晴時多雲

自由廣場》連中科院的資安都…

◎ 陳至正

貴報報導我國軍事武器研發機構中山科學研究院(中科院)購置的伺服器竟將中國「百度雲」列為公有雲,資料可上傳百度雲,並且支援雙向同步,混合雲端備份。雖中科院事後表示資訊設備僅用於內網,不會將資料送到百度雲端,公務資料並未外流。然而,肩負我國高端軍事科技研究之中科院,購置該伺服器且啟用超過一年,竟毫無警覺,資安防護鬆散至此,著實令人訝異。

本次事件之發生,最大的原因就是資安風險管理疏漏,否則早於辦理採購之初,即應排除百度雲。因此,無論是公部門或私人機構,都應以此為鑑,認識並做好資安風險管理,相關步驟有四:

首先,必須識別風險。雖然各部門業務內容及工作範疇差異甚鉅,可能潛存的風險因子不盡相同,然仍應審酌不同業務屬性,做出可識別的異質性資安風險因子。風險識別可說是管理的基礎,也是最重要的一個步驟。

其次,檢視風險成因。瞭解可能之外在威脅與本身潛存之弱點,如系統遭駭、發生重大天災、硬體設計缺陷等。清楚分辨外在危害之威脅與內在潛存之弱點,才能進行有效之相應安全管控或對策。

第三,進行風險評估。深入分析與評估每個可能存在的資安風險,包含風險發生可能性、發生時之影響程度、損失預期範圍及處理之優先順序等,方能提出有效的管理與因應。

第四,提出最適切之風險因應。處理方式大致可區分為避免風險、轉移風險、降低風險及接受風險。我們需先思考有無方式避免風險,如無法避免,退而考慮能否轉移風險,若無法避免又無法轉移,就審酌有沒有辦法降低風險可能帶來的影響與衝擊;最後,如果無法處理或需處理成本過於巨大,接受風險,也算是一種選擇。

唯有妥善之資安風險管理,從制度及作業流程上著手進行修正,並培養員工之資安觀念及敏銳度,才能達到資安防護,建構更臻完備的資通安全防護網。

(作者為地方政府資安稽核成員,雲林縣民)

不用抽 不用搶 現在用APP看新聞 保證天天中獎  點我下載APP  按我看活動辦法

已經加好友了,謝謝
歡迎加入【自由評論網】
按個讚 心情好
已經按讚了,謝謝。

編輯精選