保持你需要的

管理資訊安全最基本的法則就是任何可能將人們置於險境的資訊都要加以分類以維持需要知道的人。這意謂著只有那些真正需要用到那些資訊的人才給予其操作的權限，舉例來說如果一個團隊與一個高風險的消息來源合作，只有消息來源直接連繫的團隊伙伴才要掌握對方的真名與細節。團隊其它人則只需要用代稱來工作即可，這樣可以降低雙方的危險。

如果有沒保持敏感資訊的好理由，你就應該刪除它(請見安全刪除課程)

威脅模式

並沒有單一解決方案來保持資訊安全。安全地管理資訊並不單指使用某些工具；它要的是能理解所面臨的威脅以及如何對抗這些威脅。你必須要知道你需要保護什麼以及要防範的對手才能夠更有效地確保安全。威脅可能因為你所在的位置、你正在進行的工作、合作的伙伴等因素而有所變化，最簡單方法來找出合適的解決方案就是要先進行一番威脅模式評估。

評估問題

當進行評估時，有五大主要問題你應該問問自己:

1. 你想要保護什麼？

什麼樣的资訊一旦公閧會讓你、你的工作或其它惹上危險？它們可能是電子郵件、連絡人、簡訊或檔案，也可能是你正在推動的特定敏感行動。

1. 你要對抗誰來保護這些資訊？

這可能是任何人或實體他們對你及你的工作造成威脅，也就是一般所稱的對手。想想誰有動機去閱讀或刪除你的資訊、破壞干擾你的工作.他們可能是你所揭露的政府、企業、你的上司或是駭客。

1. 你如何地保護這些資料？

區分風險和威脅是重要的，後者是指壞事可能會發生而風險則是指威脅發生的可能性。計算風險就是理解到某個威脅真的發生的機會。這樣威脅真的執行的可能性?你也要考慮潛在攻擊者的能力，舉個例子：行動電話電信業者取用你的電話記錄以及分享這些資料的能耐服務。一名駭客可以利用開放的無線網路來取用你未加密的通訊，而政府則可能有更強大的能耐。

1. 如果失敗了你的情況會有多糟？

敵方的動機可能太不相同，其攻擊手法也不一。企業可能會試著阻止散播他們違法活動的影片所以僅是要刪除影片而已，但政府可能把社運份子當成了國家的威脅而想要取得行動人士的姓名、有關細節來進行逮捕或騷擾。

1. 你願意克服多少麻煩來阻止這些事情？

知道你遇上的威脅，其中許多或許太不可能發生(或是難以對抗) 而不須太過擔心，但有些人覺得某些威脅不管其發生機率多小都讓人無法接受，因為這表示了威脅的可能性不是沒有代價。其它案例中，人們無視於高風險大為他們不把威脅當成大問題。

滑動右側到課程檢查表

相關課程

• 安全刪除課程

進一步閱讀

• EFF 電子前鋒基金會 - Thread　modelling