近期受新冠肺炎疫情影響，越來越多企業採用遠距辦公模式。然而企業在防疫的同時，又該如何有效做好資安管理呢？精誠資訊分享企業必須將資安管理深化到組織文化精神中，透過員工資安意識訓練並配合長期的社交工程演練，來強化員工的資安敏銳度。

圖一 : 企業必須將資安管理深化到組織文化精神中，透過員工資安意識訓練強化員工的資安敏銳度。(source:ExpressComputer)

越來越多企業採用遠距辦公模式，所幸拜資訊科技發達所賜，包括線上會議系統、雲端CRM系統、VPN虛擬私人網路等服務，讓企業能無痛轉移辦公模式。遠距辦公產生的企業資安風險，也因此受到大量的關注。在媒體報導與各專家的風險宣導與提倡下，普羅大眾更加意識到資訊安全對企業、國家、甚至是個人的重要性，資安人員也因此備受重視。此外，「戰場管理」思維也應導入資安管理中，透過資安情報掌握駭客蹤跡才能有效防禦，達成資安抵禦目的。

然而，社會看待資安的氛圍雖然改變，但企業對於資安防禦任務卻仍不甚清楚，更遑論在行動裝置普及的當下，IT人員的防護邊界變得更廣、複雜度也更高。面對種種挑戰，IT或資安人員究竟要如何有效做好企業資安管理呢？

ISMS、CSF哪個好？糾正企業的資安管理概念！

資安管理全名是資訊安全管理系統（Information Security Management System；ISMS），是一套在全球推行並包含系統分析和管理資訊系統的方法，換句話說，資安管理提倡的是一套有系統的管理框架與方法論，企業資安人員可以透過該方法論來強化企業內部的資安防護。

在台灣，目前最耳熟能詳的資安框架莫過於ISO/IEC 27001。1995年英國BSI GROUP發佈了全球第一個ISMS安全標準BS-7799，該標準在經過討論與修訂後，衍伸到現在分成了ISO/IEC 27002與ISO/IEC 27001，其中ISO/IEC 27001是資訊安全管理系統的驗證標準（框架文件），而ISO/IEC 27002則是企業在建立ISMS時所需參考的作業準則（施行文件），目前國際主流的ISO27001標準已經從最早的2005年版本發佈到2013年版本，內容共計有14個領域、35項目標、114項控制措施。

近期資安圈內也開始在討論美國國家標準暨技術研究院所提出的NIST網路安全框架，該框架從五大構面：識別（Identify）、保護（Protect）、偵測（Detect）、回應（Respond）與復原（Recover）來評估企業資安，並且依照風險等級細分為108個控制措施。

常有人問說企業到底該選擇ISO27001（ISMS）還是NIST Framework（Cybersecurity Framework；CSF）作為資安框架的主流，但其實大家都誤解資安框架的定義了，這些資安標準之間往往都會互相引用與參考。

所謂的資安框架是這些組織單位，針對資安所訂立參照索引與標準邊界，並不是強迫企業只能實施其中一種準則或標準。反之，企業應該以強化資安治理韌性為最終目標，依照適合當下企業環境所需，多方面參考合適的資安框架與目標。

資安最大的風險是人！不可忽略的社交工程演練

過往企業遭受駭客或郵件釣魚攻擊時，資安人員能透過企業所採取的資安防護手段阻擋威脅，如入侵偵測系統（Intrusion Prevention System；IPS）、內容沙箱過濾裝置（SandBox）、網站應用防火牆（Web Application Firewall；WAF）以及端點安全（Endpoint Protection Platform；EPP或Endpoint Detection and Response；EDR）等產品，進行事前或事中的應變措施，盡量讓公司業務營運人員減少接觸到可疑風險，但我們卻忽略了最重要的一個思維─「資安最大的風險其實就是人」。

根據國外資安廠商的統計，每位商務人員每天會收到的電子郵件約為80封左右，其中有16%的信件為垃圾或者釣魚郵件，也就是說一年下來，每位員工平均可能收到2300封左右有風險的信件。

這些信件一再挑戰著員工對資安意識的敏感神經，稍有不慎，便有可能造成資料外洩或成為勒索標的，企業不應該用保護傘的心態處事，應該積極籌備資安的意識訓練，並配合長期的社交工程演練，讓資安精神與文化常駐在企業體系之中。

資安管理怎麼做？用戰場經營思維出發！

近年來隨著科技應用越來越成熟到位，企業所面臨的資安挑戰也更加嚴峻，所需防護的邊界戰場從原本的內網拓域到外部邊際環境與物聯網設備端，這些位於企業治理邊陲的物聯設備，如果沒有統一且即時的管理模式，將成為駭客的幫兇或成為殭屍設備，像是這幾年國內IP攝影機、CCTV攝影機、路由器等有嵌入Linux作業系統的IoT裝置遭駭作為DDoS攻擊的幫兇，就是一個早期經典的例子。

試想即將來臨的5G時代，這些低延遲、低功率、高速率的設備在內網與外網之間流竄，傳輸速度是現在的100倍以上，資安人員要做到緊急應對，真的是難上加難，顯見我們身處的物聯網（IoT）環境有多麼的危險。

因此企業若要做好資安管理，下一步要開始走向戰場經營與管理，必須抱著「戰爭是無法避免的，想要和平，要先做好戰爭的準備」的思維。戰場經營指的是針對戰略構想，透過資安情報（包含明網與暗網）掌握駭客會下手的目標伺服器，在其中的環境上進行誘敵、應敵、欺敵的設計，藉此拖垮駭客在進行攻擊時的效果與時間，最後再搭配自動化的戰情回報與應對指揮，透過API呼叫各資安方案進行聯防圍堵，讓駭客的攻擊無效化，達成資安抵禦目的。

圖二 : 企業可透過資安意識演練方案，設定釣魚郵件演練任務，訓練員工資安意識。

有效的資安管理必須深入到企業的文化精神中，資安人員可以從人員對於文件的處理態度、對於信件的敏感神經、以及演練的配合與討論，來觀察企業是否已經擁有實質上的資安管理與文化，而非為了做而做。就算準備好了對應合規的四階文件或報告，但若沒有在真實的商業營運中實際落地執行，那就失去其意義了。

某高科技業導入資安管理　一兼二顧提升員工效率與資安防護

舉實際案例來說，某高科技公司在與精誠團隊洽談後，選擇了ISO27001做為資安框架，並同時搭配社交演練平台，每月寄送資安宣導以及社交演練郵件，長時間培訓員工資安意識，在經過半年的資安文化改造下，該公司員工現在面對非商業上的電子郵件，都會先行排除，或者檢視寄件者帳號資訊是否正確。如此一來，員工不但養成了良好的資安意識，也提升了工作效率，專注將時間投入在本職任務。

為持續強化該公司的資安防護，精誠隨後透過ISO27001「PDCA」（Plan-Do-Check-Act）的框架，利用持續的演練與宣導，讓該公司員工了解最新的駭客攻擊手法，協助調整資安體質，全面降低資安風險。

（本文作者廖本凱為精誠資訊資安品牌FOREKNOW產品經理）