資訊安全通常簡稱為資安,是指目的在於保護敏感業務資訊以免遭到修改、中斷、損壞和檢測的程序和工具。
資訊安全和網路安全經常被混為一談。資安是網路安全的關鍵,專指為資料安全而設的程序。網路安全是較總括性的術語,範疇包含資安。
ISMS 是專為協助組織因應資料外洩狀況的準則和程序。有了可依循的正規準則,企業便可將風險降到最低,萬一員工有所變動,也能確保工作持續推動,不受影響。ISO 27001 是公司 ISMS 的知名規範。
2016 年,歐洲議會和理事會同意實施一般資料保護規範。自 2018 年春天起,GDPR 開始要求企業:
在歐盟地區營運的所有公司皆須遵循這些規範。
網路安全工作所需的證照可能不盡相同。有些公司的資訊安全長 (CISO) 或取得認證的資訊安全經理 (CISM) 可能需要接受廠商的專門培訓。
一般而言,國際資訊系統安全認證協會之類的非營利組織可提供業界廣泛接受的安全證照。這類證照包括 CompTIA Security+ 以及資訊系統安全認證專家 (CISSP) 等等。
應用程式安全是一個廣泛的主題,範圍涵蓋網頁、行動應用程式和應用程式開發介面 (API) 的軟體漏洞。這些漏洞可能出現於使用者的驗證或授權流程、程式碼和組態的完整性,以及成熟的政策與程序之中。應用程式漏洞可能成為重大資安外洩事件的引信。應用程式安全是資安外圍防禦的重要一環。
雲端安全著重於在雲端環境中打造及託管應用程式,並確保第三方雲端應用程式的使用安全。「雲端」單純表示應用程式是在共用的環境中執行。企業必須確保共用環境中的不同程序之間能確實隔離。
加密傳輸的資料和閒置資料有助於確保資料機密性和完整性。密碼編譯普遍使用數位簽章,以此驗證資料的真確性。密碼編譯和加密的重要性日漸攀升。Advanced Encryption Standard (AES) 是密碼編譯的用途之一。AES 是一種對稱金鑰演算法,可用於保護機密的政府資訊。
基礎架構安全涉及內部和外部網路、實驗室、資料中心、伺服器、桌上型電腦和行動裝置等處的防護。
事件回應是一種監控及調查潛在惡意行為的功能。
針對外洩狀況做妥準備,IT 人員應制定遏制威脅 及還原網路的事件回應計畫。此外,該計畫應推動系統建立,以保存證據來進行法醫分析,並展開可能的相關起訴作業。這項資料可協助防止進一步的外洩狀況,並幫助相關人員發現攻擊者。
漏洞管理涵蓋掃描環境弱點 (例如未經修補的軟體),並以風險為依據排定補救措施優先順序。
企業正在許多網路中不斷增加應用程式、使用者和基礎架構。因此,不斷掃描網路中的潛在漏洞可謂極其重要。提前發現漏洞,可為您的企業省下資料外洩所造成的災難成本。