資安風險評估是什麼?該怎麼做才能降低風險?對一般企業而言,風險管理是確保日常營運的重要環節之一,做好風險控管的公司往往能及時因應各種意外事件,並在事件發生時將損失降到最低。
除了日常營運的風險管理外,企業更不能忽略無處不在的資安風險。隨著網路技術的發展與應用範圍的擴大,不論外來或是內部產生的安全威脅,皆可能造成財務損失、業務中斷、聲譽受損、身份盜竊等重大資安影響,因此企業想在這個科技飛速成長的數位時代安然生存,千萬要重視資安風險評估。
資安風險評估是什麼?為什麼可以降低資安風險?
「資安風險評估」是企業為了提早識別潛在的資安威脅,評估風險因子可能造成的影響,才能確實因應資安風險,滾動式調整資安政策及管理模式,並導入相關資安控制措施與機制。
資安風險評估的對象與重點
多數企業在營運風險管理中已佈建了相當完整的程序,但面對資安總是力不從心或猶豫再三,其實只要清楚訂立評估對象與重點,便能延伸出一套專屬於企業、符合企業所需的資安風險評估流程。
評估對象
- 硬體:搭載企業核心系統與維持核心業務營運的設備,包含電腦、伺服器、網路設備等。
- 軟體:在資訊資產上運行的作業系統、應用程式、資料庫等。
- 資料:需要確保機密性與完整性的資料,包含客戶資料、財務資料、機密文件等
- 網路:銜接軟硬體設備的內外網、有線或無線網路、雲端網路等。
- 人:執行業務或使用軟硬體、系統、網路的人員。
評估重點
- 威脅:自然災害、人員因素、環境因素、軟體因素、硬體因素、攻擊事件。
- 弱點:設計不當、人為疏失、管理不當、強度不足、實體環境、系統程序、組成元件、資通系統、硬體設計、內部控制。
資安風險評估為企業帶來的效益
對許多企業來說,資安風險評估這個名詞常在「上市上櫃公司資通安全管控指引」、「ISO 27001」等法規規範、資安標準中出現,但實際上風險評估可為企業帶來的效益並非限於法規合規,更能在識別潛在資安威脅前提下,從以下層面持續加強企業的資安防護力:
- 降低資安事件發生的可能性。
- 減少資安事件造成的損失。
- 提升企業的競爭力。
- 改善企業的治理水平。
- 符合法規、供應鏈要求。
為什麼企業不可忽視資安風險評估的重要性?
如果說風險管理是日常業務營運的關鍵之一,那麼資安風險評估也將是企業資安管理中必不可失的重要一環,為了避免資安風險衝擊公司營運,企業應定期進行資安風險評估,以確保資安防護的有效性。
無法面對資安風險帶來的影響
影響之一:發生資安事件
如果企業沒有進行資安風險評估,就無法識別潛在的資安威脅,從而導致資安事件發生。
影響之二:未合規的後果
企業若未妥適完善資安,一旦發生個資外洩或相關資安事件,可能會受到主管機關責罰。
影響之三:失去客戶信任度
當企業發生資安事件時將會失去市場信任度,原有客戶可能會擔心受到牽連而藉此取消訂單。
不重視風險評估就是企業資安的一大風險
在此分享一個案例,曾經有一家專門製造電子零件的客戶,因為中小企業的資源有限,連負責資安管理的人員都是兼任,客戶本來想委外專業團隊進行資安風險評估、導入資安防護機制,但因為預算問題而未果,結果當年底就遇到勒索病毒入侵,不僅在解密救回檔案時付出不少人力與營運成本,更在合作廠商得知後被解約,損失一筆大訂單。
雖然資安事件並不是每天、每週、每月、每年都會發生的異常狀況,但正是因為難以掌握安全威脅所導致的爆點,企業才更應該投入心力、人力、財力,儘力控管所有能見的風險。
現在開始做資安風險評估會太晚嗎?
資安風險評估怎麼做?了解3大步驟與風險等級
許多企業擔心資安風險評估將會耗費大量的企業資源,並且無法完全減少資安風險帶來的威脅,但其實只要按部就班就可以順利完成資安風險評估,將風險等級分級後更能有效投入企業資源,完善風險管理。
資安風險評估3步驟缺一不可
識別資安風險
資安風險評估的第一步,企業需要全面盤點硬體、軟體、資料等資訊資產,分析其面臨的內部威脅和外部威脅,並透過漏洞掃描發現潛在漏洞,讓企業可以及時修復、完善漏洞管理。
評估營運衝擊
掌握了資訊資產所面臨的資安風險後,評估各項資產將遭遇的營運衝擊,需要考量到安全威脅可能帶來的影響,對應企業是否有抵禦攻擊或事件發生時的應變能力。
因應資安機制
完成資安風險的識別及評估,企業需認知到做資安並非紙上談兵,而是在擁有了資安風險情報後採取有效的資安控制措施,以利因應資安風險,才能真正將風險等級降到最低。
用營運衝擊程度區分風險等級
高風險
- 可能造成洩漏機密等級資料。
- 將嚴重竄改或毀損核心業務系統或資料。
- 多個業務、系統運作遭受嚴重衝擊。
中高風險
- 可能洩漏內部限閱等級資料。
- 將使核心業務運作或相關系統營運中斷。
- 重要業務、系統運作受到影響。
中風險
- 影響非核心業務系統。
- 資料可能遭輕微竄改,影響業務運作或降低系統效率。
- 重要業務、系統運作不會受影響。
低風險
- 非核心業務之資產,受到衝擊的損失程度很低。
- 不影響業務、系統運作。
資安風險評估平台--貼近客戶的資安風險評估工具
即使了解了資安風險評估的內涵,也是要花費大量的時間成本與精力才能完成這一項複雜任務嗎?目前市面上有不少可以幫助企業自動化執行資安風險評估的工具,鼎新也從服務客戶的過程中汲取經驗,開發出一套貼近客戶所需的「資安風險評估平台」:
- 系統化整合資產管理,可藉由匯入公司資產資料,直接獲得量性分數與質性描述。
- 用交叉綁定功能讓跨部門、跨團隊間的資安風險一覽無遺。
- 智能風險分析,透過格式化表格與圖像化顯示資安現況的風險。
- 自動化產出報表,且符合會計師稽核項目。
下一步怎麼做?讓資安風險評估發揮化險為夷的價值
資安風險評估是企業資安管理的重要環節之一,在協助企業識別、評估和因應潛在威脅後,將可有效降低資安風險,保護企業資產。然而,資安風險評估只是一項起點,接下來企業需要採取行動,才能真正降低風險,提升資安防護水平。
導入資安控制措施
事前預防及防護
- 定期弱點掃描、滲透測試及源碼掃描,並適度導入多因子驗證等防護機制。
- 定期辦理社交工程演練、資安教育訓練以提升人員資安認知。
事中偵測與回應
事後復原、演練
- 落實復原程序,以資料備份備援做為基礎確保系統營運不中斷。
- 在災難復原演練中用實際情境快速恢復受影響範圍,驗證復原計畫的有效性。
持續精進資安政策
資安風險評估是企業落實資安政策的重要工具,除了應付資訊稽核外,更建議企業定期執行資安風險評估,審視資安政策及防護機制的有效性,透過調整與完善達成持續精進,讓企業資安時刻保持在最佳的狀態。(延伸閱讀:資安策略再精進 您要知道的定期稽核與風險評估)
鼎新電腦資安專業團隊多年來站在第一線積累了豐富的客戶服務經驗,並且在因應上市櫃資通安全管控指引、資通安全管理法、ISO27001及相關政府單位的合規性要求中,也具備了系統性、完整架構和流程,搭配獨家研發的資安風險評估平台,協助企業智慧化管理資訊資產、評估風險,避開可能造成營運危機的種種威脅。
