限資源下的風險管理 中小企做好 Security Audit有法

不少大型企業都會進行定期的資訊安全審計(Security Audit)以符合某些法規上的特別要求,不過對於中小企而言,很多時並沒有行業上的法規需要遵從,而且亦缺乏資源聘請專家進行 Security Audit,因此往往忽略了資訊安全審計的重要性。其實定時來一次資安審計,對於降低資安風險有絕對幫助!以下我們便分享一些資安審計最常會進行的檢查項目,讓中小企參考一下。

1. 制定需要審計的設備
首先你需要列出一張審計清單,該審計清單需包括所有需要進行審計的硬件及軟件,而一般正式的審計工作,有可能需要將整家公司所有有形及無形資產計算在內,不過由於中小企一般不是正式具規範性的審計,所以只是 IT(軟硬)設備即可。

2. 列出可能的潛在威脅
然後就是列出可能會影響公司 IT 安全性的潛在威脅,例如:垃圾郵件、駭客攻擊、病毒、員工疏忽等因素,同時亦要把員工的使用習慣及其產生的潛在威脅計算在內;另外,也要同時將人為的損壞,例如:人為所造成的物理性損壞以及是處理不當所造成的資料外洩事情等,一併放到清單之中進行評估。

3. 回顧過去、展望未來
假如公司以往曾經發生過資安事故的話,便需要將以往出現的資安事故加入到審計之中,通過了解以往發生事故的原因,從而再針對系統弱點或漏洞進行偵查。而現時有系統亦可以結合大數據分析,從而讓用戶洞悉未來因系統弱點,而出現漏洞或危機的可能性,這一切的分析都是結合了大量舊有數據作為分析數據源而進行。通過有效的分析,讓管理員作好準備應對風險。

4. 計劃先後次序
接著就是先後次序的問題,儘管列出的所有設備都十分重要,但是當中總會有比其他來得更為重要的設備,考慮哪些是最想保護的設備,並同時確保能夠解決到構成最大威脅的風險因素。

5. 注意電子郵件安全
接下來就是針對企業之中不同系統、軟件的審計次序,最常見的做法是把電郵安全放到最前,事關電郵是現今商業通訊所必備,而且往往保留著最具價值的資訊,例如個人資料又業務上的秘密,因此一旦電郵被成功入侵,接下來勢必會出現其他的資安問題。

另外企業亦應該部署 DLP 等相關系統,因為很多時資料外洩都是由員工不小心的操作而引起,員工透過電郵誤將敏感資料傳送出去的情況亦屢見不鮮,因此電郵的防禦工作除了著重針對網絡攻擊等的範圍作防禦之外,針對內部人員的教育亦十分重要,只有教育好員工,提高他們的危機意識,才是最有效的預防之道。

其實除了上述的措施之外,在進行審計時還可做得更多!不過篇幅所限,以上介紹的是一般審計工作時都定必會涉及的地方;至於其他我們沒有提及的,其實大家反而可以按自己本身的需要,自行定下審計的範圍,始終這次介紹針對中小企的審計,並非為了合符法規而進行,因此大家應視之為一種只針對自己企業實際情況,進行的資安審計工作會較為妥當。