這份清單能幫助您做什麼
許多小型企業知道資安很重要,但不確定「目前先做到什麼程度才算夠」。這份清單提供一個實用的起點。它聚焦在基礎項目,這些基礎能降低日常中常見的風險,例如:帳號保護、軟體更新、備份,以及員工的使用習慣。
您不需要懂技術才能使用它。只要能針對每一項回答是、否或不確定就足夠了。「不確定」也很有用。通常代表流程不夠明確、沒有文件紀錄,或是只依賴某一個人。
這些是一般性的教學資訊,不是安全性評估。各產業與各州的要求可能不同。若您處理健康、付款、法律或其他敏感資料,可能還需要遵循額外規範。
如何使用這份清單
逐項檢視,並勾選其中一個答案:是、否或不確定。誠實作答。目標不是得到完美分數,而是了解您目前的狀態。
如果您是負責人或辦公室管理者,可能會想要請負責電腦、軟體或供應商的人提供意見後再作答。不要寄給我們密碼、網路資訊或系統存取權限。我們只會在您要求我們 幫您找到供應商 時,才會收集基本的商業與聯絡資訊。
一個好的原則很簡單:如果某個資安步驟只有「想到才會做」,就算是否(No)。如果它會定期執行、有寫下來,且超過一個人知道這個流程,就算是是(Yes)。
資安就緒度檢查清單
每一項都用 是、否或不確定 來評估。
1. 已為電子郵件、會計、銀行、檔案儲存,以及其他重要系統啟用多因素驗證。多因素驗證也稱為 MFA,意思是使用者登入需要第二步驟,例如驗證程式的代碼或安全金鑰,而不只是密碼。
2. 每位員工都有自己的帳號。避免共用登入,特別是電子郵件、財務與管理工具。
3. 離職員工與舊供應商能迅速從帳號、軟體、Wi-Fi 與裝置中移除。
4. 密碼強度足夠且彼此不重複,並且團隊使用密碼管理工具,而不是在試算表或筆記本中重複使用密碼。
5. 電腦、手機、路由器與商業應用程式會定期更新。修補(patching)表示安裝安全性與修正漏洞的更新,讓已知弱點較不容易被利用。
6. 商業電腦上已安裝並啟用防毒或現代化的裝置防護。端點(endpoint)指像是筆電、桌機、手機或平板這類連線到您商業系統的裝置。EDR,或端點偵測與回應(endpoint detection and response),是較進階的工具;部分供應商會用它來偵測並調查這些裝置上的可疑活動。
7. 重要資料會自動備份,而不是偶爾手動複製一次。
8. 備份會定期透過還原檔案或系統來測試,確保您知道備份是可用的。
9. 您的備份方式大致遵循 3-2-1 備份規則。這表示保留重要資料的 3 份副本,分別放在 2 種不同的儲存類型;其中 1 份保存在場外或雲端。
10. 員工知道如何辨識可疑電子郵件、假發票,以及非預期的登入提示;並且至少每年一次或兩次接受簡單的資安訓練。
11. 有清楚的方式讓員工能快速通報可疑事件,而不會感到尷尬。
12. 商用 Wi-Fi 有妥善保護,使用強密碼;在可能的情況下,訪客 Wi-Fi 與商業裝置是分開的。
13. 系統管理(admin)存取權限僅限真正需要的人。不是每個人都應該能安裝軟體、變更資安設定或存取所有檔案。
14. 您知道公司依賴哪些裝置與關鍵軟體。這不必很花俏,但應該要有最新的清單。
15. 遠端工作以基本規則管理,例如螢幕鎖定、核准裝置,以及安全地存取檔案與應用程式。
16. 如果您收取信用卡付款、蒐集健康資訊,或其他受管制資料,您知道可能適用哪些規範。PCI 指的是支付卡資安需求。HIPAA 是《健康保險可攜與責任法案》(Health Insurance Portability and Accountability Act),在美國適用於特定的醫療相關資訊。SOC 2 是某些軟體供應商用來展示其如何處理資安控制的報告標準。
17. 若發生問題(例如可疑登入、筆電遺失或勒索軟體事件),您知道該找誰。即使只是簡單的聯絡名單,也比在緊張的一天裡臨時想辦法更好。
18. 主要軟體供應商與 IT 服務商都有文件化的資訊,包含最新的支援聯絡方式與續約日期。
19. 若有外部公司協助 IT,您理解他們負責什麼、以及不負責什麼。SLA,或服務等級協議(service level agreement),是合約中會說明回應目標與服務範圍的部分。RMM,或遠端監控與管理(remote monitoring and management),是許多託管式服務商使用的軟體,能監控裝置狀況、套用更新,並遠端支援系統。
20. 資安決策至少偶爾會被檢視,而不只是在出現問題之後才檢視。有些託管式供應商也提供 vCIO 支援。vCIO 是虛擬首席資訊長(virtual Chief Information Officer),屬於規劃角色,協助企業從技術優先順序、預算與風險的角度來思考。
如何替自己打分
如果您對大多數項目都回答是(Yes),這是個好跡象。通常表示您已有一個能運作的基礎。但這並不代表您的企業「已完全安全」。沒有誠實的供應商會承諾網路無法被駭或零停機。這意味著您大致具備基本功,並能從此再持續改善。
如果您對不少項目回答否(No)或不確定(Not sure),請不要恐慌。這很常見,尤其在較小的企業中,技術是隨時間以非正式方式累積起來的。請先從通常最重要的基本項目下手:MFA、修補(patching)、備份、移除舊的存取權限、裝置防護,以及基本的員工訓練。
如果幾乎所有項目都是否或不確定,下一步不是一次買齊所有工具,而是先取得清楚、具優先順序的計畫。一家好的獨立託管式 IT 服務商可以協助您把「急迫的修正」與「較長期的改善」分清楚。
如何處理您的答案
把您的結果整理成一份短的行動清單,分成三組:現在修、近期修、稍後再檢視。「現在修」通常包含:MFA、軟體更新、備份檢查、移除舊帳號,以及確認商用裝置具備最新的防護。
對每一項否或不確定,提出一個清楚的問題:這是由誰負責?多久做一次?有沒有寫下來?我們怎麼知道它真的有效?這四個問題會幫您看出流程是真實存在,還是只是被假設。
如果您想了解您的選項,NodeBridge IT 可以 幫您連結 獨立的託管式 IT 服務供應商。我們是免費的配對服務。我們不管理系統、不監控您的網路,也不存取您的帳戶。您也可以閱讀更多用白話整理的 指南,並比較常見的託管式 IT 服務。
- 現在修:MFA、修補(patching)、備份、清理舊帳號、裝置防護
- 近期修:員工訓練、裝置與軟體盤點、遠端工作規則、供應商清單
- 稍後再檢視:規劃、文件化、服務合約、長期資安改善
誠實提醒
NodeBridge IT 是免費配對服務,不是 IT 供應商。此處資訊為一般性與教育性內容——簽約前,請以書面方式向任何供應商確認涵蓋範圍、SLA 與價格。無人能保證正常運作、資安或復原能力。
這份清單可幫助您快速判斷企業是否已具備主要的資安基本功,以及應該先修哪些地方。
常見問題
這份清單的好分數是多少?
沒有一個通用的及格分數。如果您在主要資安基本功(尤其是 MFA、備份、更新與存取控制)都有扎實的回答,您通常比許多小型企業更能從合適的起點開始。如果您的很多項目都是否或不確定,這表示應該把改善列為優先事項。
這份清單能取代真正的資安檢視嗎?
不行。這是一份用白話進行的自我檢查,不是技術性評估或合規性審查。它能幫您看出該在哪些地方提出更好的問題,以及哪些地方可能需要由獨立供應商進一步更仔細地查看。
我們是一家非常小的企業。真的需要全部都做嗎?
大多數非常小的企業仍然需要基本功。共用密碼、缺少更新、以及備份不夠穩,都可能在小辦公室裡造成昂貴的問題。實際的設定應該符合您的規模、資料類型與產業需求。
如果我不知道如何回答其中一些怎麼辦?
把它標記為不確定(Not sure)。這仍然很有用。通常表示流程不清楚、沒有文件化,或是取決於某個人或某一個供應商。
NodeBridge IT 能告訴我們要買哪些資安工具嗎?
我們提供一般性的教學資訊與免費配對。我們不販售或管理資安工具,也不存取您的系統。如果您需要外部協助,我們可以幫您找到獨立的託管式 IT 服務供應商,協助您討論各種選項。
為了配對,我們需要分享密碼或技術細節嗎?
不需要。請絕對不要寄給我們密碼、網路憑證或系統存取權限。我們只會收集基本的商業與聯絡資訊,以便協助您連結到供應商。