面对变化莫测的信息安全事件，BS7799提供组织或部分单位一个安全管理的方向去解决和应对。

大企业在充足的预算编列下，可依其考虑导入安全管理机制； 然而中小企业亦有其安全需求，要如何在有限的预算下做最佳化的安全管理，以下将提供一个概念性的模式提供企业参考。

引用软件开发的方法论。几年前受访者在英国为几家小型的企业作信息安全服务，因中小企业碍于有限的预算，无法完善的做好信息安全工作，当时便引用以下方法为企业导入适合地安全机制，建立基本信息安全防护。

1.定义需求(Requirement Specification)：了解客户的安全需求和原因。

2.分析(Analysis)：为需求做详细分析和评估。

3.设计(Design)：分析之后为客户设计适合的方案。

4.执行(Implementation)

5.测试和评估(Testing and Evaluation)：执行之后必须再重复测试与评估是否符合需求。

这个概念是从软件开发工程(SDLC，Software Development Life Cycle)中发展出来的。SDLC(Software Development Life Cycle)的模式后来被更广泛地应用到安全(Security Develo

pment Life Cycle)及资讯系统(Systems Development Life Cycle)的范围。事实上，它的流程和观念无论是在导入Software、Security或是Systems都是相同逻辑的。例如E-banking的

建置，E-banking是属软件开发系统，而建立E-banking时安全是第一考虑，可由这样的概念了解。

“安管的SOP” (Standard Operation Procedure)

这个方法的好处，是它可运用在信息安全各个不同的层面和领域。举例说，组织遭受病毒的侵略

事件很频繁，于是就产生病毒防制的需求，接着便需分析其发生的原因~是否企业的防毒软件是违法的或是已过期，或是使用者的教育训练不足，任意开启不明的email而引发中毒，或是没有固定的维护…等。此阶段针对需求和原因做完分析后，然后针对各个原因去设计不同的控管的方式，像是更新软件及购买合法软件，或针对认知不足的使用者加强教育训练，或是买软件在server上阻挡病毒…等。执行之后重复测试是否有所改善，假设没有改善则必须再重复回到分析步骤的循环再次检视。

以银行安全规划为例，可能在总行或分行都设有IT部门，也可能分行没有IT部门，则发生问题时就由总行来支援。为使计划在有限时间内，符合分行的使用者需求和稽核标准、有绩效地将系统建立起来，总行可能以这样的机制去协助分行解决。把安全的需求先定义出来，而这些需求的资讯来源则可以是顾问、外界的研究结果或是内部的信息安全需求等；定义了需求之后进入设计的阶段，再将控管方式带入设计里讨论、分析和评估，定义出问题后，针对重要事项的解决方法是可被使用者接受的话，就开始实施到计划当中来测试这些安全需求。

国外的信息安全工作做的很严谨，由于大多台湾发生的信息安全事件在国外都已有较久的经验，因此，国外己有很成熟的check list用来检视可能犯下的疏忽，以防重蹈覆辙；然而人的疏忽是最难预防的，花旗网路银行的信息安全事件就是一例。

建议中小企业在做安全的需求定义或分析时，可多从以前累积的经验和国外的信息安全经验，归纳进来检视使用者的需求再去设计。

SDLC model是一个简单的观念和和思考模式，除了软件开发、安全和资讯系统的应用外，可适用的范围很广。亦可应用到风险管理、客户服务管理、硬体建置，乃至BS7799的导入…等，都可以此模式导入。 在BS7799里其中一个规范~校正御防措施，提到四个重点，『原因』、『分析』、『校正』、『御防』，和SDLC的步骤亦很类似。事实上，这个方法可说是简化

BS7799的方法，将大标准切成小范围，再依中小企业的环境需求导入。

结论

BS7799谈到10个领域，包含了36项目标订定及127项安全稽核，可做为企业安全管理系统评估的基准。然而有些部分对中小企业而言，依成本或实际需求考虑是很难做到也是不适用的，像是BCP(Business Continuity Planning)或是人员安全的部分(此部份或许还可以做到保密安全，但是要二三十个人的中小型企业做到对每个员工身家调查，恐怕没那功夫)。但台湾占九成以上的中小企业而言，信息安全是其必然的考虑和需求，如何在有限的预算下解决其信息安全问题，此方法提供一个很好的思考方向。