資訊科技(IT)逐漸成為企業經營業務的驅動力及重要支援要素，有助於強化商業成效。先前於岱凱e-Solution第141期，我們曾提出GRC安全管理評估服務(Government, Risk & Compliance assessment)，有助企業在規劃雲端運算時做好資訊安全風險自我評估，在此我們將進一步探討GRC評估服務如何快速地協助企業做好風險安全檢視。

GRC安全管理評估服務僅需一周以內即可完成，針對接受評估企業之行業標準風險指數，在機密性(Confidentiality)、完整性(Integrity)、可用性(Availability)和稽核(Audit)等風險指數，提供一個完整的評估報告。目的在提供企業作出明智的決策，符合當務之急以及營運計劃策略，以改善資訊安全、確定投資回報和風險管理。GRC評估過程包括以下幾個關鍵階段：

準備階段：確認評估的範圍，界定及確認企業內部參與此項評估的主要成員，包括高級管理階層和技術團隊，他們也須參與其後的研討會階段。
弱點掃描階段：依據評估的範圍或從客戶端現有弱點管理系統，執行自動弱點掃描。
研討會階段(workshop)：透過研討會與公司的管理階層和技術人員討論，根據標準進行提問，建立當前的安全級別和期望的未來狀態。
技術模型階段：將弱點掃描的結果導入到岱凱獨家開發的模型工具，將網路架構對應事業單位和技術控制部份。
目標設置階段：確定採用哪種合適的方式來改變安全環境，以達到預期的安全目標。
報告階段：報告將包括詳細的調查結果，以及在程序、控制技術和政策方面提供建議，並討論下一個階段應如何達到理想的風險狀態，以及如何建立一個切實可行、符合成本效益且量化評估的策略。

岱凱GRC安全評估服務架構

GRC評估提供了IT風險和法規指標等詳細分析，使一個企業能夠在現有的環境下，迅速且有效地採取風險管理行動：

根據詳細的技術風險分析，快速做出決策
發掘和解決技術部署、程序和安全控制間的不一致
在控制及專案執行前，建立假設情境和模擬作業
產生比較的分析結果，並強調橫跨區域、系統、功能或流程的差異性
追蹤是否符合管理法規和政策的需求

岱凱(Datacraft/Dimension Data)在全球40多個國家，已成功執行超過一萬五千件安全評估案例，根據這樣豐富的經驗，我們發展出獨到的GRC安全評估架構，協助企業管理IT安全風險。我們也與知名的安全解決方案廠商建立全球夥伴關係，包括 BlueCoat、CheckPoint、Cisco、F5、Fortinet、IronPort、McAfee、RSA，藉此，岱凱的資深安全顧問即可結合安全原廠的技術能力，提供最全面的安全需求評估服務。