議題觀點
CEO不可不知的資安風險管理
勤業眾信聯合會計師事務所/ 陳清祥總裁
從勤業眾信的觀點來看,企業應從風險管理觀點採取適當之解決方案,以保護組織的重要營運資訊。換言之,企業管理階層必須清楚的知道組織內哪些資料、哪些資訊系統跟企業的營收關聯性最大,對企業哪些重要業務流程影響最深等,進而釐清前述營收與業務流程遭受攻擊之可能性,對企業內部進行整體的資訊安全風險評估,瞭解可能的弱點,然後根據相關風險的高低,考量投入成本以及現有資訊科技防護能力,整體考量並規劃資訊安全解決方案的需求,以在有限成本下,有效益地掌握受駭之風險。此外,當企業採購相關資訊安全產品時,應將考量資安產品的使用人員與權責、使用時機、相關報表的可讀性、以及異常報告後的反應措施為何,將制度與工具的使用整合為一,才能使資安解決方案真正地融入企業的日常運作中,如此才能發揮工具的最大效用。
在完成上述準備後,企業就不會發生資安事件了嗎?世上是沒有百分之一百的安全;因此,企業應建立資訊安全的應變計畫,使人員知道事件發生時應如何進行初步判定與處理,通報適當主管與人員進行損害控制,有效與客戶或大眾溝通避免企業形象的受損,甚至通知數位鑑識團隊進駐協助調查,並在事件調查至一定程度後,請教相關律師可能的訴訟議題,並擬定訴訟策略。如此,從事前預防、事中應變、事後處理等角度,以風險管理的思維完整規劃適合組織的作法,才能使企業在現今充滿威脅的大環境下,仍能穩健地營運下去。
勿恃敵之不來,恃吾有以待之!