企業要如何做好資安，以下提供幾個重要的步驟，其實基本圍繞組織、人員、程序及技術(OPPT)，這也是大家經常考慮的幾個面向。

一、塑造企業資安文化(Establish Security Culture)

「與你必須做的所有工作一樣，為了確保你的公司安全，建立和維護強韌的安全文化不是你說完就忘記的東西，這是一個持續的日常過程，也是你累積不斷構建和維護的東西，如果你忽視它，它就會死去。」 一名網絡安全專家曾說過：

安全是一個過程，而不是一個產品

首先送給各位一部武功心法，如能了解其真髓，相信最後一定能成功打下一片江山。

把握機會，凸顯資安

從上到下，打透通關

了解人性，取得共識

溫煮青蛙，分段執行

號令天下，莫敢不從

一切都需要從這裡開始，也是最難的，就是要讓組織中的每一個人(從小小兵到CEO)都認真對待資安問題，否則你的資安政策就是一張掛在牆上的口號，只會隨著時間泛黃。

其實很多時候，時間久了，大家就習慣成自然。所以要無時無刻不時地提醒、念茲在茲，長時間累積下來，就深入民心了(也許是迫於無奈、也許是心甘情願，但只要結果是好的就行啦)。

接下來要講的是如何塑造企業資安文化，我相信這是需要方法與技巧的，雖然很難，但是提供大家一些可以去做的事情，至於是處罰或獎勵，個人認為是交互運用，沒有絕對。但是可以透過宣導期再進入執行期，因為這就像是交通法規請你開車不要迴轉，但就是有人貪圖方便直接迴轉，若不處罰不遵循法規的人，不但他不會記取教訓，也對那些遵循法規的人不公平，總之先循循善誘，再付諸執行。

• 宣導&培訓-安全文化的基石
  • 資安教育訓練及測試(每年至少一次)
  • 不定期的資安宣導大會(重要資安策略擬定時)
  • 定期的資安策略委員會(每二個月至少一次)
• 演練&查核-精益求精的做法
  • 舉辨電子郵件警覺性測試(每年至少二次)
  • 資安事故通報處理演練(每年至少一次)
  • 資安查核(每年至少一次)
• 懲罰&獎勵-循循善誘的手段
  • 違反資安規範扣分
  • 主動通報事件獎勵
  • 年度表揚大會(含團體及個人)

請注意，獎勵他們良好的安全行為時，一定要明顯地、大聲地。懲罰不良行為時，不要點名及羞辱，因為那只會產生反效果。

當然要建立好的資安文化，CISO是很重要的角色，他必須能夠與人良好合作，也必須說人話，講別人聽得懂的語言，得到他人信任，並持續捍衛塑造企業資安文化的決心。

文化是人們在相互交往中創造和保持的思想、態度與風格，您的公司可能有最好的安全策略及最昂貴的網路安全設備，但如果人員沒有以安全的方式執行，那改善您公司的安全態勢(Security Posture)將會是一場艱苦的戰鬥。

總之，還是需要建構在互相溝通(Communication)的基礎上，取得一定的共識，說明是在幫他，不是找他麻煩，因為如果不小心真的出事了，只要他照規定來，他就不會有責任。

[其他參考]：
Gartner「CISO 基礎：建立安全意識文化」中提及，為了減少人類行為對其網絡安全風險水平的負面影響，CISO應該做下面4件事情： 

• 準備從根本上積極改變他們的行為方法
• 制定長期計劃
• 利用Gartner PIPE(practices, influences, platforms and enablers)框架
• 使用以行為為中心、以結果為導向的指標

下一篇：企業做好資安的幾個重要步驟(二)