資誠：保護皇冠上的寶石 提供不同層級資安保護

鉅亨網記者張旭宏 台北

資誠聯合會計師事務所、玉山科技協會、常在國際法律事務所及讀書共和國於日前舉辦「資訊安全論壇」，資誠企管顧問公司執行董事張晉瑞發表「建構下個資安世代的信任新思維」專題演講。張晉瑞表示，在「萬物皆連網，萬物皆可駭」的世界，資安事故終將發生，企業要先找到「皇冠上的寶石」，依照重要性提供不同層級的保護。

城牆遲早會被攻破 保護好皇冠上的寶石

張晉瑞指出，傳統的資安防護觀念就像是中古世紀在城堡周圍建立護城河和堅固的外牆，以抵擋敵人入侵，主要著重在預防與保護，以降低資安事故發生的可能性。然而，在「萬物皆連網，萬物皆可駭」的世界，威脅者已轉變為有組織性、針對性，由組織利益或政治考量所驅動，資安風險狀態從靜態轉變為動態且廣泛，傳統中古世紀的「牆」，已然無法抵擋21世紀的威脅。

張晉瑞強調，二十一世紀資安策略的風險管理方式，首先要接受「城牆遲早會被攻破」的事實，也就是接受資安事故終將發生，風險管理重點放在減少對企業衝擊。換言之，企業要先找到「皇冠上的寶石」，找出對企業最重要的資產並排出優先順序，再依照重要性，提供不同層級的保護。

網際安全架構 減少資安衝擊

張晉瑞進一步提出，「網際安全架構」的概念，其5大控制模式分別為識別(Identify)、保護(Protect)、偵測(Detect)、回應(Respond)以及復原(Recover)，協助組織管理安全風險，並提供高層良好的資安透明度及視野。相對於傳統只注重保護，這樣的架構以全面、完整的資安管理生命週期來減少對企業的衝擊。

最後張晉瑞強調，21世紀的資安管理可分為6大面向，分別是風險、關連、人員、科技、危機處理及優先順序，科技及駭客技術不斷演進，資安是永遠做不完的專案，企業應以資源管理的角度，設定保護標的及資安資源的優先順序，建立「信任」是企業永續經營的關鍵，在資安領域上，企業除符合ISO等規範、落實與深化資安保護，更重要的是，必須建構與企業目標一致的資安策略與CSF網際安全架構。