不打無準備之仗　定期企業安全評估

如果資安人員不理解企業資料的價值，就很難真正理解企業面臨的威脅
，也就無法真正理解企業的安全計畫、安全過程和程式是否真正有效。資安員的任務可能非常艱巨：從諸多擔心、不確定因素和似是而非的問題中抽絲剝繭，評估不同的風險狀態和這些風險在企業發生的可能性。然後再確定如何使用必要的技術使這些風險最小化。

許多企業花費了太多時間用於工具，而對於資料的重視程度卻遠遠不夠。與資料相比，技術相對簡單。更困難的問題是理解資料，因為大樓、LAN、主機無法限制資料。

無論IT專業人員還是一般的業務專業人士都要認識到企業需要部署控制和保護，以跟蹤資料的流向和目的地，當今的企業需要保護資訊的基礎架構。但這僅僅是關於資料與技術的第一項措施，多數公司往往並不清楚威脅，要證明「把錢花在不一定發生的潛在威脅上是合適的」非常困難。情況往往是只有在發生了危害後，企業才開始重新評估其安全性原則。

從何處開始呢？要描繪企業資訊風險的概況，安全管理者應從確認所有的關鍵業務過程及其工作方式開始。誰都無法保護並不瞭解的資產。安全管理者應調查企業的物理資產和技術資產，無論是資料、技術、人員還是過程，都必須包括在內。

資安人員應與擁有涉及的人員交流，了解他們的風險要求和感受水平。例如，風險在何種情況下會產生危害？企業的敏感點（痛點）在哪裡？是效率還是可用性？亦或是資產自身？這些痛點在不同的企業之間是不同的。

這個過程就是要理解企業所面臨的不同風險狀況，在這些狀況中，哪些是真正可能發生的？安全管理者應關注哪些？如何應對這些狀況，在哪一點上開始對付這種狀況？由此，管理者才可以部署控制、功能、框架、過程、方法、應對措施

企業需要一種資訊管理策略，以説明企業更好地確定和實施安全性原則和過程。我們不妨將資訊管理策略定義為：為了管理在企業中存在和流動的資訊，企業將有益於公司的方法、策略、過程建立起來的一種集合。這種策略可以管理和監視資料。

資訊管理與評估風險和決定適當的安全水準同樣重要。但管理資訊遠遠不是利用技術保護資訊那樣簡單，安全策略和知識管理必須培訓前線員工以減少人為錯誤。在確認了適當的風險狀況和理解了風險要求後，還要定時需要重新調整策略，以應付資安環境變化。

在準備好策略、過程、工具後，評估其效能就要求企業具有安全實踐和過程的專業知識，並理解公司的內部程式。這種評估可通過內部的專業人員或外部的審計人員實施。當然，問題是資安是一個不斷演變的問題，它不可一蹴而就，而是應當經常評估和修訂，以應對不斷變化的威脅。對於多數企業來說，這有可能是最大的困難。

有專家建議以以下方面評估企業的安全水平，或評估當前狀態與目標狀態的差距：

1.安全文化，評估企業在安全意識培訓中是否使用了多種方法。

2.審計問題，評估企業是否將安全問題加入在項目計畫和變更管理過程中。

3.規範管理，評估企業是否為管理過程明確地規定了責任和義務。

4.策略和過程管理，評估企業將物理安全整合到其它過程的程度。

5.事件管理，評估企業的事件監視是否包括了所有方面。

6.風險分析，評估企業是否將風險分析的結果明確地傳達給所有專案團隊。

7.漏洞管理，評估企業安全原則和過程審計是否合乎規格。