close
最佳實務
位於紐約的聯邦儲備銀行,在地下金庫藏有3兆黃金,和大量的存款記錄。此銀行必須確保實體安全和資訊安全兩者滴水不漏。每個月銀行的資訊安全主管和實體安全主管期開會,討論安全議題,同時教育實體安全作業人員重視處理客戶存款、轉帳記錄之電腦作業,並且增加彼此溝通,共同攜手進行安全強化改進作業。
 
最佳實務
位於亞特蘭大的南方貝爾公司(BellSouth Corporation),直到內部稽核部門進行全面性安全調查,才了解各事業單位存在許多安全漏洞。而這些在資訊上的安全漏洞可能引起通訊中斷,讓企業陷於營運危機,因此內部稽核人員建議立即補強,杜絕在系統、網路和應用程式上的漏洞。稽核人員配合資訊和事業單位,聯手修補管控上之問題,甚至讓資訊人員主動求助,加速問題處理速度。
 
典範行動
近年來企業對資訊安全的重視,凌駕於整體安全策略之上;然而頂尖企業則將安資訊全作業和其他企業的安全作業緊密整合,利用內部稽核和風險管理人員檢視資訊架構,整合實體安全作業流程,避免安全漏洞產生。所採取之典範行動如下:
  1. 整合實體安全與資訊安全作業
    實體安全是資訊安全作業中重要的一環,最佳典範企業讓實體安全人員了解資訊資產之重要,和作業上可能導致之資訊損失風險。讓安全警衛人員能主動查看配線箱、網路線封緘等設施,避免未經授權人員開啟,產生資料被盗取之結果。
  2. 利用稽核和風險管理作業專家檢視資訊基礎架構
    重視資訊安全作業的企業利用內部稽核和風險人員,對安全系統進行定期檢查。除了熟悉產業標準(如 ISO 17799)之外,這些人員對特定法規所規範之安全需求亦需了解,並嚴格遵守。根據檢視後之建議,企業進行資訊安全改進作業,避免產全安全風險。
  3. 建立電腦意外應變計畫,加速整體災難復原作業
    僅管最佳企業和資訊部門能在駭客攻擊的第一時間即予以且阻止,但不合適的資訊人員可能造成更多的問題。為避免這些況發生,可利用預先規劃之應變計畫,建立清楚之行動原則,指定回報人員和作業方法,同時確保犯罪現場完整、蒐集處理證據,同時需和法務、公關、資訊風險管理 等其他部門合作,處理危機作業。 
  4. 進行公司實體與虛擬作業保險差異分析
    大部份的保險均僅涵蓋固定資產和作業災難,並未涵蓋資訊損失風險。 而目前保險公司亦開始推出資訊安全險,但涵蓋受保範圍各有不同,企業需進行保險差異分析,確保實體與虛擬安全作業均有合適之保險支援。
arrow
arrow
    全站熱搜

    chiache 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄