提供的功能。
1.4 信息安全与信息风险:
1.4.1 信息安全的定义与目标
仅以BS7799的标准定义做为简介,就是「信息对组织而言就是一种资产,和其它重要的营运资产一样有价值,因此需要持续给予妥善保护。信息安全可保护信息不受各种威胁,确保持续营运,将营运损失降到最低,得到最丰厚的投资报酬率和商机。」
信息安全的目标在于保护信息及其支持处理设备、系统和网络的机密性(Confidentiality)、完整性(Integrity,或称真确性)和可获得性(Availability,或称可用性)不受到各种方式的威胁,使可能发生的事业损害降至最低,确保企业的永续经营;例如,程序设计师写完程序必须向上级公开原始码、企业Data Center必须进行数据异地备援...等等都是基于保护信息安全的考虑。
1.4.2 信息安全管理的要素
与其它管理一样,安全管理三要素是People(人)、Process(流程)与Technology(科技),因为事是由人做出来的,人事安全是所有安全当中非常重要的一环,企业或组织所拟定出来的安全政策还有赖具备安全紧急意识的「人」去遵循;而企业若能掌握Process顺畅,即可掌握80﹪以上的安全;Technology并非单指CCTV、门禁系统等设备,而最近相当热门的信息安全也绝非单指防火墙与防毒软件而已。
信息安全涵盖范围相当广,并非仅指因特网,也绝非只是防火墙,因为信息安全必须以人事、实体与环境安全为基础,所有的科技都以协助安全管理政策为目的,否则科技只是一个产品。例如,当计算机为了信息安全的缘故装上防火墙,却对其摆放位置不做适当防护,如何称得上安全?
1.4.3 信息风险的定义与要素
信息风险系指可能影响资产、流程、作业环境或特殊企业组织之威胁,威胁性质包括财务、法令、策略、科技、数据运用及可能影响企业环境之结果。信息安全管理系统的建置人员应着重于与信息安全管理三要素有关之风险等级,此等风险等级通常容易产生信息机密性、完整性或可获得性之损失。
而信息风险的要素可表现于下列方面:
A. 外部威胁、内部弱点、需要保护的作业或信息资产。
B. 依据资产之威胁及弱点之影响做成冲击分析(Impact Analysis)。
C. 依管理目标与现实状况所做之差异分析(Gap Analysis)及评估风险可能发生之机率。
1.5 信息风险的种类:
Page:5 of 25 1.5.1 完整性风险(Integrity Risk):
此风险会发生在信息处理的两个范畴,分别是信息基本架构的管理、及维持组织营运所必需的应用系统。其风险在于数据的处理、拥有、揭露均违反了营运控制的实务,或信息系统之输出、入与处理的正确原则端控制流程,如:数据转换接口出错、数据内容遭破坏,网页内容遭恶意窜改、网络数据劫夺(Session Hijacking)及数据结算之错误或根本的程序逻辑与经营流程不相符。
1.5.2 信息基础架构风险 (Infrastructure Risk):
此风险系因组织未能建构有效率的信息科技基础架构(如硬件、网络、软件、人员及流程),或未能在有效率、及控制良好的模式下,支持组织现有及未来的需求。这些风险在于界定、开发、维护及经营信息处理环境(如计算机硬件、软件系统、网络等)的一连串信息科技处理程序及相关的营运应用系统(例如客户服务、应收付帐款、生产排程、信用处理等等)有关,举凡从操作系统平台,数据库系统、网络系统、实体环境等等,特别是现今e化环境对网络的依赖性非常高,因此信息基础建设之完备,传输之保全是重要的风险控制点。
1.5.3 可获得性风险(Availability Risk):
当需要信息执行营运决策或经营活动时,无法及时取得的风险,包括:
A. 因信息通讯中断所产生的损失。例如:协议阻断服务攻击(Denial of Service)、传输线路中断、电话系统断线、系统当机、卫星断讯。
B. 处理信息的基本能力之丧失。例如:计算机系统效能极低,火、水灾、断电或缺乏适当专业人员操作系统。
C. 操作上的困难。例如:控制权遭远程控制程序劫夺、磁盘驱动器故障、操作人员失误等。
D. 企业或组织营运上的中断。例如:天然灾害、恶意破坏、怠工、瘟疫(今年所遇到的SARS疫情便是一例)等。
另外信息可获得性风险应着重以下三个不同的层面:
A. 藉由监督效能及在问题发生前采取预防措施,可避免此风险。 B. 可使用系统或数据回复技术使损失降至最低。
C. 因天然灾害而造成长时间之中断所产生的风险,可透过应变计划(Disaster Recovery Plan 或 Incident Handling Process)及业务持续营运计划(Business Contingency Plan)使信息系统减少损失。
1.5.4 机密性风险及存取风险(Confidential Risk & Access Risk):
此类风险着重于不适当的存取信息系统、数据和信息之风险,它包括不适当的权责划分、数据与数据库整合之风险、以及与信息机密性相关之风险,例如不适当的人可能取得机密信息,而适当的人却被拒绝存取。
信息存取的风险是全面性的,亦即包括因任何目的而取得的信息。另一类型则如使用者权限的不相符,或是系统导入之变更,传统之部门间职能分工转变为应用系统角色及权限之扮演,例如员工兼具请购人员与采
Page:6 of 25 购人员之权限,可能导致不当授权将导致使用者存取未经授权之数据之风险,或造成机密数据外泄及未经授权之异动可能性。
1.5.5 攸关风险(Relevance Risk):
攸关性风险系指该信息与搜集、维护与传达信息之目的无关,该风险系与信息系统所产生或汇总信息之有用性与时效性有关。依性质而言,信息的攸关性风险直接与「决策信息风险」有关,此风险系指无法将「正确」之数据或信息,传达给「正确」的经营、消费或管理决策者,在「正确」的时间内做出「正确」之决策。此风险之发生主要系因未充分了解信息需求及缺乏对时效性的注意,进而损害到交易双方的权益、企业竞争的优势或是管理的效益与效率。
2 信息风险管理对信息安全管理系统的重要性
2.1 信息安全管理系统的建置程序
2.1.1 兹以BS7799为例:
信息安全管理系统和ISO9001:2000年版一致地采用”计划-执行-检查-行动”(Plan-Do-Check-Act,PDCA)之模式,并应用于所有信息安全管理系统之建置过程。图1系展示信息安全管理系统如何采纳信息安全要求之输入及利害关系团体之期望作为输入端,经由各必要措施及过程,产生符合所需要求及期望的信息安全输出结果。
图1所示之PDCA模式,同时表现组织应在整体业务活动与风险下执行开发、实施、维护及持续改进信息安全管理系统。PDCA过程模式并可描述如下: P:计划(Plan,建立ISMS),建立安全政策、目标、标的、过程及相关程序以管理风险及改进信息安全,使结果与组织整体政策与目标相一致。 D:执行(Do,实施与操作ISMS),安全政策、控制措施、过程与流程之实施与操作。
C:检查(Check,监控与审查ISMS),依据安全政策、目标与实际经验,以评鉴及测量(适当时)过程绩效,并将结果回报给管理阶层加以审查。 A:行动(Act,维持与改进ISMS),依据管理阶层审查结果采取矫正与预防措施,以达成持续改进信息安全管理系统。
Page:7 of 25 图1:ISO标准所采用之PDCA模式
除了图1所示ISO标准模式之外,兹将其概念转换成另一种建置程序的呈现(详图2),以提供读者做为建置之参考。
对照PDCA的过程描述,大家可以看到信息安全管理系统与制度之建置是一个循环不断的过程,其中的基础必须先建立目标与安全政策。在运作过程中需要取得完整的决策信息(可想而知,若信息不足时则其判断结果便会有误差。再来针对风险所做之企业持续不断之评估、管理、监督修正等行为皆与PDCA有直接关连。
建立目标
IT Assets & 与基础架构 Security
Framework
Gap Analysis 评估风险 I.T. Audit Impact Analysis
持续性修正 规划风险 决策信息 管理策略 avoid / transfer/ reduce /accept 监督风险管理 设计与执行
程序之效果 风险控管程序
I.T. Management IT Control & Security Policy
图2:信息安全管理系统建置程序参考示意图
2.1.2 信息安全管理系统之建立步骤:
A. 依据业务、组织、所在位置、资产及技术等特性,定义信息安全管理系统之范围。简单地说就是要决定全面实施或分阶段分单位实施,此举会同时影响信息安全资源的分配运用,对风险评估后的接受度,以及所采用的风险管理策略。 B. 依据业务、组织、所在位置、资产及技术等特性,定义信息安全管理系统之政策,且须:
Page:8 of 25