技術交流

如何準備資安稽核,查驗重點有哪些?

近年政府大力推動「資安即國安」政策,以因應所面臨的各項資安風險。當各式資安威脅來勢洶洶,透過資安稽核可達到預防的目的。但如何準備資安稽核,查核重點有哪些?資通電腦帶您來了解,一同做好資安控管。

資安稽核在你心中的定義是什麼?

相信初次接觸資安稽核的人,往往都會有「資安稽核」只會增加工作量的想法。實際上,資安稽核是讓你的作業程序、系統安全能達到標準,依照資安規則運行,減少人為疏失、降低災害發生。 以下將分享如何準備資安稽核與面對稽核時應該有的態度。

資安稽核作業流程

資安稽核作業流程

通常專案資安稽核前,需要一份稽核自評表(如下圖的個資暨資安委外監督查檢表),我們可依自評表的查核結果是符合或不符合,保持目前做得不錯的部分,並可再強化不足之處。而稽核員在稽核日當天也會依照此表逐項查驗專案項目及相關佐證資料(如下圖的廠商媒體清冊)。

個資暨資安委外監督查檢表
廠商媒體清冊

「CIA 金三角」為資安稽核評估重點

「資安稽核」會以資訊安全 CIA 金三角(機密性 Confidentiality、完整性 Integrity、可用性 Availability)為評估重點,稽核員會依此判斷是否有潛在威脅與漏洞,例如以下問題:

  • 是否定期安裝最新 Windows Update?
  • 是否使用正版軟體?確認授權有效性。
  • 有無安裝防毒軟體,並且定期檢查病毒更新及排程掃描?
  • 測試資料是否含有敏感個資?
  • 機房實地勘察(應事先告知並提供自評表給相關負責人員)。

移除過期軟體、升級過時系統,避開資安地雷

另列出幾個曾經遇到的案例,大家可定期自我檢視以下重點:

一、移除超過試用期的軟體

定期檢視系統安裝的軟體工具,超過使用期的軟體應購買正式版或移除。雖然自官方網站下載試用版軟體,取得途徑沒有問題,不過一旦過了試用期,在沒有定期更新的情況下,可能隱藏軟體安全漏洞。

二、升級過時作業系統

因原廠不會提供過時系統的安全更新,所以需定期檢視系統版本有效性,進行系統升級或安裝更新,防止潛在資安漏洞。

有了上述事前充份的準備,「資安稽核」是不是覺得一點都不恐怖呢?稽核員絕對不是來找碴,而是來幫助系統資安控管做得更好喔!

延伸閱讀: