這份風險評估範例是設計給新聞編採部,讓管理層能夠思考媒體機構面對的風險,從而採取步驟減低風險。這份評估分為兩部份,第一部分檢視媒體機構本身,第二部分鼓勵管理層思考員工及Freelancers面對的風險。請使用我們的數碼安全指南協助你完成這份文件。
宜考慮一下在哪裡存放這份風險評估文件,以策安全。不建議在這份文件寫下太詳盡的答案,以免文件落入對家手中。建議使用這份評估作為一個起點,考慮在哪些地方要加強自己的數碼安全。
你目前採取了哪些數碼安全的防範措施?請詳細說明。
如果目前未有相關舉措,你認為貴新聞編採部需要哪些防範措施呢?
貴機構有專人負責IT支援嗎?
如果沒有的話,日後會有預算請人專門負責IT嗎?或者貴機構能否培訓某人擔任相關工作呢?
你的新聞編採部是否面對嚴重的數碼威脅風險?(包括駭客攻擊、針對性網絡釣魚攻擊、間諜軟件攻擊等等)請詳列所有以往經歷過或你擔心會面對的威脅。
你過去曾否採取行動應對上述的威脅?請詳述之。
你的新聞編採部有沒有專用的電郵用戶端?還是每個人都是使用自己的私人電郵帳戶處理公事?
你有沒有採取保護帳戶的最佳措施(包括雙重身分認證)?有沒有關於設置及儲存安全密碼的政策?
你有沒有關於備份新聞編採部資訊(包括網站內容)的政策?
如果有的話,備份的地方是否難以讓外人找到?
你是否知悉與同事及線人安全聯繫的方法?你採取了什麼方法確保你的對話不會被閱覽?
你的編採部有沒有實體辦公室?如有的話,你採取了什麼步驟保護辦公室內儲存的裝置和數據呢?
你的網站是否面對被駭客攻擊的威脅?如果有的話,你採取了什麼步驟加以防範?請詳細說明之。
貴編採部有沒有某些記者因為負責採訪的故事,因而承擔比其他同事更高的風險?你採取了什麼措施去保護相關同事?
記者有沒有接受過數碼安全最佳措施的培訓?例如防範魚叉式網絡釣魚攻擊、保護個人資訊、安全網絡資料蒐集等。
有沒有與記者進行風險評估?
記者面對被電子監控的風險有多嚴重?如果嚴重的話,你採取了什麼步驟去保護他們?
記者是否使用個人裝置處理公事?例如他們是否使用自己的個人電郵地址或電話號碼與線人聯絡?如果是的話,你採取了什麼措施去更好地保障他們的個人資訊?
記者的工作與個人網上帳戶是否採用了雙重身分認證與長密碼等防範措施?
你的記者是否與敏感線人聯絡?如有的話,記者採取了什麼措施保護線人的個人資訊?
