「心安」。而信息资产如果没有清查,便不知需要被保护的资产对象在哪里?是否有遗漏与疏忽?资产如果没有分类,便不清楚哪些资产的价值与重要性最高?需要特别的保护,采取「降低」或者「转移」风险?另外,有些资产虽有风险,但是因为价值风险不高,在资源有限状况下,其风险可以被「接受」。这个道理如同产险一样,价值越高的不动产其保费较高,立论简单也合理,但是在信息安全的领域,企业却不知要如何进行?
3.4.3 目前面临的困难点:
许多高阶主管没有信息安全风险的危机意识,仍将资安工作交由信息部门人员主导,进而影响信息安全的资源投入(预算、组织运作、资安人才)有限,恶性循环的结果使得信息人员无法独自或者运用组织力量完成信息资产的盘点、分类与鉴价,进而无法提出信息安全的成本效益分析来善尽告知责任让企业主充分了解资安与企业营运的重要相关性。
另外,国内信息安全人才欠缺安善的培训,部门内也无专业与专职的资安人才,信息系统相关的维护厂商也非资安专业人材,国内资安厂商林林总总,参差不齐,如何选择合适的信息安全咨询顾问?
4 各种信息风险评估作业程序之比较与建议
4.1 BS7799
4.1.1 BS7799标准可分为两个部份,第一部份为BS7799-1“信息安全管理之作业要点
(Information technology-Code of practice for information security management)”,第二部份为BS7799-2“信息安全管理系统规范(Information security management systems-Specification with guidance for use)”,英国标准协会(BSI)于1993年成立工作小组讨论信息安全管理系统规范及信息安全管理之作业要点,并己经过了多次的改版,BS7799-1第一部份在2000年由ISO组织投票通过成为ISO/IEC 17799:2000,目前第一部份ISO/IEC 17799:2000(中华民国标准编号为CNS 17799)及第二部份BS7799-2:2002(中华民国标准编号为CNS 17800)为目前最新发行的版本。
4.1.2 第一部份的内容提供了标准的使用者由各行各业讨论后所提出的可行方案,内容
非常值得参考,但是第一部份的标准并无法用来验证。第二部份的内容简要的提出信息安全系统执行时需考虑的要点,同时这也是可用来验证的标准。
4.1.3 BS7799-2鼓励采用过程导向以建立、实施、操作、监督、维持及改进组织信息安
全管理系统之有效性。组织必须鉴别、管理许多活动方能有效运作。使用资源与管理而促成输入转换为输出之一项活动,可视为一个过程。通常一个过程之输出可直接地成为下一个过程之输入。信息安全系统和ISO9001:2000年版一致地采用”计划-执行-检查-行动”(Plan-Do-Check-Act,PDCA)之模式,应用于所有信息安全管理系统过程。请参照图1所展示信息安全管理系统如何采纳信息安全要求之输入及利害关系团体之期望作为输入端,经由各必要措施及过程,产生符合所需要求及期望的信息安全输出结果。
Page:17 of 25 4.1.4 BS7799包含了所有面向的最先进企业安全政策,从安全政策的拟定、安全责任的
归属、风险的评估、到定义与强化安全参数及存取控制,甚至是防毒的策略。BS7799风险评估技术适用于整个组织、或者组织的某一部分以及独立的信息系统、特定系统组件或服务等,进行风险评估需要系统化考虑以下问题:
4.1.5 依据BS7799 风险评估方法论,风险存在于企业所有处理程序中,与竞争环境、
法令符合性、保护IT系统的使用及其相关的企业活动、确保企业重要信息的可靠性与有效性、及诈欺有关,所以风险与组织政策及策略直接相关,如扩充、企业再造,紧急投资、开发新产品及服务、经营加值服务或改变供应链管理等。
4.1.6 BS7799风险评估方法论是一个企业处理方法,其目的是为了建立ISMS(信息安
全管理系统)之范围、差异分析、风险评估项目及程序;评估风险步骤含:识别ISMS资产、资产的价值、弱点及威胁,评估资产、弱点与威胁时可能产生的冲击及风险分析,如图3。
4.2 COBIT
4.2.1 背景:COBIT全名为(Control OBjectives for Information and related Technology),
系由美国信息系统稽核与控制协会(Information Systems Audit and Control Association,简称ISACA)所发展的一套实用之信息系统稽核与控制标准。COBIT目前最新的版本为第三版,将信息技术控管与营运目标紧密联结,提供了一个涵盖阶段及作业程序的实际架构,及对细部工作的可行性和逻辑性的结构。在今日极度竞争和快速变迁的市场,许多企业的管理阶层对信息传送的功能要求越来越多:更好的质量、功能和操作接口与更佳的服务质量-而这一切都希望可以用更低的成本达成。然而,成功的企业必须承认,在享受信息技术所产生的潜在利益之余,亦须能了解并管理新科技伴随而来的风险。
4.2.2 信息技术和其操作环境的多项变更突显了对信息相关技术风险管理的需求,因为
重要的业务程序维持依赖于电子信息和信息技术系统的正常运作;同时也因层出不穷的信息系统灾害和电子诈欺而显得法令规范对信息控管上更加重要且日益严格。因此,现今信息相关技术风险管理应被视为企业管理的一项重点。
4.2.3 而COBIT是针对营运目标制订的,其控制目标与营运目标紧密结合以供非稽核
者亦可使用。控制目标系以作业程序为主的方式,配合企业再造的原则,于特定之阶段及作业程序,提供高层的控制目标,并提供定义及实行信息技术控管的指导原则,目前有二种主要的内部控制模式,一是美国贸易支持组织委员会(COSO)的「整体营运控制模式」以及英国贸工部(DTI)的「专注于信息技术控管模式」。COBIT参考此二种内部控制模式并将其联结,因此,COBIT的角色较像为管理的高层准则,而非只是系统管理的技术标准。
4.2.4 管理阶层应该建立系统化的风险评估架构。这种架构应该将相关风险的规律评估
纳入业务目标的成就,构成一种决定如何管理到一个可接受程度的基础。管理阶层应该引导风险减轻解决办法的确认及涉及确认的弱点,防护专家应该引导威胁确认,同时信息专家应该驱使控制筛选。应该藉由结构化的方法及熟练的风险评
Page:18 of 25 估员,来确认风险评估的质量。
4.2.5 风险评估方法应该集中于风险基本要素的调查及介于它们之间的因果关系。风险
的基本要素包括有形的及无形的资产、资产价值、威胁、弱点、安全设备、威胁的后果与可能性。风险的确认程序应该包括定性,以及在适当的地方,定量的风险等级,并应该从管理阶层的脑力激荡、策略性规则、过去的稽核与其它的评估而获得。风险的评估应该考虑业务、管制、法定、技术、贸易伙伴及人力资源的风险。COBIT的运作架构如图4。
1资料 2应用系统 COBIT 3技术 4设施 M1作业流程之监控 5人员 M2评鉴内部控制的允当性 M3是否有独立的质量保证 信息 M4稽核独立 信监控 息 1效能 2效率 3机密 4真确 交付与支援 5可用 DS1定义服务层次 规划与组织 6遵行 DS2外包服务管理 7可靠 P01拟定策略与规划 绩效及容量管理 DS3P02拟定信息结构 DS4 确保持续服务 P03决定技术导向 取得与建置 DS5 确保系统安全 P04厘定组织及其关系 DS6分析与归属成本 P05项目之投资管理 DS7使用人员的教育及训练 AI1确认解决方案 P06沟通管理的目标与方向 客户支持及咨询 DS8AI2应用软件的获得与维护 P07人力支持管理 装备管理 DS9AI3技术架构的获得与维护 P08确保符合外部需求 DS10 问题及意外处理 AI4开发与维护信息程序 P09风险评估 DS11数据管理 AI5安装及认证系统 P10项目管理 DS12设施管理 AI6变更管理 P11质量管理 DS13操作管理
图4: COBIT 运作架构(资料来源:COBIT 3.0)
营运活动 4.3 NIST
4.3.1 NIST全名为National Institute of Standards and Technology,成立于1901年,
为美国贸易部科技管理联邦机构,NIST任务为发展与促成评估、标准及技术,以提高生产力、促进贸易及改善生活质量。为了符合NIST任务目标,有下列四项合作计划:
A. NIST实验室:指导研发国家科技基础建设,为美国产业界提供相关评估、标准、产品与服务。
B. Baldrige国内质量计划:促进美国国内制造业、服务公司、教育机构、健康管理业者最佳绩效,指导计划及管理年度Malcolm Baldrige国家质量奖,以
Page:19 of 25 辨识最佳绩效与质量成就。
C. 大量扩充伙伴:全国性局域网络中心,对较小规模制造业者提供技术及企业协助。
D. 高阶科技计划:用以加快创新技术之发展,且为了开通国家利益,与区域伙伴以共同基金方式研发。
4.3.2 NIST ITSO(Information Technology Security Office)负责NIST信息安全技术
议题,其功能系为NIST的管理及科学环境,建置及测试信息安全政策、程序及技术。ITSO也投资于计算机安全部门,报导安全事件或讨论与NIST有关之IT话题。
依据1987年的计算机安全法令,IT实验室计算机安全部门负责为敏感性联邦信息系统及产业工作,发展安全标准及指引来帮助改善商业信息科技产品,这个部门的重要工作在于密码标准及应用、技术安全、安全管理及安全测试。所以,ITSO的好处来自于可接近领域重要专家,而计算机安全部门的好处在于有个可实行研发指引的环境及贡献它的操作经验。
4.3.3 NIST风险评估方法论(Risk Assessment Methodology),将信息系统风险评估
次序性的分成9个步骤,如图5说明如下:
A. 系统描述:以硬件、软件、系统接口、数据与信息、人员及系统任务为输入项目,而产出系统范围、系统功能、系统与数据之重要性及敏感性。
B. 威胁识别:以系统攻击记录、信息机构如NIPC,OIG的数据为输入,而产出威胁列表。
C. 弱点识别:以上次风险评估报告、任何稽核评语、安全需求及安全测试结果作为输入,产出潜在弱点列表。
D. 控制分析:以现行及未来计划之控制机制为输入,产出现行及未来计划控制机制之列表。
E. 决定可能性:以威胁动机、威胁能力、弱点本质及现行控制机制为输入,产生可能性等级。
F. 冲击分析:依完整性、可用性及机密性之破坏面,分别以冲击分析任务、重要资产评估、数据的重要性及敏感性为输入,产出冲击等级。
G. 决定风险:以采掘威胁的可能性、冲击的大小及现行或未来适当的控制机制为输入,产出风险及其相关层级。 H. 控制建议:产出建议的控制机制。 I. 产生文件:产出风险评估报告。
硬件、软件、系统接口、数据与信息、人员及系统任务 A. 系统描述 系统范围、系统功能、系统与数据之重要性及敏感性 系统攻击记录、信息机构 B. 威胁识别 威胁列表 Page:20 of 25