風險管理:不確定性→儘可能確定(未知→已知、識別)
造成資安問題原因的面向
‧技術面(OSI七層)
‧流程面(導入ISMS、安全作業方式)
‧人員面
風險管理原則
原則1:框架(方法、模式與過程(流程)應該客製化(組識特性、文化)且互相對應。Ex:資訊部門與行政部門對每年水災發生頻率的定義。
原則2:利害關係人(對資訊安全有影響的人)必須適當與及時的參與。
原則3:採用結構與全面的方法。(高階風險評鑑、詳細風險評鑑)
原則4:風險管理是組織所有活動的一部份。
原則5:風險管理應依預測(系統開發前)、發生(系統上線前)、告知(接到回應時)及反應而執行變更。
上述5項提供風險管理框架+流程有關的指導
原則6:風險管理應考慮可用資訊的限制。
原則7:風險管理的各個面向都會受到人文因素影響
原則8:風險管理透過學習與經驗不斷改進。
上述3項是執行面(PDCA)持序改善
風險管理過程(流程)
範圍、全景及準則
↓
風險評鑑
‧風險識別
‧風險分析
‧風險評估(可容忍風險Y/N)
↓
風險處理
‧列出可行的風險對策(全部或部份移轉、抑減-降低發生可能性/降低影響程度、規避)
‧評估並選擇風險對策(可量可行性、成本及利益;評估可行的風險對策;選擇風險對策)
‧準備處理計畫
‧執行處理計畫(全部或部份移轉、抑減-降低發生可能性/降低影響程度、規避;殘餘風險)
↓
記錄與報告
>溝通及諮詢
>監視與審查
CNS27005資訊系統風險評鑑
(1)高階風險評鑑作法
‧以營運衝擊後果開始,非以威脅、脆弱性、資產及衝擊後過之系統化分析開始
‧資通安全責任等級分級辦法附表九
‧CNS31010企業衝擊分析(BIA)
‧3級安全等級:普、中、高
‧4大影響構面:機密性、完整性、可用性、法律遵循性
(2)詳細風險評鑑作法
‧CNS31010後果/機率矩陣
‧【法1】STEP1:考量資產價值(C,I,A)、發生可能性-威脅(低,中,高)、易被利用/難易度(低,中,高)
‧【法2】STEP1:分析營運衝擊程度(非常低,低,中,高,非常高)、事件可能性(非常低/非常不可能,低/不可能,中/有可能,高/可能,非常高/經常)
‧STEP2:資產價值×威脅發生可能性=風險量測,接著排序風險
溝通的目的:取得共識
‧內/外部利益關係人,EX:內部員工、上級機關、委外廠商、民眾
‧溝通資訊概述,EX:風險評鑑結果
‧溝通管道/方式,EX:電子郵件、公文、聲明稿、網站/電話
‧溝通頻率,EX:每年2次、視需要
建立風險全景(定義範圍、方法、流程)
‧施政目標
‧內、外安全需求
‧風險管理原則
--風險管理作法:高階風險評鑑or詳細風險評鑑;循環不同作法不同,EX:系統建置前尚未有資訊資產,採高階風險評鑑。
--風險評估準則:決定風險處理優先順序
--衝擊準則
--風險接受準則:決定風險處理範圍
‧界定範圍與邊界
‧風險評鑑組織
CHAP5.詳細風險評鑑活動程序
‧風險識別
1.資產識別
--資訊、軟體、實體設備、服務、人員等5個類別
2.威脅與脆弱性識別
--威脅與脆弱性要相互對應
3.現有控制措施識別
4.後果識別
‧風險分析
5.後果評鑑(含資訊及資通系統資產價值評鑑)
--後果識別&後果評鑑通常同時進行
--先由「資訊」資產切入檢視,再檢視「軟體」資產,最後檢視「硬體」資產的CIA值;不同安全等級之資訊、軟體、硬體儘量不要有共用情形,以統一安全管理強度與資源投入
--資訊及資通系統資產價值評定方式,有相加、相乘、取最大值等,經轉換成量測尺度,代表機關資訊及資通系統資產價值的優先順序,對於整體風險管理而言並無差異
6.事件可能性評鑑
--【法1】「脆弱性被利用的難易度」、「威脅的動機或能力」、「發生可能性」3個因素彼此的關係是OR(普1,中2,高3),取3者最高等級
--【法2】「威脅1~3」與「脆弱性1~3」依現有控制措施是否建置或落實程度參考
7.決定風險等級
--計算風險值,風險值=資訊及資通系統資產價值×脆弱性利用難易度×威脅發生可能性
--區分風險等級,普1~6、中7~12、高13~27
‧風險評估
8.決定風險可接受等級(可接受風險值越低,處理越多)
CHAP6.風險處理
風險評鑑結果是否合意?
↓
風險處理選擇
↓
殘餘風險
↓
風險處理結果是否合意?
風險處理選擇:
(1)風險修改/風險降低:控制措施NIST SP800-53R5
(2)風險保留/風險接受
(3)風險避免
(4)風險分擔/風險轉移
控制措施選擇:
(1)預防:事發前的準備工作
(2)偵測:事情發生當時
(3)回應:事情發生當時
(4)復原:事後工作,例如營運持續ISO 22301
CHAP7.風險監控與審查;因為時間或是控制措施而導致風險改變
風險評鑑變更管理
‧資安政策改變(資安政策需貫徹組織目標)
‧環境異動,EX:新技術
‧資訊及資通系統資產異動,EX:軟硬體升級、新的使用者群組
‧資安檢查結果,EX:內外稽、資安診建、弱點掃描
‧資安事件應變
內部稽核;定期檢視以確保控制措拖的有效性
STEP1:準備,稽核計畫
STEP2:啟始會議
STEP3:稽核審查,查核底稿(人事時地物)
STEP4:結束會議
STEP5:稽核報告
矯正措施執行程序(針對現行問題)
‧識別各項不符合事項
‧判定各項不符合原因:找出不符合事項發生的根本原因,為什麼會發生這件事的原因找出來
‧評估措施需求,確保各項不符合事項不復發:針對原因評可行的控制措施,並準備資源
‧決定與實作矯正控制措施:陳報主管同意實作,並定時追蹤與確認
‧記錄採取的控制措施結果:作為日後追蹤與效果驗證的依據
‧審查採取的矯正控制措施:是否達成預期目標?
預防措施執行程序(針對潛在不符合事項)
‧識別潛在的不符合事項與原因
‧評估控制措施的需求,防止不符合事項發生
‧決定與實作預防控制措施
‧記錄採取的控制措施結果
‧審查採取的矯正控制措施
【後記】這門課很像國際貿易實務,不推介。
【備註】錯字.缺字.排版.文句的問題散見於整本教材。
留言列表
圖像記事 (4)
管理後台