有限資源下的風險管理：中小企應如何做好 Security Audit？

很多大型企業都會進行定期的資安審計（Security Audit）以符合可能是某些法規上的要求！不過對於中小企，很多時並沒有行業上的法規需要遵從，而且亦欠缺資源聘請專家作 Security Audit，因此往往都會忽略了資安審計的重要性。

其實定時來一次資安審計，對於降低資安風險有絕對幫助！以下我們便分享一些資安審計最常會進行的檢查項目，讓中小企參考一下。

1. 制定需要審計的設備

首先你需要列出一張審計清單，該審計清單需包括所有需要進行審計的硬件及軟件，而一般正式的審計工作，有可能需要將整家公司所有有形及無形資產計算在內，不過由於不是正式的審計，所以只是 IT （軟硬）設備即可。

2. 列出可能的潛在威脅

然後就是列出可能會影響公司 IT 安全性的一些潛在威脅。例如我會列出垃圾郵件、駭客攻擊、病毒、員工疏忽等因素，同時亦會把員工的使用習慣及其產生的潛在威脅計算在內；另外，我亦會同時將人為的損壞，例如是人為所造成的物理性損壞以及是處理不當所造成的資料外洩事情等一併放到清單之中進行評估。

3. 回顧過去、展望未來

假如公司以往曾經發生過資安事件的話，我們便必須將以往出現的資安事情加入到審計之中。我們可通過了解以往發生事故的原因，從而再針對系統弱點或漏洞進行偵查。而現時有系統亦可結合大數據分析，從而讓用戶洞悉未來因系統弱點而出現的漏洞或危機的可能性，這一切的分析都是結合了大量的舊有數據作為分析數據源而成。通過有效分析，從而讓管理員作好準備，以應對風險。

4. 計劃先後次序

接著就是先後次序的問題了。儘管你所列出的所有設備都十分重要，然而當中有些卻會比其他的更為重要。你可以考慮那些是你最想保護的設備，並同時確保你能解決到對你構成最大威脅的風險因素。

5. 注意電子郵件安全

接下來就是針對企業之中不同系統、軟件的審計次序，在我而言，通常都會把電郵安全放到最前！事關電郵是現今商業通訊必備的，而且當中往往更保留著最具價值的資訊，例如是個人資料又或者是一些業務上秘密，最此一旦電郵被成功入侵，接下來勢必會出現其他的資安問題。

另外企業亦應該部署 DLP 等相關系統，事關很多時資料外洩都是因員工不小心的操作而引起，而員工透過電郵誤將敏感資料傳送出去的情況亦時有發生，因此電郵防禦工作上，除了著重針對網絡攻擊等的範圍作防禦之外，針對內部人員的教育亦十分重要，只有教育好員工，提高他們的危機意識，才是最有效的預防之道。

其實除了上述的措施之外，在進行審計時亦可做得更多！不過篇幅所限，以上所介紹的是一般審計工作時都定必會涉及的地方；至於其他我們沒有提及的，其實大家反而可按自己本身的需要而自行定下審計的範圍，始終今次介紹針對中小企的審計，並非為了合符法規而進行，因此大家應視之為一種只針對企業實際情況而進行的資安審計工作，會較為妥當。

鳴謝：Lapcom