信息安全管理制度风险评估手册

目 录

一前言 ................................................................................................. 错误！未定义书签。 二本文 ................................................................................................. 错误！未定义书签。 1 風險的定義及其本質 ........................................................................ 错误！未定义书签。 2 風險管理對資訊安全管理系統的重要性 ............................................ 错误！未定义书签。 3資訊風險管理與資訊風險評估之關連 ................................................ 错误！未定义书签。 4各種資訊風險評估作業程序之比較與建議 ......................................... 错误！未定义书签。 5結論 .................................................................................................. 错误！未定义书签。 6參考文件與標準 ................................................................................ 错误！未定义书签。 三作者簡介： ....................................................................................... 错误！未定义书签。

编序

自从行政院于民国九十年一月十七日第二七一八次院会通过「建立我国通信息基础建设安全机制计划」，并成立「国家资通安全会报」后，即开始结合内政、外交、国防、财政、教育、法务、经济、交通等部会，针对电力、电信、金融、交通等国家基础建设之安全防护，共同研讨相关因应作为，其中对于教育训练的重视与人才之培育，更是重点工作项目之一。

依照国家资通安全会报综合业务组之规划，整个教育训练的时程大致上可分为资通安全基础训练建置，资通安全防护及运用训练，资通安全专业训练三大阶段；而编撰本手册之源由，系配合国家资通安全会报对于政府机构建立信息安全的基本防范能力，以及建立信息安全的防范体系所做的一连串配套措施之一，旨在提升政府机构人员对于信息安全管理系统的基本认知以及针对实际建置管理系统所需的程序提供相关教育训练。

本手册编撰由中华民国计算机稽核协会负责，将发行给政府单位作为执行信息安全管理制度时之参考书籍。有鉴于大多数政府机关人员对于信息安全管理系统及其建置程序并未有完整之观念，或是仍存有部份之迷思，其中有关于信息风险评估的原理及执行程序是最易令人产生困惑之处，因此本手册之编排方式将先针对信息风险的定义及其本质予以简介，然后说明如何管理信息风险以及介绍信息安全管理系统建置程序；最后再引导至风险评估对于整个信息安全管理系统的重要性以及介绍目前国际上较为通用的风险评估方式，期望能协助各单位有所依循且有效地执行信息安全管理制度之推行。

国家资通安全会报技术服务中心 谨订

中华民国九十二年四月

Page:2 of 25

一、前言

运用信息技术尚需注意人性的管理：

很多人在一接触到信息安全管理系统(Information Security Management System，简称ISMS)时，首先浮现的念头大多是「一种非常专业的知识，只有信息相关的从业人员才可以胜任」。但有趣的是，当发生了信息安全事件时，信息人员也常表示「我们己经提供了最佳设备及软件，也对相关人员实施了相关的教育训练」；那么信息安全事件何以还是在我们的周遭不断地重复发生呢？

当从新闻媒体或是报章杂志得知了台湾又发生了信息安全事件时，很多人总想一探究竟地了解到底在安全系统中是哪里出现了漏洞，让为非做歹者有机可乘。而事实是，不论是在金融业、公共事业或是其它与信息相关的产业，绝大部份造成信息安全事件的原因都不是专业技术的层面，而是在人性面上出现的漏洞所导致。不可否认的是，蓄意犯罪的人员的专业素养及用功认真的程度是远高过于我们一般的从业人员，尤其在信息安全事件方面，有鉴于此，我们也必须要有一套能在组织中展开的信息安全管理机制，藉由组织内人员的知识及警觉来形成信息安全的防护网，使得有心人士不会那么容易的得逞，即使是提高了犯罪的成本或是难度，这也就是某种程度的信息安全防护了。

风险评估是信息安全管理制度的重要建置步骤：

近年来各大媒体对于信息安全事件的报导日渐增多，不定期发生的病毒警示发布、网络银行的账户密码遭破解盗取存款、中美网络黑客大战等等，在报章媒体失真地报导与过度地渲染之下，「信息安全」也成为本世纪以来谈及因特网时的热门议题。但一般人对于「信息安全」所蕴含的意义，仅止于将报章杂志上耸动的标题－黑客攻击、计算机病毒及信息战等，与信息安全划上等号。若企业经营管理阶层、信息从业人员亦有此错误之认知，认为防火墙之购买及防毒软件之使用即是落实了信息安全的良善管理，而未针对安全管理之机制思考其真正意涵，那么在信息安全管理的逻辑上已产生了一个严重的错误：亦即仅重视技术层面之各项软硬件导入与应用，而忽略了管理层面风险评估与控管程序建置之重要性，导致企业执行信息安全管理机制时造成失衡，亦造成信息安全的管理与企业经营的需求发生冲突时无适当之权衡评估方式。

二、本文

1 风险的定义及其本质

1.1 认识风险才知如何管理

在开始进入主题前，想先和大家分享一个现象。自从921大地震后，开始引发社会呼吁企业应注重「业务持续营运计划」(Business Contingency Plan简称BCP)的声音，而后陆续又发生汐止东方科学园区大火、纳莉水灾、美国911恐怖攻击事件等几乎每

Page:3 of 25 年一次不同类型的灾难事件后，我们曾经一度以为各企业对BCP的接受度与需求会大增，必会求助于从事于信息安全的顾问及专家。可惜事实不然，许多企业主找了多家顾问或厂商来做评估，但一谈到经费问题就触礁了；有的仍然持续在观望中，看局势、看政府的态度、看荷包，但就是不看风险；少数几家还很自豪地说，发生那么多灾难都没有波及他的公司，可见根本就无须小题大作云云…..。后来经我们分析后才得知，有心导入BCP机制的企业或机构，其实在事件发生后就立即展开建置或评估作业了。

举这个例子是想在阅读本书前告诉大家，每个人对风险的认知与容忍程度是不同的，即使采用相同的方法论亦会产生不同的控制措施。也因此并没有一套放诸四海皆准的方法可如法炮制；我们提供的是希望大家要先对风险本身有了正确的认识后，才能采用适当的方法论去建置一套真正适用于单位内的信息安全管理系统。尤其是现在又遇上了SARS的事件，其影响层面不再只是区域性而已，衷心希望大家可趁此机会仔细地检视自身单位内所面临的风险。

又如多数企业于信息安全管理体系建构之际，诸如信息安全政策之建置，仅为文件复制与编写，或并未与实务或营运需要进行差异分析 (Gap Analysis)；其它如安全防护技术或产品导入，亦未涵盖营运风险(Business Risks)评估…等。所以，虽投入于信息安全保护，但在我国多数的企业环境尚处于 NICE TO HAVE的型态，意即有安全管理当然很好，但没有亦无妨；因此除非法令要求，甚或已经因类似的事件遭受损失，或希望成为营销的利器，否则多半都采取较消极的态度或仅仰赖导入某些技术或产品，在缺乏良善的监控与分析之下，多半都处于对企业内部的安全防御状态的不自知。

1.2 风险的基本定义

风险一词有很多种层面的定义，反应出不同的风险意义与不同的人事物。其中一种最足以有效定义风险系ISO所提供：『可能对一个或群组资产可能之弱点产生威胁，以致产生损失或伤害资产。风险之影响或相关损害系指可能对企业产生之损失／破坏价值及估计威胁发生机率。』此定义一般为业界所采用，自从组织运用资产概念及损失价格来考虑风险，此亦已被一般组织及企业之经理层级所采纳。

1.3 风险之本质

不论我们要不要接受，风险的存在性是不变的，每个人每天都不停地会面临风险，并做出抉择。例如一个开车上班的人，若有一天他的车子送修，他就必须要决定是否要坐公交车还是出租车去上班，以花费的成本考虑来看，出租车当然比较贵，可是它所提供的是时间的节省以及舒适的过程；反之，坐公交车的好处在于其经济因素的考虑。简单地说，在作决定前的过程就是一种风险评估；决定方案之后所作的调整(如为了避免塞车，便比平时早1小时出门)便是在执行风险管理。

从另一个角度来看，风险本身即表示犯罪与攻击意图的存在，像盗用公款、抢劫、侵犯隐私权、诈欺…等层出不穷的事件，在实体世界与数字世界中都是一种威胁；它们的外表形态可能会不一样，但是其动机及心理仍是相同的。因此，我们对数字世界的威胁可以使用与实体世界相同的防护逻辑，再来判断要使用何种信息技术层级予以控制；而不是一开始就选择要采用的防护产品，结果反而要让控管机制来迁就产品所

Page:4 of 25