在前公司導入到某個程度時,正在思考著有甚麼樣的面向我尚未顧慮到,後來四處晃來晃去看到Microsoft這套軟體,主要透過幾個面向:基礎架構、應用程式、作業與人員各自定義安全之重要性,協助分析公司內部整體環境。
Microsoft 資訊安全評估工具 (Microsoft Security Assessment Tool) (MSAT) 是一個免費工具,其設計可以協助您的組織評估目前 IT 資訊安全環境的弱點,列出一份問題優先順序的清單,並提供有助於將問題風險降至最低的特定指引。MSAT 是您著手加強運算環境與商務資訊安全極具成本效益的簡易方式。程序開始時先概覽您目前的資訊安全狀態,再使用 MSAT 持續監控基礎結構因應資訊安全威脅的能力。
Microsoft 向來最為重視客戶的網路、企業伺服器、使用者電腦、行動裝置和資料資產的資訊安全。我們致力於提供諸如 MSAT 這類的資訊安全工具,以協助您強化業務的資訊安全狀態。
了解風險
MSAT 的設計將協助您識別並消除 IT 環境的資訊安全風險。此工具會針對您的人員、流程和技術等重要因素,評量整體資訊安全的情勢。
MSAT 提供:
- 容易應用,詳盡且廣佈的資訊安全認知意識
- 與業界其他公司進行比較分析的深層防禦架構
- 長期比較您的基準與進程的詳盡報告
- 經過實證的資訊安全改進建議事項與優先順序措施
- Microsoft 以及業界提供的結構化指引
請造訪高可信度電腦運算網站,進一步了解 Microsoft 對於高可信度電腦運算所做出的承諾。
閱讀最新的 Microsoft 資訊安全情報報告書。如需詳細資訊,請造訪惡意程式碼防護中心。
MSAT 處理程序
MSAT 會提出 200 道以上與基礎結構、應用程式、操作和人員有關的問題。這些問題與相關解答係擷取自廣為接受的最佳作法、ISO 17799 和 NIST-800.x 等標準,以及 Microsoft 高可信度電腦運算小組和其他外部資訊安全機構提供的建議事項與規範指引。
問題評估的設計是要讓您的組織能夠識別業務風險,以及為求降低風險而部署的資訊安全措施。針對您的業務支柱如技術、流程和人員的通病對症下藥的問題提供了高層次的資訊安全風險評估。
MSAT 一開始先針對您的商業模型提出一組查詢問題,再利用這些問題建立商業風險概況 (BRP),與業界其他公司比較,評估您的資訊安全風險。接下來提出的另一組問題旨在收集貴公司日積月累部署的資訊安全措施清單。這些資訊安全措施交互形成防禦層,提供較佳的防護能力以抵禦資訊安全風險與特定弱點。每個防禦層都是深層防禦整合策略的一環。這份摘要稱為深層防禦指數 (DiDI)。最後,BRP 將與 DiDI 進行比較,據以評量基礎結構、應用程式、操作和人員四大分析層面 (AoAs) 各處的風險。
除了評量防禦措施能否得宜因應資訊安全風險,此工具還會評量您的組織資訊安全成熟度。資訊安全越趨成熟,意指邁向更穩固的資訊安全與可持之以恆的實踐。成熟度低的情況是資訊安全防禦措施不足且多為反應式行動。高成熟度的公司則會確立經證實可行的流程,更具前瞻性而能更一致有效率地因應不時之需。
風險管理建議事項是根據綜合考量現有的技術部署、資訊安全目前情勢,以及深層防禦策略後提出的建議。這些精心設計的建議事項利於您實踐業界公認的最佳作法。
這套包含問題、評量與建議的評估程序是針對擁有 50 到 1,500 部電腦的中型企業環境所設計。其用意為廣泛地指出整個環境具有潛在風險的區域,而非深入分析特定的技術或流程。因此,工具本身無法評量資訊安全措施的實行成效。請將這份報告當成初步指南,協助您鎖定亟需更嚴密防範的特定層面來發展一套因應基準。您可以視需要執行此工具,並參考 MSAT 提供的指引具體實施資訊安全措施,再將每次的進度與 MSAT 所建立的基準報告進行比對以更加了解成效。
評估工具概觀
Microsoft 資訊安全評估工具 (Microsoft Security Assessment Tool) 的設計目的是協助您識別並消除電腦運算環境的資訊安全風險。此工具會針對您的人員、流程和技術等重要因素,評量整體環境資訊安全的情勢。評量結果附有規範指引及風險緩解建議事項,必要時還會提供業界其他指導原則詳細資訊的連結。這些資源讓您得以進一步了解,哪些特定工具和方法可協助您改變目前 IT 環境資訊安全的情勢。
評估程序會提出 200 道以上分成四大類的問題:
- 基礎結構
- 應用程式
- 操作
- 人員
工具的問卷調查題目與相關解答係擷取自廣為接受的資訊安全最佳作法,包含一般及特定情況。各類問題與此工具提供的建議事項,其論據基礎則為 ISO 17799 和 NIST-800.x 等標準,以及 Microsoft 高可信度電腦運算小組和其他外部資訊安全機構提供的建議事項與規範指引。
下表列出資訊安全風險評估所涵蓋的層面:
| 基礎結構 | 對資訊安全而言的重要程度 |
| 周邊防禦 | 周邊防禦意指網路邊界的資訊安全,也就是您的內部網路與外界連線的交會處。此處構成抵禦入侵的第一道防線。 |
| 驗證 | 對使用者、系統管理員和遠端使用者施行嚴格的驗證程序,有助於防範外人利用本機或遠端攻擊方式未經授權存取網路。 |
| 管理與監控 | 管理、監控及妥善的日誌記錄是維護與分析 IT 環境的必備要件。在已遭受攻擊而需要分析事故時,這些工具甚至更為不可或缺。 |
| 工作站 | 個別工作站資訊安全對任何環境防禦來說均為至關重要的因素,尤其是允許遠端存取的情況。工作站應妥善配備防護能力,才足以抵禦常見攻擊。 |
| 應用程式 | 對資訊安全而言的重要程度 |
| 部署與使用 | 在生產線部署營運關鍵應用程式時,這些應用程式和代管伺服器的資訊安全與可用性務必受到保護。不間斷的維護工作是確保資訊安全疏失獲得修補及防範新漏洞滲入環境中的根本要件。 |
| 應用程式設計 | 身分驗證、授權和資料驗證等各項資訊安全機制若設計不當,會讓攻擊者可趁機利用資訊安全弱點竊取機密資訊。保障應用程式的開發方法也很重要,可確保內部或外包開發的應用程式足以因應資訊安全威脅模型,讓組織免於遭到入侵。資料完整性與機密性無非是任何類型的企業最為關切的事務。資料遺失或遭竊可能導致組織名利盡失。充分了解應用程式處理商務關鍵資料與保護資料的方式非常重要。 |
| 操作 | 對資訊安全而言的重要程度 |
| 環境 | 組織的資訊安全有賴於整個環境的操作程序、處理流程和作業準則。這幾項提供了除技術性以外的防禦對策來強化組織的資訊安全。正確的環境操作文件與準則是決定營運團隊能否掌控、支援及維護環境資訊安全的關鍵因素。 |
| 資訊安全原則 | 企業資訊安全原則是由個別原則與準則組成的集合,用意在於確保組織內部依循安全而正確的方式運用技術執行各項程序。此一層面涵蓋所有的資訊安全類型,包括使用者、系統和資料等。 |
| 備份與復原 | 資料備份與復原是防範發生嚴重損壞或軟硬體故障等狀況,確保業務持續性的基本要件。若欠缺適當的備份與復原程序,可能導致資料和產能大量流失。公司品牌聲譽也將遭受波及。 |
| 修補程式與更新管理 | 組織的 IT 環境安全與否,完善的修補程式和更新管理不可或缺。及時套用修補程式和更新,方能防範已知與可疑的資訊安全弱點。 |
| 人員 | 對資訊安全而言的重要程度 |
| 需求與評估 | 所有決策者都應充分了解資訊安全需求,以促使技術決策與業務決策互不衝突,而能相輔相成強化資訊安全。交由協力廠商定期評估將有助於公司審視、評估與識別改進層面。 |
| 政策與程序 | 謹守本分切合實際地管理與廠商及合作夥伴的關係,可以讓公司免於陷入風險之中。明智客觀的聘僱與解雇程序讓公司得免於招惹胡作非為或挾怨報復的員工。 |
| 培訓與認知 | 員工應接受培訓了解資訊安全原則,並認知日常職務活動實施資訊安全的方針,以免因個人疏忽造成公司蒙受重大損失。 |
留言列表
