風險管理是語言
資訊安全的定義:保障資訊及資通系統資產(處理資訊的軟硬體、人)免於發生潛在不可承受的風險。
ISO 27001對資訊安全的定議:保存資訊的機密性、完整性及可用性。
導入資訊安全:在發生資安事件時,能夠快速因應處理。
基本防護因子:機密性、完整性、可用性。
延伸:鑑別性Authenticity、可歸責性Accountability、不可否認性Non-Repudiation、可靠度Reliability。
CNS 31000的「風險」定義:對於組織目標之不確定影響。
【注釋1】影響:指對於預期結果的誤差,包括正向(機會)與負向結果。EX:投資。
【注釋2】不確定性→儘可能確定,即未知→已知or識別,即是「風險管理」
資訊安全風險:Threat利用Vulnerability直接或間接造成Asset的CIA受到損害的「可能性」。
【注釋1】Threat對Asset本身而言是外來的,可藉由過去發生的資安事件進行識別
【注釋2】Vulnerability存在於Asset本身
【注釋3】CNS 27002將Asset分為:資訊、軟體資產、實體資產、服務、人員、無形資產
【注釋4】透過執行安全管理制度,保護資訊的CIA,就是資訊安全
【注釋5】安全管理(Security Management/countermeasure):政策/法令/法規、資訊安全管理系統標準、資訊安全機制
造成資安問題的原因:技術面(OSI七層)、流程面、人員面(認知不足、溝通不良、缺乏共識、疏失)
【注釋】Layer8人、Layer9錢、Layer10政治
風險管理原則:
原則1:框架與過程(流程)應該客製化且互相對應
【注釋1】組織特性、文化,EX:庶務科及資訊科對水災發生頻率
原則2:利害關係人必須適當與及時的參與
【注釋2】利害關係人為「對資訊安全有影響的所有人」
原則3:採用結構與全面的方法
【注釋3】高階or詳細
原則4:風險管理是組織所有活動的一部分
原則5:風險管理應依預測、發現、告知及反應而執行變更
【注釋4】預測=系統開發前、發現=系統上線前、告知=接到回應時
原則6:風險管理應考慮可用資訊的限制
原則7:風險管理的各個面向都會受到人文因素影響
原則8:風險管理透過學習與經驗不斷改進
【注釋5】原則1~原則5為設計風險管理措施提供指導;有關框架、流程
【注釋6】原則6~原則8則是與風險管理運作有關措施;執行面,PDCA持續改善
風險管理框架:
1.領導與承諾
【注釋】思考議題、建立政策、提供資源(人/錢/時間)
2.整合
【注釋】R(執行者)A(負責人)C(被諮詢)I(被知會)
3.設計
【注釋】瞭解文化(潛規則)、建立溝通與諮詢
4.建置
【注釋】制定實施計畫
5.評估
6.持續改善
風險管理過程(流程){風險管理過程}:
1.範圍、全景及準則
【注釋】不要輕易改變,否則難以比較
2.風險評鑑
2-1_風險識別
2-2_風險分析(衝擊後果、發生可能性、風險等級)
2-3_風險評估
3.風險處理
4.紀錄與報告
5.溝通與諮詢
6.監視與審查
CNS 27001:2023內容架構
0.簡介
1.適用範圍
2.引用標準
3.用語及定義
4.組織全景
5.領導作為
6.規劃
7.支援
8.運作
9.績效評估
10.改善
附錄A(控制項)
CNS 31010提供系統化的風險評鑑方法選擇與應用的指引文件,下為CNS/ISO/IEC 27005建議之資安風險評鑑方法
●企業衝擊分析(BIA)=高階風險評鑑法
【注釋1】資通安全責任等級分級辦法附表九,評定資通系統安全等級,3安全等級(普中高)+4大影響構面(C機密性/I完整性/A可用性/L法律遵循性)
●後果/機率矩陣=詳細風險評鑑法
【注釋2】預先定義值之矩陣(一)以CIA衡量資產價值、發生可能性(易被利用/難易度)分為低中高3級、脆弱性易被利用程度分為低中高3級,藉以識別風險
【注釋3】預先定義值之矩陣(二)分析營運衝擊程度縱軸(非常低0,低1,中2,高3,非常高4)、橫軸事件發生可能性(非常低_非常不可能0,低_不可能1,中_有可能2,高_可能3,非常高_經常4)
CNS 27005資訊系統風險評鑑{風險管理過程}(不提供任何資安風險管理之特定方法論)
1.全景建立(修訂全景參數:風險管理作法[高階or詳細]、風險評估準則[決定風險處理順序]、衝擊準則[對組織的影響(普中高)]、風險接受準則[決定風險處理範圍];風險評鑑的範圍)
【註】採用詳細風險評鑑作法,風險評估準則應包含資訊及資通系統資產價值評定方式(相加,相乘,取最大值)
2.風險評鑑(A)高階風險評鑑(B)詳細風險評鑑
2-1_風險識別
2-2_風險分析
2-3_風險評估
3.風險決策點1評鑑是否合意,否回到「1.全景建立」
4.風險處理
【注釋1】CNS 27005:風險修改(風險降低,高→低),風險保留(風險接受)、風險避免及風險分擔(轉移)=>殘餘風險
【注釋2】選擇控制措施(預防,偵測,回應,復原)應權衡獲取、實作、行政管理、運作、監控及維護之成本,與受保護的資產價值加以比較
5.風險決策點2處理是否合意,否回到「4.風險處理」或「1.全景建立」
6.風險接受
7.風險溝通及諮詢
【注釋3】目的是取得共識
【注釋4】由內外部利害關係人、業務端等面向蒐集風險資訊
【注釋5】避免或降低決策者與利害關係人間,因缺乏相互了解,導致資安漏洞發生與後果
8.風險監控與審查
【注釋6】風險評鑑變更管理,時機可能為:法規合約改變、資安政策改變、環境異動、資訊及資通系統資產異動(新程序,新功能,軟體升級,硬體升級,新使用者)、資安檢查結果(資安健診,社交工程演練,內外部稽核)、資安事件應變
詳細風險評鑑活動程序圖
1.風險識別
1-1_資產識別
【註】利用流程方法:輸入,輸出,資源,規範,紀錄
1-2_威脅與脆弱性識別
【註】類別:資訊,軟體,實體設備,服務,人員
【註】可依據過去曾發生過的資安事件進行識別
1-3_現有控制措施識別
1-4_後果識別
【注釋1】事件發生後,對Asset的C.I.A的衝擊嚴重性,分普1,中2,高3描述
2.風險分析
2-1_後果評鑑(含資訊及資通系統資產價值評鑑)
【注釋2】事件發生後,對Asset的C.I.A的衝擊嚴重性,分普1,中2,高3,來判斷資產價值(相加,相乘,取最大值)
【注釋3】共用情況,先由「資訊」資產切入檢視,「軟體」資產次之,「硬體」資產最後
【注釋4】「1-4_後果識別」及「2-1_後果評鑑」實作時常同時進行
2-2_事件可能性評鑑(機率)
【注釋5】分析「脆弱性被利用的難易度(普中高)」、「威脅發生的可能性(普中高)」各一個值
【注釋6】可依現有控制措施是否建置或落實程度參考,即「威脅等級(普中高)」及「脆弱性等級(普中高)」
2-3_決定風險等級
【注釋7】風險=資訊及資通系統資產價值×脆弱性利用難易度×威脅發生可能性
【注釋8】區分風險等級(普,中,高)區間範圍
3.風險評估
3-1_決定風險可接受等級(風險可接受水準)
【注釋9】接受度越低,要處理的越多
【註】EX:會造成系統停頓或中斷超過4小時者為不可接受之風險,風險值大於或等於前述狀況者,即被視為「不可承受的風險範圍」,再依現有預算、資源及時間納入考量,決定「風險接受準則」
4.風險處理=>殘餘風險
5.風險監視與審查階段
內/外部稽核:確保控制措施實施之有效性,分為5個階段,1準備、2啟始會議、3稽核審查、4結束會議、5稽核報告
矯正措施執行程序
(1)識別各項不符合事項
(2)判定各項不符合原因:將為什麼會發生這件事的原因找出來
(3)評估控制措施需求,確保各項不符合事項不復發
(4)記錄採取的控制措施結果
(5)審查採取的矯正控制措施
預防措施執行程序
【註】除進行上述矯正措施執行程序,也對其他可能發生類似不符合事項的設備或資產 ,進行預防措施
(1)識別潛在的不符合事項與原因
(2)評估控制措施的需求,防止不符合事項發生
(3)決定與實作預防控制措施
(4)記錄採取的控制措施結果
(5)審查採取的矯正控制措施
(代號)主類別/次類別
(A)應用程式與軟體資產/(A01)作業系統、(A02)應用系統、(A03)中介系統、(A04)其它……
(D)資料資產/(D01)合約、(D02)系統文件、(D03)系統資料、(D04)備份資料、(D05)測試資料、(D06)其它……
(H)硬體資產/(H01)伺服器、(H02)儲存設備、(H03)網路設備、(H04)資安設備、(H05)個人電腦、(H06)監控設備、(H05)支援性設備……
(M)人員資產/(M01)管理人員、(M02)作業維運人員、(M03)委外廠商人員、(M04)其他……
(S)服務資產/(S01)專線服務、(S02)網路服務、(S03)設備維護服務、(S04)人員服務、(S05)其他……
留言列表
圖像記事 (4)
管理後台