根据经济部中小企业处的统计资料，国内各产业虽以中小企业为主，约占 97% 左右，然仍有为数不少之大型企业；这些大型企业通常 e 化的程度较高，相对产生信息安全问题的机会也较高，因此大型企业极需导入各种资安解决方案与管理办法，以求降低资安事件所可能对企业造成的伤害。然而大型企业在推动信息安全时，由于单位及人数众多，所使用的信息系统多半新旧混杂，且不易在短时间内提升员工的自我资安意识，因此实施的难度亦随之增加许多。

本文将分享 IBM 本身及辅导国内大型企业导入信息安全措施及解决方案的做法，并以实际建置的经验为例，说明大型企业提升信息安全性时，常见的问题与因应措施，以提供各企业导入资安解决方案之参考。

无论是 BS7799 标准中所强调的 PDCA(Plan-Do-Check-Action) 流程，或是 IBM 资安方法论所强调的评估、计划、设计、执行与营运等各步骤，要作好信息安全都是必须要先确认企业的营运目标与资安需求，而未来所导入的任何解决方案均应符合目标与需求。

导入信息安全，大致包含了信息安全管理系统以及 IT 解决方案等建置。一般而言，在时间许可的前提之下，按部就班的从风险评估开始做起，先了解企业所面临的安全威胁，以及可能造成的伤害之后，按照影响程度，配合适当的效益分析，依序根据预算与急迫程度执行解决方案，以降低风险，是最为理想的执行方式。但在现实上，企业常常面临到时间、预算，甚至于来自客户、供货商等业务压力，而无法按照上述的方式执行，必须在短时间内针对急迫的问题迅速拟定执行解决方案，结果容易使得导入的解决方案只能治标，或是缺乏扩充的弹性，而无法面对未来变动的环境。

因此， IBM 的在导入信息安全时，使用的方法论步骤及内容如下：

IBM 的资安导入步骤

1. 信息安全策略
信息安全所涵盖的范围极为广泛，而要做到百分之百的安全，事实上是几乎不可能的，而且会耗用极大的资源。重要的是必须根据不同行业的特性来规划，例如高科技产业通常着重于保障先进研发成果数据的机密，而重要民生系统则必须维持系统的运作不致中断等，不同企业在信息安全上的实施策略均不相同。由高层管理人员依照营运的目标与核心竞争力来源，订定信息安全策略，引导实际实施的走向，会是较为可行的作法。

2. 现况评估与分析
绝大部份的企业，均已实施一些信息安全的措施与技术。然而，目前所缺乏的是具备一套有系统的方法，以便了解本身的资安缺失，以及现有的资安措施与技术是否能提供足够的防御保障。所以现况的评估与分析极为重要，顾问可以藉由访谈、文件收集、实地勘查等不同手法，收集企业目前的实施状况信息，除了可以经过分析藉以了解目前的资安状况之外，更可以了解企业文化，未来在修订资安措施或引进新的资安技术时，即可配合企业的文化拟定确实可行的方案。

3. 信息资产清单
实施信息安全，乃是为了保障公司信息资产的安全。因此，了解公司拥有哪些信息资产，是当务之急。各单位应列出其负责与保有的信息资产清单，并评估其受到损害时对企业所造成的损失及影响，即可了解各项信息资产对公司的重要性。因此，除了列出清单之外，针对每项资产，亦应进行风险评估，以了解这些信息资产可能面临的问题，以及问题发生时，对公司的伤害程度。

风险评估乃是根据资产的价值，该资产所面临的威胁与弱点，计算出可能造成的影响。根据风险评估的结果，再针对无法接受的风险拟定对策，并考虑选择的对策所需的成本及可带来的效益，让风险值成为公司可以接受的程度，即可避免信息安全的事件造成企业极大的损失。

风险管理

风险值过高时，必须要采取对策。大致有以下两种对策：

(1) 降低风险：导入信息安全措施或技术以消除或减少风险的威胁。例如，企业尚未安装防毒软件时，则极有可能遭受病毒的攻击性。建置防毒软件并随时更新病毒码，即可将受病毒感染造成伤害的可能性降低。

(2) 转移风险：除了降低风险之外，亦可将风险转移给其它单位承受。比如说透过保险的方式，将风险转嫁到第三者。如企业投保火险，一旦发生火警伤害，造成财物与业务上的损失，可以利用保险让保险公司实际承担大部分的财物损失伤害。

风险评估及管理的产出物为风险管理措施，这些即为后续改善措施订定的来源。