為公民團體設計的資安防護手冊
這份「資安防護基礎教材」專為台灣的公民團體設計,以中文撰寫而成,適用於各領域議題工作者,幫助使用者瞭解台灣公民團體常見的資安議題,建立安全的數位環境。
面臨與日俱增的數位威脅,台灣公民團體缺乏相關知識與應對措施,許多人權工作者的設備受到攻擊,甚至導致帳號及資料遺失。然而在有限的預算及資安知識下,公民團體只能採用臨時拼裝的數位基礎設施,反而因此暴露於更多數位安全風險。
如果你是不諳英語的 NGO 工作者,正在尋找適合你或你的組織的資安提升方案,這將是一份為你設計的資安防護學習資源!
你可以獲得什麼?
簡單易懂的操作方法,提升組織的數位安全狀態
我們提供一套從大型至小型公民團體,都能夠簡單操作的導入流程,這個過程也會幫助你思考以下問題:
- What:我的組織有哪些資產?
- Who:我想要保護資產免於誰的攻擊?他們的動機是什麼?有多大能耐?
- Likeliwood:我真的受到攻擊的機率有多少?
- Impact:我如果真的受到攻擊了,可能會產生哪些後果?
各種資安主題政策範本,量身打造數位安全政策
在技術專家的協助下,我們整理出八個資安主題的工作行為指引。你可以依照組織人數與數位安全需求,挑選「基礎版」或「進階版」,為你的組織打造長期穩定的數位安全政策。
我們提供哪些幫助?
提升計畫
們建議所有⼈搭配「資安防護基礎教材」使⽤這份公⺠團體資安提升計畫執⾏⼿冊,仔細閱讀⼿冊指⽰,學習如何運⽤我們提供的豐富資源,提升你的數位安全環境。
第 1 步:全⾯盤點+威脅建模
想知道如何防禦,須從⾃我了解開始。透過盤點和威脅建模,幫助組織辨識⾃⼰需要保護的重要實體資產(如主機、裝置、成員安全)及數位資產(如⽂件、檔案等)。
完成這些項目:
第 2 步:建⽴執⾏⼩組
沒有⼈是局外⼈,提升數位安全需要組織全員的努⼒!為了提升組織的數位安全,你需要多少⼈⼒?誰有能⼒擔任以下⾓⾊?如何溝通確保組織全員的⽀持與參與?
- 指定計畫執⾏⼈員,負責和組織全員⼀起學習資安主題並追蹤進度,可以是熟悉 IT 業務或資安議題的夥伴。
- 指定政策執⾏⼈員,負責制定與落實數位安全政策,可以是組織管理者或管理者授權的夥伴。
第 3 步:探索資安主題,並完成課後任務
除了最開始的威脅建模,「資安防護基礎教材」也提供常⾒資安主題教學與辦公室⾏為指引建議。每個主題包含兩個部分:「課程主題」提供基礎概念、「操作指南」提供實作指引和⼯具介紹。
- 安排學習時程:計畫執⾏⼈員安排學習進度,並確保組織全員依照時程學習教材,建議定期(1-2 個⽉)學習⼀個資安主題。
- 學習與演練:瀏覽『課程主題』以主題為單位了解該相關概念,並進⼊『操作指南』進⾏演練。
- 確認學習成果:使⽤課後任務清單,確認每個項⽬皆執⾏完畢。
第 4 步:制定數位安全政策
⻑期有效的資安提升離不開數位安全政策落實。在了解概念和實作後,更重要的是,清晰定義各種操作的安全標準,為群體制定統⼀的規範,來確保加密、存取權限、定期備份等⼀致落實。
- 盤點現有政策:政策制定⼈員整理既有數位安全規範,包含不成⽂但已經落實在⼯作中的規定,了解組織已有哪些政策、落實情形、還需要哪些政策。
- 學習與演練:瀏覽『制定資安政策』,使⽤政策範本制定組織的數位安全政策。
最後:持續改進與更新
數位安全應該隨著技術和威脅的變化持續改進,建⽴定期的數位安全查核機制,定期回顧威脅模型,或是蒐集組織成員的回饋,持續更新數位安全政策。
- 設定下⼀次威脅建模時間:___年___⽉___⽇。(註:我們建議每六個⽉回顧威脅模型,適時新增或調整內容。)
- 設定下⼀次檢視數位安全政策時間:___年___⽉___⽇。(註:我們建議每年檢視數位安全政策,定期審核內容,確保資安政策的有效性。)
你可以做更多來提升數位安全環境、保護你的倡議工作。馬上啟動專屬於你的資安提升計畫!