因此, ibm 的在導入信息 安全 時,使用的方法論步驟及內容如下:
ibm 的資安導入步驟 1. 信息安全策略信息安全所涵蓋的範圍極為廣泛,而要做到百分之百的 安全,事實上是幾乎不可能的,而且會耗用極大的資源。重要的是必須根據不同行業的特性來規劃,例如高科技產業通常著重於保障先進研發成果 數據 的機密,而重要民生系統則必須維持系統的運作不致中斷等,不同企業在信息 安全上的實施策略均不相同。由高層管理人員依照營運的目標與核心競爭力來源,訂定信息 安全策略, 引導 實際實施的走向,會是較為可行的作法。 2. 現況評估與分析
絕大部份的企業,均已實施一些信息 安全的措施與技術。然而,目前所缺乏的是具備一套有系統的方法,以便了解本身的資安缺失,以及現有的資安措施與技術是否能提供足夠的防禦保障。所以現況的評估與分析極為重要,顧問可以藉由訪談、檔案收集、實地勘查等不同手法,收集企業目前的實施狀況信息,除了可以經過分析藉以了解目前的資安狀況之外,更可以了解企業文化,未來在修訂資安措施或引進新的資安技術時,即可配合企業的文化擬定確實可行的方案。 3. 信息資產清單
實施信息 安全,乃是為了保障公司信息資產的 安全。因此,了解公司擁有哪些信息資產,是當務之急。各單位應列出其負責與保有的信息資產清單,並評估其受到損害時對企業所造成的損失及影響,即可了解各項信息資產對公司的重要性。因此,除了列出清單之外,針對每項資產,亦應進行風險評估,以了解這些信息資產可能面臨的問題,以及問題發生時,對公司的傷害程度。 風險評估乃是根據資產的價值,該資產所面臨的威脅與弱點,計算出可能造成的影響。根據風險評估的結果,再針對無法接受的風險擬定對策,並考慮選擇的對策所需的成本及可帶來的效益,讓風險值成為公司可以接受的程度,即可避免信息 安全 的事件造成企業極大的損失。 風險管理 風險值過高時,必須要採取對策。大致有以下兩種對策: (1) 降低風險:導入信息 安全 措施或技術以消除或減少風險的威脅。例如,企業尚未安裝防毒軟體時,則極有可能遭受病毒的攻擊性。建置防毒軟體並隨時更新病毒碼,即可將受病毒感染造成傷害的可能性降低。 (2) 轉移風險:除了降低風險之外,亦可將風險轉移給其它單位承受。比如說透過保險的方式,將風險轉嫁到第三者。如企業投保火險,一旦發生火警傷害,造成財物與業務上的損失,可以利用保險讓保險公司實際承擔大部分的財物損失傷害。
風險評估及管理的產出物為風險管理措施,這些即為後續改善措施訂定的來源。