定期做資安稽核及風險評估，感覺好麻煩？「資安即國安」口號既出，將資通安全議題推送到社會大眾眼前，面對四面八方而來的威脅，無論是個人或企業皆無法棄之不顧。

　　金管會於2021年發布之「上市上櫃公司資通安全管控指引」，將是上市櫃公司資安的鮮明路標。不過多數企業對於落實資安、合規作法仍是毫無頭緒，若迫在眉睫之際直接拿出過往的資安策略修修補補，囫圇吞棗了事，並非良策。

完美的資安策略並不存在？疏於評估、輕忽風險是大忌

　　根據趨勢科技（Trend Micro）研究統計，若製造業遭遇勒索軟體攻擊，其自動化產線的平均停擺時間為21天，每次停擺的財物損失更可能高達280萬美元（將近新台幣9000萬元）。直至2022年，製造業受到駭客攻擊的比例達58%，已取代金融服務業成為多數有心人士鎖定的目標。

　　雖然大部分的上市櫃公司具有一定規模，也有已設置多年的資安設備與流程，可或許，不存在完美的資安策略。因黑色產業鏈的蓬勃發展，主導惡意攻擊的駭客手法多變，從前做好的資安是否符合現今需求且有效防禦威脅，皆需要定期評估、檢視。

　　在「資通安全管控指引」中也提到，辦理內外部資安稽核後，應就發現之風險進行評估並擬定改善措施，視情況修訂資安政策與目標，達成持續精進的循環。修訂後的版本需呈核資安長等副總層級以上的主管，後續佈達、落實資安到公司的每一個角落，而為使管理階層理解企業資安，於董事會上定期呈報實施現況也將是必不可少的環節。

定期稽核、評估風險是持續精進的循環中心｜資安指引懶人包

資安稽核不棘手！有效盤點資產以利評估風險衝擊

　　不論年中或年終，一旦稽核號角響起，各部門無不顫巍巍地等待稽核人員的到來，深怕稽核過程不順利、缺失單罄竹難書，工作量挾帶壓力排山倒海而來。建議平時就先做好資產盤點，比如說公司內部的Server數量、建置的系統等，皆紀錄成資產清冊以便後續管理與監控。

資安稽核前先做好盤點資產、建立清冊｜資安指引懶人包

等級分類

　　資產除了分為硬體、軟體、資料、服務等之外，更需釐清所謂的核心業務與其系統、設備，進而為資產的重要與否分門別類。

　　可就發生營運中斷之事況時，遭受衝擊的程度分級：

　　【高風險】

• 機密等級資料洩漏。
• 核心業務系統或資料遭受嚴重竄改或毀損。
• 嚴重衝擊多個業務、系統運作。

　　【中高風險】

• 內部限閱等級資料洩漏。
• 影響核心業務運作或相關系統中斷服務。
• 影響重要業務、系統運作。

　　【中風險】

• 一般等級，非核心業務系統。
• 只是資料遭輕微竄改，業務運作遭影響或系統效率降低。
• 不影響重要業務、系統運作。

　　【低風險】

• 非核心業務之資產。
• 受到衝擊的損失程度很低，不影響業務、系統運作。

風險衝擊

　　資產分級與風險衝擊值可一同進行，用量化的方式將等級可視化，也是該資產的價值體現。

　　以資安核心三要素「CIA」做為主要評估成分：

• 機密性（Confidentiality）：未經授權的資訊揭露，如個資或機密資料外洩。
• 完整性（Integrity）：造成資料錯誤或遭竄改等情況，如資料庫毀損。
• 可用性（Availability）：中斷資訊、資通系統的存取或使用，如營運中斷、存取錯誤。

權責單位

　　許多人會誤解身為最高權限管理者，IT人員就是資訊資產的主人－－其實不然，資產的真正掌權人應為權責單位的主管，負責決策業務模式與執行目標，故進行風險衝擊分析時，權責主管可提供較為準確的辨識資訊，發生緊急狀況的當下也將由權責主管裁定後續作為。而因權責主管偏向決策面，為確保實際面執行，也可進一步紀錄該資產的使用者等相關人員，以利管理與教育訓練。

存放位置

　　稽核時，最常發生的窘況就是「有帳沒物」，它也許埋藏在機房的茫茫設備海中，還可能摸不透運作現況，彷彿船過水無痕一般，急得權責人員如熱鍋上的螞蟻。為避免找不到對應的資產，應確切紀錄其存放位置，包含異動、汰除皆需掌握去處，也建議企業拍照歸檔可辨認資產所在處與外觀的關鍵資訊，以便日後查找。

　　在此也要提醒新資產的入帳管理需謹慎、謹慎再謹慎，一旦有所疏忽，不僅存放位置及使用狀態毫無紀錄，經年累月的「有物沒帳」更導致未經稽核、盤點，跳脫管控範圍恐成資安漏洞。

維護狀態

　　除了存放的位置，企業資訊資產的維護狀態也不容輕視。運行中的設備或系統等，勢必需要定期更新韌體、弱點掃描、滲透測試，透過盤點檢視企業每一項資產的「健康度」，方能抵禦來勢洶洶的駭客攻擊。無人使用的閒置設備則可直接關機，以免成為惡意程式流竄的通道，後續再考慮是否回收、汰除。

資安策略的縱深防禦 定期風險評估將可持續精進不間斷

　　盤點及稽核的目的，並不是為了產出資產清冊跟開缺失單而已，要落實資安管理與監控，萬萬不可忽略風險評估。資產等級、風險衝擊值的區分與風險評估息息相關，針對各方面如自然災害、人為、環境、軟硬體與資安攻擊等威脅，找出自身的弱點，像是實體環境、系統程序、設計不良、管理不當等，評估該弱點被利用的程度與遭受威脅的可能性，再回過頭來檢視資安策略是否還有不足之處，將是持續精進的利器。

資安稽核與風險評估息息相關｜資安指引懶人包

　　「資通安全」在社會大眾眼中比重漸增已是不爭的事實，包括您我，都不該抱持著僥倖心態，認為每一次資安危機皆可全身而退。

　　「資通安全管控指引」自發布以來，就成了上市櫃公司無法忽視的重要法遵議題，然而指引中的法條晦澀、難以理解，對照企業自身的資安現況後更是如墮五里霧中。

　　對於企業資安而言，不論虛實－－看不到的系統或看得到的設備－－只要存在於企業中便都是關鍵。因此，進行資產盤點、定期稽核與風險評估，讓資安策略與時俱進方為企業永續經營的生存之道。