More Related Content
More from Wanhung Chou (15)
資訊安全顧問服務
- 1. 文/萬弘資訊周世洪先生 聯絡資訊:sales@wanhung.com.tw
資訊安全顧問服務 (資安顧問服務)
年(2014 年)年底偶然機會與一客戶接洽,她提及由於公司面臨資訊安全事故
導致她遭受國際詐騙集團以電腦社交工程 Email 偽造手法騙走上千萬台幣,
加上過程牽涉到其舊有供應商,也造成原本的信任關係出現了緊繃情形。由
於此案發生在國外,所以對於受者來說處理過程相當繁瑣,即使大概掌握了
該國際詐騙集團的位置,款項也因為已被分 3 次領光而拿不回來。這位客戶
另外向我說明資訊安全這一塊領域可協助的顧問似乎很難尋找,所以讓我興
起撰寫本文「資訊安全顧問服務」的念頭,順便工商時間一下。
說起資訊安全顧問服務,假設今日這位客戶碰到來接洽的是郵件產品廠商,
我相信該廠商的資安顧問或產品經理應該會說: 那就買個郵件過濾軟體來擋
掉吧!若碰到的是加密廠商,資安顧問應該會說就買個加密軟體、或郵件加密
設備,就不會因遭攔截而被偽造了。若是資安技術服務的廠商,也有可能說
不然就作個模擬測試或掃描看看是否有什麼問題。
綜觀上面業界生態常見的銷售與推廣現象,讓我想起一些生活例子來作個分
享:近幾年 LINE 通訊軟體的普及令廣大的百姓成了愛不釋手的低頭族,因而
也間接變成簡訊、或是訊息詐騙的眼中肥羊,時有所聞部份民眾金錢出現損
失狀況(這個上 165 專線的 網站都可查詢得到,為數還不少)。但我們仔細想
想,當我們因此有金錢損失就需要去買個防毒軟體、或是買個手機的安全 app
來阻擋嗎? 我想方法不只一種,就許多電腦從業人員有時自己也知道防不勝
防,可能就在預算有限的情況下,大不了重新 Reset 或重灌之類的,或是多
吸收一些知識、新聞案例、詐騙手法來增加自己的安全認知能力 從個人的角
度來看企業也是一樣,有時不是我們買了多少防禦的東西,而是在於是否自
我評估風險最根本的原因?是否花時間去尋求既不違反生活習慣、業務流程
的最大效益解決方案。
資訊安全顧問服務所提供基本精神若是以「產品功能」來作為服務檢測、分
析出報告、恐怕面向會稍嫌不足、也很難打到重點, 因為這僅僅滿足了產品
廠商功能面的銷售、所有核心話題、功能、分析、檢測必然圍繞在該產品可
完成的功能, 或許符合需求也或許不符可需求且又花了了一大筆錢
- 2. 文/萬弘資訊周世洪先生 聯絡資訊:sales@wanhung.com.tw
★資訊安全顧問服務有多項標準可參考依循:
一、ISO 27001:2013 資訊安全管理系統 2013 年版本
二、ISO 27001:2005 資訊安全管理系統 2005 年版本
三、ISO 27005 資訊安全風險管理
四、ISO 31000 企業風險管理
五、ISO 27002 資訊安全管理系統實務指引
六、美國國家標準技術研究所(NIST)的相關資安指引
七、ISO 22301 營運持續管理
透過業務流程、核心問題、實務上常見的資安事故、與國際標準的許多要求
可簡單列舉(包括但不限於):委外廠效監督與管理、人員認知與資訊安全管
理方式的檢視、專案管理上的安全、 網路安全的管理、災難復原的應變之類…
等等,我相信上述流程在涵蓋度上面一定比產品更完整、更全面,也較容易
分析出真正的棖本原因。
★資安顧問服務應具備的流程請參考下圖:
- 4. 文/萬弘資訊周世洪先生 聯絡資訊:sales@wanhung.com.tw
★其它相關連結
一、 個資法委外監督稽核查核服務(資安顧問服務)
二、 網路個資刪除移除服務與諮詢(資安顧問服務)
三、 個資法管理制度輔導(資安顧問服務)
四、 個資法風險管理評估服務(資安顧問服務)
五、 個人資料管理(個資法)制度輔導(資安顧問服務)
六、 資訊安全案例(Virus shield)資安顧問提供
七、 最大風險說明與實務經驗分享(資安顧問觀點)
八、 資訊安全例例_申請網上支付 (資安顧問案例)
九、 個資法管理制度與品牌(資安顧問案例)
十、 資訊安全範例分享(資安顧問提供)
十一、 whoscall 個資外洩與追蹤(資安顧問案例)
十二、 資訊安全內部稽核案例(資安顧問服務)
十三、 資訊安全內部稽核實務(備份)_資安顧問觀點