IBM 輔導大型企業信息安全的作法（1）

  本文將分享 ibm 本身及輔導國內大型企業導入信息 安全 措施及解決方案的做法，並以實際建置的經驗為例，說明大型企業提升信息 安全 性時，常見的問題與因應措施，以提供各企業導入資安解決方案之參考。 根據經濟部中小企業處的統計資料，國內各產業雖以中小企業為主，約占 97% 左右，然仍有為數不少之大型企業；這些大型企業通常 e 化的程度較高，相對產生信息 安全 問題的機會也較高，因此大型企業極需導入各種資安解決方案與管理辦法，以求降低資安事件所可能對企業造成的傷害。然而大型企業在推動信息 安全 時，由於單位及人數眾多，所使用的信息系統多半新舊混雜，且不易在短時間內提升員工的自我資安意識，因此實施的難度亦隨之增加許多。

本文將分享 ibm 本身及輔導國內大型企業導入信息安全措施及解決方案的做法，並以實際建置的經驗為例，說明大型企業提升信息安全性時，常見的問題與因應措施，以提供各企業導入資安解決方案之參考。

無論是 bs7799 標準中所強調的 pdca(plan-do-check-action) 流程，或是 ibm 資安方法論所強調的評估、計畫、 設計 、執行與營運等各步驟，要作好信息 安全 都是必須要先確認企業的營運目標與資安需求，而未來所導入的任何解決方案均應符合目標與需求。

導入信息安全，大致包含了信息安全管理系統以及 it 解決方案等建置。一般而言，在時間許可的前提之下，按部就班的從風險評估開始做起，先了解企業所面臨的安全威脅，以及可能造成的傷害之後，按照影響程度，配合適當的效益分析，依序根據預算與急迫程度執行解決方案，以降低風險，是最為理想的執行方式。但在現實上，企業常常面臨到時間、預算，甚至於來自客戶、供貨商等業務壓力，而無法按照上述的方式執行，必須在短時間內針對急迫的問題迅速擬定執行解決方案，結果容易使得導入的解決方案只能治標，或是缺乏擴充的彈性，而無法面對未來變動的環境。

因此， ibm 的在導入信息 安全 時，使用的方法論步驟及內容如下：

ibm 的資安導入步驟

1. 信息安全策略
信息安全所涵蓋的範圍極為廣泛，而要做到百分之百的 安全，事實上是幾乎不可能的，而且會耗用極大的資源。重要的是必須根據不同行業的特性來規劃，例如高科技產業通常著重於保障先進研發成果 數據 的機密，而重要民生系統則必須維持系統的運作不致中斷等，不同企業在信息 安全上的實施策略均不相同。由高層管理人員依照營運的目標與核心競爭力來源，訂定信息 安全策略， 引導 實際實施的走向，會是較為可行的作法。

2. 現況評估與分析
絕大部份的企業，均已實施一些信息 安全的措施與技術。然而，目前所缺乏的是具備一套有系統的方法，以便了解本身的資安缺失，以及現有的資安措施與技術是否能提供足夠的防禦保障。所以現況的評估與分析極為重要，顧問可以藉由訪談、檔案收集、實地勘查等不同手法，收集企業目前的實施狀況信息，除了可以經過分析藉以了解目前的資安狀況之外，更可以了解企業文化，未來在修訂資安措施或引進新的資安技術時，即可配合企業的文化擬定確實可行的方案。

3. 信息資產清單
實施信息 安全，乃是為了保障公司信息資產的 安全。因此，了解公司擁有哪些信息資產，是當務之急。各單位應列出其負責與保有的信息資產清單，並評估其受到損害時對企業所造成的損失及影響，即可了解各項信息資產對公司的重要性。因此，除了列出清單之外，針對每項資產，亦應進行風險評估，以了解這些信息資產可能面臨的問題，以及問題發生時，對公司的傷害程度。

風險評估乃是根據資產的價值，該資產所面臨的威脅與弱點，計算出可能造成的影響。根據風險評估的結果，再針對無法接受的風險擬定對策，並考慮選擇的對策所需的成本及可帶來的效益，讓風險值成為公司可以接受的程度，即可避免信息 安全 的事件造成企業極大的損失。

風險管理

風險值過高時，必須要採取對策。大致有以下兩種對策：

(1) 降低風險：導入信息 安全 措施或技術以消除或減少風險的威脅。例如，企業尚未安裝防毒軟體時，則極有可能遭受病毒的攻擊性。建置防毒軟體並隨時更新病毒碼，即可將受病毒感染造成傷害的可能性降低。

(2) 轉移風險：除了降低風險之外，亦可將風險轉移給其它單位承受。比如說透過保險的方式，將風險轉嫁到第三者。如企業投保火險，一旦發生火警傷害，造成財物與業務上的損失，可以利用保險讓保險公司實際承擔大部分的財物損失傷害。

風險評估及管理的產出物為風險管理措施，這些即為後續改善措施訂定的來源。