近期受新冠肺炎疫情影响，越来越多企业采用远距办公模式。然而企业在防疫的同时，又该如何有效做好资安管理呢？精诚资讯分享企业必须将资安管理深化到组织文化精神中，透过员工资安意识训练并配合长期的社交工程演练，来强化员工的资安敏锐度。

图一 : 企业必须将资安管理深化到组织文化精神中，透过员工资安意识训练强化员工的资安敏锐度。(source:ExpressComputer)

越来越多企业采用远距办公模式，所幸拜资讯科技发达所赐，包括线上会议系统、云端CRM系统、VPN虚拟私人网路等服务，让企业能无痛转移办公模式。远距办公产生的企业资安风险，也因此受到大量的关注。在媒体报导与各专家的风险宣导与提倡下，普罗大众更加意识到资讯安全对企业、国家、甚至是个人的重要性，资安人员也因此备受重视。此外，「战场管理」思维也应导入资安管理中，透过资安情报掌握骇客踪迹才能有效防御，达成资安抵御目的。

然而，社会看待资安的氛围虽然改变，但企业对于资安防御任务却仍不甚清楚，更遑论在行动装置普及的当下，IT人员的防护边界变得更广、复杂度也更高。面对种种挑战，IT或资安人员究竟要如何有效做好企业资安管理呢？

ISMS、CSF哪个好？纠正企业的资安管理概念！

资安管理全名是资讯安全管理系统（Information Security Management System；ISMS），是一套在全球推行并包含系统分析和管理资讯系统的方法，换句话说，资安管理提倡的是一套有系统的管理框架与方法论，企业资安人员可以透过该方法论来强化企业内部的资安防护。

在台湾，目前最耳熟能详的资安框架莫过于ISO/IEC 27001。1995年英国BSI GROUP发布了全球第一个ISMS安全标准BS-7799，该标准在经过讨论与修订后，衍伸到现在分成了ISO/IEC 27002与ISO/IEC 27001，其中ISO/IEC 27001是资讯安全管理系统的验证标准（框架文件），而ISO/IEC 27002则是企业在建立ISMS时所需参考的作业准则（施行文件），目前国际主流的ISO27001标准已经从最早的2005年版本发布到2013年版本，内容共计有14个领域、35项目标、114项控制措施。

近期资安圈内也开始在讨论美国国家标准暨技术研究院所提出的NIST网路安全框架，该框架从五大构面：识别（Identify）、保护（Protect）、侦测（Detect）、回应（Respond）与复原（Recover）来评估企业资安，并且依照风险等级细分为108个控制措施。

常有人问说企业到底该选择ISO27001（ISMS）还是NIST Framework（Cybersecurity Framework；CSF）作为资安框架的主流，但其实大家都误解资安框架的定义了，这些资安标准之间往往都会互相引用与参考。

所谓的资安框架是这些组织单位，针对资安所订立参照索引与标准边界，并不是强迫企业只能实施其中一种准则或标准。反之，企业应该以强化资安治理韧性为最终目标，依照适合当下企业环境所需，多方面参考合适的资安框架与目标。

资安最大的风险是人！不可忽略的社交工程演练

过往企业遭受骇客或邮件钓鱼攻击时，资安人员能透过企业所采取的资安防护手段阻挡威胁，如入侵侦测系统（Intrusion Prevention System；IPS）、内容沙箱过滤装置（SandBox）、网站应用防火墙（Web Application Firewall；WAF）以及端点安全（Endpoint Protection Platform；EPP或Endpoint Detection and Response；EDR）等产品，进行事前或事中的应变措施，尽量让公司业务营运人员减少接触到可疑风险，但我们却忽略了最重要的一个思维─「资安最大的风险其实就是人」。

根据国外资安厂商的统计，每位商务人员每天会收到的电子邮件约为80封左右，其中有16%的信件为垃圾或者钓鱼邮件，也就是说一年下来，每位员工平均可能收到2300封左右有风险的信件。

这些信件一再挑战着员工对资安意识的敏感神经，稍有不慎，便有可能造成资料外泄或成为勒索标的，企业不应该用保护伞的心态处事，应该积极筹备资安的意识训练，并配合长期的社交工程演练，让资安精神与文化常驻在企业体系之中。

资安管理怎么做？用战场经营思维出发！

近年来随着科技应用越来越成熟到位，企业所面临的资安挑战也更加严峻，所需防护的边界战场从原本的内网拓域到外部边际环境与物联网设备端，这些位于企业治理边陲的物联设备，如果没有统一且即时的管理模式，将成为骇客的帮凶或成为僵尸设备，像是这几年国内IP摄影机、CCTV摄影机、路由器等有嵌入Linux作业系统的IoT装置遭骇作为DDoS攻击的帮凶，就是一个早期经典的例子。

试想即将来临的5G时代，这些低延迟、低功率、高速率的设备在内网与外网之间流窜，传输速度是现在的100倍以上，资安人员要做到紧急应对，真的是难上加难，显见我们身处的物联网（IoT）环境有多么的危险。

因此企业若要做好资安管理，下一步要开始走向战场经营与管理，必须抱着「战争是无法避免的，想要和平，要先做好战争的准备」的思维。战场经营指的是针对战略构想，透过资安情报（包含明网与暗网）掌握骇客会下手的目标伺服器，在其中的环境上进行诱敌、应敌、欺敌的设计，借此拖垮骇客在进行攻击时的效果与时间，最后再搭配自动化的战情回报与应对指挥，透过API呼叫各资安方案进行联防围堵，让骇客的攻击无效化，达成资安抵御目的。

图二 : 企业可透过资安意识演练方案，设定钓鱼邮件演练任务，训练员工资安意识。

有效的资安管理必须深入到企业的文化精神中，资安人员可以从人员对于文件的处理态度、对于信件的敏感神经、以及演练的配合与讨论，来观察企业是否已经拥有实质上的资安管理与文化，而非为了做而做。就算准备好了对应合规的四阶文件或报告，但若没有在真实的商业营运中实际落地执行，那就失去其意义了。

某高科技业导入资安管理　一兼二顾提升员工效率与资安防护

举实际案例来说，某高科技公司在与精诚团队洽谈后，选择了ISO27001做为资安框架，并同时搭配社交演练平台，每月寄送资安宣导以及社交演练邮件，长时间培训员工资安意识，在经过半年的资安文化改造下，该公司员工现在面对非商业上的电子邮件，都会先行排除，或者检视寄件者帐号资讯是否正确。如此一来，员工不但养成了良好的资安意识，也提升了工作效率，专注将时间投入在本职任务。

为持续强化该公司的资安防护，精诚随后透过ISO27001「PDCA」（Plan-Do-Check-Act）的框架，利用持续的演练与宣导，让该公司员工了解最新的骇客攻击手法，协助调整资安体质，全面降低资安风险。

（本文作者廖本凯为精诚资讯资安品牌FOREKNOW产品经理）