本文將分享 ibm 本身及輔導國內大型企業(yè)導入信息 安全 措施及解決方案的做法，并以實際建置的經(jīng)驗為例，說明大型企業(yè)提升信息 安全 性時，常見的問題與因應措施，以提供各企業(yè)導入資安解決方案之參考。 　　根據(jù)經(jīng)濟部中小企業(yè)處的統(tǒng)計資料，國內各產(chǎn)業(yè)雖以中小企業(yè)為主，約占 97% 左右，然仍有為數(shù)不少之大型企業(yè)；這些大型企業(yè)通常 e 化的程度較高，相對產(chǎn)生信息 安全 問題的機會也較高，因此大型企業(yè)極需導入各種資安解決方案與管理辦法，以求降低資安事件所可能對企業(yè)造成的傷害。然而大型企業(yè)在推動信息 安全 時，由于單位及人數(shù)眾多，所使用的信息系統(tǒng)多半新舊混雜，且不易在短時間內提升員工的自我資安意識，因此實施的難度亦隨之增加許多。

　　本文將分享 ibm 本身及輔導國內大型企業(yè)導入信息安全措施及解決方案的做法，并以實際建置的經(jīng)驗為例，說明大型企業(yè)提升信息安全性時，常見的問題與因應措施，以提供各企業(yè)導入資安解決方案之參考。

　　無論是 bs7799 標準中所強調的 pdca(plan-do-check-action) 流程，或是 ibm 資安方法論所強調的評估、計劃、 設計 、執(zhí)行與營運等各步驟，要作好信息 安全 都是必須要先確認企業(yè)的營運目標與資安需求，而未來所導入的任何解決方案均應符合目標與需求。

　　導入信息安全，大致包含了信息安全管理系統(tǒng)以及 it 解決方案等建置。一般而言，在時間許可的前提之下，按部就班的從風險評估開始做起，先了解企業(yè)所面臨的安全威脅，以及可能造成的傷害之后，按照影響程度，配合適當?shù)男б娣治�，依序根�?jù)預算與急迫程度執(zhí)行解決方案，以降低風險，是最為理想的執(zhí)行方式。但在現(xiàn)實上，企業(yè)常常面臨到時間、預算，甚至于來自客戶、供貨商等業(yè)務壓力，而無法按照上述的方式執(zhí)行，必須在短時間內針對急迫的問題迅速擬定執(zhí)行解決方案，結果容易使得導入的解決方案只能治標，或是缺乏擴充的彈性，而無法面對未來變動的環(huán)境。

　　因此， ibm 的在導入信息 安全 時，使用的方法論步驟及內容如下：

ibm 的資安導入步驟

　　1. 信息安全策略
　　信息安全所涵蓋的范圍極為廣泛，而要做到百分之百的 安全，事實上是幾乎不可能的，而且會耗用極大的資源。重要的是必須根據(jù)不同行業(yè)的特性來規(guī)劃，例如高科技產(chǎn)業(yè)通常著重于保障先進研發(fā)成果 數(shù)據(jù) 的機密，而重要民生系統(tǒng)則必須維持系統(tǒng)的運作不致中斷等，不同企業(yè)在信息 安全上的實施策略均不相同。由高層管理人員依照營運的目標與核心競爭力來源，訂定信息 安全策略， 引導 實際實施的走向，會是較為可行的作法。

　　2. 現(xiàn)況評估與分析
　　絕大部份的企業(yè)，均已實施一些信息 安全的措施與技術。然而，目前所缺乏的是具備一套有系統(tǒng)的方法，以便了解本身的資安缺失，以及現(xiàn)有的資安措施與技術是否能提供足夠的防御保障。所以現(xiàn)況的評估與分析極為重要，顧問可以藉由訪談、文件收集、實地勘查等不同手法，收集企業(yè)目前的實施狀況信息，除了可以經(jīng)過分析藉以了解目前的資安狀況之外，更可以了解企業(yè)文化，未來在修訂資安措施或引進新的資安技術時，即可配合企業(yè)的文化擬定確實可行的方案。

　　3. 信息資產(chǎn)清單
　　實施信息 安全，乃是為了保障公司信息資產(chǎn)的 安全。因此，了解公司擁有哪些信息資產(chǎn)，是當務之急。各單位應列出其負責與保有的信息資產(chǎn)清單，并評估其受到損害時對企業(yè)所造成的損失及影響，即可了解各項信息資產(chǎn)對公司的重要性。因此，除了列出清單之外，針對每項資產(chǎn)，亦應進行風險評估，以了解這些信息資產(chǎn)可能面臨的問題，以及問題發(fā)生時，對公司的傷害程度。

　　風險評估乃是根據(jù)資產(chǎn)的價值，該資產(chǎn)所面臨的威脅與弱點，計算出可能造成的影響。根據(jù)風險評估的結果，再針對無法接受的風險擬定對策，并考慮選擇的對策所需的成本及可帶來的效益，讓風險值成為公司可以接受的程度，即可避免信息 安全 的事件造成企業(yè)極大的損失。

風險管理

　　風險值過高時，必須要采取對策。大致有以下兩種對策：

　　(1) 降低風險：導入信息 安全 措施或技術以消除或減少風險的威脅。例如，企業(yè)尚未安裝防毒軟件時，則極有可能遭受病毒的攻擊性。建置防毒軟件并隨時更新病毒碼，即可將受病毒感染造成傷害的可能性降低。

　　(2) 轉移風險：除了降低風險之外，亦可將風險轉移給其它單位承受。比如說透過保險的方式，將風險轉嫁到第三者。如企業(yè)投�；痣U，一旦發(fā)生火警傷害，造成財物與業(yè)務上的損失，可以利用保險讓保險公司實際承擔大部分的財物損失傷害。

　　風險評估及管理的產(chǎn)出物為風險管理措施，這些即為后續(xù)改善措施訂定的來源。