1. 包含设定目标之框架,并建立有关信息安全之整体方向意识与行动原则。 2. 考虑企业及法律或法规要求,以及合约性的安全责任。
3. 建立策略性、组织性及风险管理之内容,使其信息安全管理系统得以建立及维持。
4. 藉以评估风险之标准应加以建立,风险评鉴之架构应加以定义。 5. 被管理阶层核准。 C. 定义风险评估之系统化方法
1. 选用一风险评估方法,并适合其信息安全管理系统、已判别之企业信息安全、以及法律法规之要求。
2. 设定信息安全管理系统之政策与目标,以降低风险至可接受程度。 3. 决定可接受之风险标准以及判别风险至可接受的程度。 D. 判别各项风险
1. 判别信息安全管理系统控制范围内之信息资产以及该等资产之拥有者。 2. 判别信息资产所受威胁。
3. 判别该等威胁可能利用之脆弱性(Vulnerabilities)。
4. 判别信息资产若丧失机密性、完整性与可用性之各项冲击。 E. 评估各项风险:
1. 应加以评估安全措施失效时可能对企业之伤害,并将丧失机密性、完整性与可用性可能导致之后果列入考虑。
2. 根据与这些资产有关之主要威胁、弱点与冲击,评估这种失效实际发生的可能性及现行所实施的控制措施。
3. 预测各风险之层级,如高中低三种级数。
4. 决定风险是否可接受或需利用所建立之标准来处理。 F. 判别并评估风险处理与管理之选项作法;可能的措施包括: 1. 采用适当的控制措施,以降低风险。
2. 若风险完全地满足组织政策及可接受风险标准,则可在掌握状况下客观地接受该等风险。
Page:9 of 25 3. 将风险转移至其它相关之机构,如保险公司、供货商。 4. 回避风险,等于视而不见,这是最不理想的措施。 G. 选择控制目标及控制措施以处理风险:
适当的管制目标与控制措施应于BS 7799标准之附录A的127项控管要点中加以选择,选择时应依据风险评估与风险处理过程之结论为基础加以判定。 备考:BS 7799 附录A所列之各项管制目标与控制措施并非绝对的标准,亦可选择其它方法论之管制目标与控制措施。 H. 拟定一份适用性声明书
将所选择之管制目标与控制措施其选择之理由应于适用性声明书中加以文件化。BS 7799附录A中任何排除之管制目标与控制措施亦应加以纪录。 I. 所提出之残余风险需取得管理阶层之核准,信息安全系统亦需获得授权才能实施与操作。
2.2 为什么需要信息安全?
由于信息和支持作业、系统及网络都是重要的营运资产,资产的机密性、完整性、及可用性,攸关能否维系竞争力、现金流量、获利能力、及商业形象。组织本身与其信息系统,网络联机所面临的安全威胁不仅与日俱增,来源也相当广泛,包括计算机辅助的诈欺行为、间谍行为、蓄意破坏、毁损、水灾或火灾等,攻击来源如计算机病毒、黑客及其它手法等都愈来愈普遍、影响也越来越大,技术日益复杂。“
2.3 风险管理的意义
2.3.1 风险管理的目的并不是在百分之百的避免风险(还记得前面曾指出,风险不会
100%消失吗?),而是去了解会面临到那些风险,有那些是可以藉由适当的手段予以降低或将之移转,那些风险是无法规避,必须及早规划因应对策者。同时,风险管理的目的,也不是追求最小的风险,而是让组织选择所能容忍的风险水平,并排除无法承担的风险。
2.3.2 换言之,风险管理是指与辨认、评估及处理风险有关的所有活动及方法。有效的
信息安全管理制度并非要消弭所有的信息风险,而是协助组织辨认及评估他们在日常营运过程中所可能面临的风险,进而可以及早采取较佳的方法来管理这些风险,以强化组织的体质及竞争力。
2.4 为什么需要风险管理
2.4.1 现今各种组织面临的外在环境存在着许多不确定性,而在全球化高度竞争的时代
中,产业变化快速,市场变化莫测,也潜藏着许多危机,使得风险无所不在。从高层营运策略到日常的营运管理,都必须要做风险管理。同时,机会常伴随风险而来,藉由建立风险管理体系,在风险发生的第一时间抢得先机(降低损失或提早
Page:10 of 25 避免),也就多了一份机会。
2.4.2 再者,因为许多组织面临的最大风险是不知如何管理风险,也不认为风险是可以
管理的。甚至完全不知道有风险存在(还记得前面提过那些沾沾自喜的企业主吗?)或是知道有风险,却不知道如何去管理与执行。
3 信息风险管理与信息风险评估之关连
3.1 风险评估与风险管理
3.1.1 风险评估有助于导入完善的风险管理。
简单地说,ISMS是一套管理潜在信息风险的方法。所谓风险是资产由于外部威胁和内部弱点交互作用而可能导致的损害程度。在成本效益的考虑下,组织控制信息风险的投资应该和潜在的资产损失相关,也就是应该把有效的资源投入在解决最迫切需要的信息风险问题上。也就是透过合理的风险评估过程,让组织了解目前的信息风险等级,以决定采取哪些适当的手段来管理风险。这些手段包括技术性的控制系统和管理办法,用以达到避免、降低、转移或接受风险等目标。
3.1.2 有效的风险管理须依靠良好的风险评估。
ISMS的目标是透过一整体规划之信息安全解决方案来确保企业所有信息系统与业务之安全与正常运作。实务上,ISMS利用风险分析管理工具,结合企业资产列表、威胁来源的调查分析及系统安全弱点评估等结果,综合评估影响企业整体的因素,以订定适当的信息安全政策与信息安全作业准则来降低潜在的风险危机。
3.1.3 同时是执行信息安全管理系统的关键成功因素。
请先参考图3:风险评估与风险管理之程序。
Page:11 of 25
图3:风险评估与风险管理之程序
上图为风险评估和风险管理的过程,也有些学者指出Risk Assessment应翻译成风险评鉴比风险评估为佳,但个人认为此乃见仁见智;评鉴一词固然较为精准,但评估却更为贴近一般使用者的认知。
在风险评估的过程中,组织应先针对:
A. 组织内和信息安全有关的资产进行鉴别评价,
B. 然后针对鉴别出来的资产进行了解这些信息资产存在着哪些弱点,而又有哪些可能的威胁会利用这些弱点而产生,
C. 接下来评估当这些威胁产生时对组织的冲击有多大,对组织的正常营运会带来哪些风险,
D. 对所带来的风险进行排列并订出等级。
在风险评鉴之后,我们己经知道了组织可能会遭遇哪些风险,而哪些风险是组织所无法接受的,接下来的是,针对这些无法接受的风险进行管理, A. 首先,先了解组织目前己有的安全措施, B. 再依鉴别出来的风险采取对应的安全控制措施,
C. 并订定相关安全控制措施的执行程序,然后按照既定的程序实施相关的活动,
Page:12 of 25