ISMS风险评估手册 下载本文

C. 弱点识别 潜在弱点列表 上次风险评估报告、任何 稽核评语、安全需求及安全测试结果 现行及未来计划之现行及未来计划D. 控制分析 控制机制 控制机制列表 威胁动机、威胁能E. 决定可能性 可能性等级 力、弱点本质及现

行控制机制

F. 冲击分析 冲击分析任务、重要冲击等级 完整性破坏、可用性资产评估、数据的重破坏、机密性破坏 要性及敏感性

风险及其相关层级 采掘威胁的可能性、G. 决定风险 冲击的大小及现行或 未来适当的控制机制 H. 控制建议 建议控制机制 I. 产生文件 风险评估报告

图5 信息系统风险评估方法论(数据来源:NIST)

4.4 适用性说明:

4.4.1 实际上有很多种方法被用来评估风险,评分系统是其中一种决定优先级有用的方

法,这种评分方法是根据技术的复杂性。控制程序的使用程度,及财务损失等变量作为风险因素来进行评估,以上这些变量不一定可以直接衡量,利用这些风险值互相比较来决定执行风险管理的工作时间表。另一风险评估方法是运用判断,使用这种方法所作的决策通常根据高阶主管的指示、过去的认知、业务的变化等。读者应根据各人所处环境的不同,以及主客观条件的不同等因素,选择适合自己组织的风险评估方法与信息安全管理系统的建置程序。

4.4.2 表1即针对本章所提之三种信息安全标准,整理其异同之处如下:

Page:21 of 25 信息安全标准规范 发展国家 服务对象 BS7799 英国 各产业界 COBIT NIST 美国 美国 各产业界,大多为会计各产业界 师事务所。 发展目的 提供管理要项、控制目1管理、控制与信息:促进评估、标准及技标及方法,确保信息之各项作业程序及控管术,以增加生产力、机密、完整及可用性。 目标2相关技术稽核:促进贸易及提升生以成本为考虑并提供活质量。 内部稽核指引。 信息安全目标 机密性、完整性、可用强调信息的效能、效针对信息系统之机性 率、机密、真确、可用、密性、完整性、可用遵行与可靠。 性 控件目 10个管理要项、36个4大阶段、34个高阶控9个步骤 控制目标、127个控件制目标、318个细部控目。 制目标。 信息资源分类 信息资产、软件资产、数据、应用系统、技术、硬件、软件、系统接物质资产及服务。 设施及人员。 口、数据与信息、人员及系统任务。 风险评估 1评估信息安全漏洞对1由管理阶层的脑力激以发生威胁的可能、冲击信息设备带来的威胁荡、策略性规则、过去性等级(P值)和影响及其发生的可的稽核与其它的评估等级(I值:完整性、能性。 进行。 可用性及机密性破2对资产价值/威胁/弱2以受调查区域暴露于坏)决定风险点列举相关项目、提供风险定量及或定性的(R=PI)。 风险评估系统化考虑测量。 因素(R=AVT)。 风险管理 以可接受的成本,确1实施保护与控制的成系统威胁、弱点识认、控制、排除可能影本效益分析,确保残余别,控制及冲击分响信息系统的安全风风险的正式纳入。 析,建议控制并产生险或将其危害最小化。 2提供信息管理成熟模评估文件。 式,建立对风险的评估、监督及控制之机制。 是否成为ISOPart1部分(ISO 无 无 17799) 标准 表1: 相关信息安全管理标准比较分析

5 结论

5.1 强化风险管理与应变能力。

当企业信息之运用、环境或目标更迭,则需配合适当评估政策或管理程序的调整,以

Page:22 of 25 及技术平台之调整。目前欧美先进国家的信息安全风险管理已不仅限于安全技术与管理,而强化其计算机安全事变的因应与掌握能力,因此所谓的「事变因应机制(Incident Handling)」便应运而生。

然而,良善完备的事变因应, 建构在不断地稽核、监控与对法令的娴熟程度。所以各组织体系针对信息安全风险的终极目标,除了信息安全管理体系的建立之外,基于「没有100%安全」的认知,如何建立「事变因应机制(Incident Handling)」,于信息安全事件发生后,藉由风险转嫁或大幅降低其影响层次,将是最后一道保护门坎。由于信息安全管理的成功,可促成组织、管理、技术的三赢,因此,面对渐趋开放的信息应用环境,信息安全管理的导入实为不可或缺的决策思考。

5.2 持续不断的教育训练。

信息安全管理其实所牵涉的范围十分广泛,不像一般人所认为的只是和计算机网络系统相关的方面,它涵盖的范围从单纯防火墙设定,到复杂的人员管理,可以说任何大小事都会有安全层面上的考虑。举个简单的例子来说明:父母都会很自然地告诉自己的小孩,不可以把家中的钥匙交给陌生人或和别人共享,因为这样坏人会进到家中,是很危险的。同样的我们所期待的信息安全也是这样的观念,如果有一天大家都很自然地对自己的密码或认证的信息非常重视,并好好保管,不会轻易和别人分享或采用简单易猜的密码,那时候就是我们所谓真正的信息安全时代,而其有效的作法就是要正确地将信息安全观念根深蒂固地传达到每个人的心中,并随时依现实状况让同仁们加强观念。

5.3 重新思考信息安全资源之合理分配。

现实的状况是,信息安全一般仍然被视为是信息人员的责任,但是信息人员是否有足够的预算及支持?一个有趣的问题是公司究竟在信息安全上投资多少资源?在国内大概是占信息预算的5%,而且大部份是买信息安全之软、硬件,要以有限的预算去保护公司最有价值的资产,恐怕不易。同时我们发现到,许多经营管理当局者未能将信息安全管理纳入整体管理系统中,反而在网络安全防范上则投资相当之金额以防范外部入侵威胁,这些就以往发生之重大资安事件来看,损失金额并不大;相对的,内部人员之舞弊或信息错误中断造成营运受到影响,恐怕损失更多。因此,信息安全资源之分配是否正确,值得深思。

5.4 高阶管理层级要正视风险。

我们重新检视一下信息安全的目的,其实不难了解其对组织营运之重要性,包括确保各项交易具有可被信赖之质量;建立系统遭攻击可以应付的能力、避免系统中断、机密数据被误用等。问题是这些风险是否有被充分反映给高阶管埋层级?对大部份的管埋层级而言,信息控制或安全管理并不经常被列列为重要议题来做讨论;反之,企业是否要导入ERP系统及供应链系统或企业电子化,则经常在高层管理会议中可看到,但对于进行这些重大信息系统投资项目时,如何确保信息系统之完整正确及可靠,则少受到注意。所以经常看到系统在上线后发生数据错误,无法达成信息导入之目标;我们也常

Page:23 of 25 看到有些公司未善尽保护客户个人计算机数据而造成商誉损失等诉讼情事,这些都可以透过信息安全基础建设予以预防,也是身为信息管理幕僚单位人员责无旁贷之职,应提供完整的数据及具备正确的观念以供高层管理主管了解,并可做适当之判断。

信息安全常被认为是负面的、会阻碍发展的、是不方便的、是要花成本的、是多余的工作,所以就不是需要优先处理的工作,特别是在信息人员极端精简且工作繁重的情况之下,信息风险就容易被忽略了;「主管对信息议题可能没有兴趣,我们不要自找麻烦」;「我们有防火墙」?等;这些通常都成了管理人员的挡箭牌。可是请不要忘了,大部分遭受重大资安事件损失之公司均有防火墙;美国恩隆事件中,公司也有完整的内控内稽制度,其实组织文化及人员管理很可能才是信息安全做不好的真正原因。

5.5 避免重蹈覆辙。

最后我们想要强调的是,近年来有不少有识之士一再提醒,信息安全管理制度的建立与认证之推广,千万不要重蹈某些ISO证照浮滥之覆辙。而其中最重要的就是决策阶层对于自身单位所面临的风险及其判断信息是否足够,当然这其中也包括了前述幕僚单位应有责任提供正确且完整的信息。所以这是一项不分职级高低,需要大家共同动员的工作。而申请认证是一项值得追求的目标,但重要的是在其准备过程中,各单位或组织是否真正从中学习到正视风险,进而采取适当的风险管理程序,形成从上而下一致遵行的企业文化,这才是申请认证的正确态度。

6 参考文件与标准

6.1 6.2 6.3 6.4 6.5 6.6 6.7 6.8 6.9 6.10 6.11 6.12 6.13 6.14 6.15

ISO 17799 / CNS17799

BS7799 Part 2,2002 / CNS17800

COBIT (Control Objectives of Information Technology version) 3.0 NIST (National Institute of Standards and Technology) “CISA Review Manual”, ISACA, 2003 “Secrets and Lies”, Bruce Schneier, 2001

”建立我国资通安全教育训练中程计划”,国家资通安全会报综合业务组,91年 “在线犯罪泛滥,网络警察出列”,林宜隆,资安人杂志创刊号,92年3月。 “资通安全鉴识之挑战与响应”, 林宜隆,资安人杂志第2期,92年5月。 “计算机稽核与信息安全管理”,黄淙泽,信息安全杂志,92年5月。

“成功导入资安管理关键要素”,万糼筠,资安人杂志创刊号,92年3月。 “电信业资安管理精义”,徐子文,资安人杂志创刊号,92年3月。

“洞悉破窗效应,企业安全加分”,徐子文,资安人杂志第2期,92年5月。

“管理面与技术面孰轻孰重?”,吴佳翰、陈怡良,资安人杂志创刊号,92年3月。 ”ISMS的省思”,陈旭东,寛华网络电子报第40期,92年3月。

Page:24 of 25 三、作者简介:

1. 林宜隆博士

中央警察大学信息管理系暨研究所专任教授

中华民国计算机稽核协会常务理事兼编译出版委员会主任委员

2. 黄淙泽先生

前中华民国计算机稽核协会秘书长

现任中华民国计算机稽核协会理事兼教育训练委员 远传电信企业安全部项目经理

Page:25 of 25