資訊安全規劃前應考量的幾個問題

作者: Fred F.M. Wang (FW知識瑣記) 日期:2020/12/3

資訊安全如同保險，越多的資訊安全機制需要投入越高的成本，企業無法無限制地投入資源，因此，資訊安全規劃前應優先考量下面幾個問題 :

1. 哪些是最需要保護的? 

從價值面來思考，對組織價值最高的應優先保護，並採取最高的保護層級。包含 : 商業機密，組織核心的技術等。或從可能的損失來思考，哪些資料或設備被破壞或竊取損失最大。

另外，也可能從竊取者的角度思考，哪些是竊取者有興趣或可以得到利益的。

2. 要防範的對象與要阻擋的管道?  

找到可能的資安漏洞，包含內部或外部人士都可以透過特定管道或方式造成破壞或資料的竊取，而這些破壞與竊取的管道是甚麼? 

3. 組織可投入的成本有限，只能執行有限的防護時，其他漏洞的備援機制是甚麼? 

最高等級的防火牆設備或資訊安全防護系統，成本很高，不是所有組織能夠負擔的，如果無法購買較高等級的防火牆設備與防護系統，應該考慮要怎樣做可以讓可能的損失最小，或回復時間最短。