Loading

部落格

Recent ActivityRecent Activity

網路安全評估:如何實現您的目標狀態

每間公司變得更加安全,其過程都是獨一無二。會影響您目標資安概況的要素,包括作業風險、獨特的作業工作流程、原則、程序、風險承受能力等。

不幸的是,不可能達到100%無風險。您應該根據您獨特的作業環境,建立風險可承受程度的目標。

改善您工業資訊安全強度(或狀態)的過程可能看似複雜,而且理由非常充分。雖然有許多不同的方法、工業標準,以及市售的技術,但改善的作法可能還是不太明確。您可能會想知道:「我們該從什麼地方開始著手?」

開始這項發展其中的一種方法,是透過資安評估。一言以蔽之,資安評估就是系統或企業組織資安狀態的結構化測量方法。

如果使用得當,評估就是一種極為有效的方法,可以評估您目前的資安狀態、找出您目前狀態和理想目標狀態的差距,以及制定明確的步驟來實現您的目標資安狀態。

評估的類型

「資安評估」一詞可能代表許多不同的事情,因此評估必須根據計畫的目的正確界定。最常見的評估類型會分別產生不同的結果,而這些結果會影響您在資安計畫中採取的步驟。

  1. 弱點評估:找出環境中存在的已知弱點,以便制定修復這些弱點的行動計劃。
  2. 差異分析:在企業組織的資安狀態中,找出其現有資安狀態和理想目標狀態之間的差異。差異分析通常會考慮企業或產業標準,而且會明確定義實現目標資安狀態所需採取的步驟。
  3. 風險評估:提供更全面的企業組織資安狀態。風險評估會結合弱點評估和差異評估的元素,以辨識和評估企業組織及其理想資安狀態對於已知風險的風險承受能力。
  4. 資安稽核:這項評估型的服務會稽核企業組織的資安狀態,並且針對特定產業的標準或需求實行,通常可協助確保如NERC-CIP或其他標準等合規性。

請記住,雖然以上是常見的資安評估類型,但必須先從瞭解預期目標開始,之後再進行選擇。這對協助確保一致且相符的適當期望非常重要,而且可以選擇最有效的評估方法來進行您的網路安全計畫。

切合實際

為 貴組織考慮適合的評估類型時,請記得評估只是當下的情況,不應視為企業組織資安計畫的唯一解決方案。相反的,評估就像是可以確認維護、管理和技術控制是否適合您目標風險承受能力的定期檢查。

如果您手中的預算和資源有限,無法對整個組織進行評估,您可能會想採用「代表性樣本」的方法,這種方法可以將評估範圍縮小到貴組織可做為基準的部分。

通盤考量

資安評估會是評估您目前資安狀態的有效工具,但必須正確選擇、界定範圍,並搭配可據以行動的進程規劃,制定出明確的步驟,才能實現您的目標資安概況。選擇正確的供應商可協助您進行評估和建立穩當的資安計畫


Dave Mayer
Dave Mayer
Product Manager, Rockwell Automation
Dave Mayer
訂閱

訂閱洛克威爾自動化電子報,掌握新聞、思惟領導力和最新資訊。

為您推薦