PAGEPage:PAGE25ofNUMPAGES25信息安全管理制度風(fēng)險評估手冊目錄TOC\o"1-3"\h\z一前言 2二本文 31風(fēng)險的定義及其本質(zhì) 32風(fēng)險管理對資訊安全管理系統(tǒng)的重要性 63資訊風(fēng)險管理與資訊風(fēng)險評估之關(guān)連 104各種資訊風(fēng)險評估作業(yè)程序之比較與建議 165結(jié)論 216參考文件與標(biāo)準(zhǔn) 23三作者簡介： 23

編序自從行政院于民國九十年一月十七日第二七一八次院會通過「建立我國通信息基礎(chǔ)建設(shè)安全機(jī)制計劃」，并成立「國家資通安全會報」后，即開始結(jié)合內(nèi)政、外交、國防、財政、教育、法務(wù)、經(jīng)濟(jì)、交通等部會，針對電力、電信、金融、交通等國家基礎(chǔ)建設(shè)之安全防護(hù)，共同研討相關(guān)因應(yīng)作為，其中對于教育訓(xùn)練的重視與人才之培育，更是重點(diǎn)工作項(xiàng)目之一。依照國家資通安全會報綜合業(yè)務(wù)組之規(guī)劃，整個教育訓(xùn)練的時程大致上可分為資通安全基礎(chǔ)訓(xùn)練建置，資通安全防護(hù)及運(yùn)用訓(xùn)練，資通安全專業(yè)訓(xùn)練三大階段；而編撰本手冊之源由，系配合國家資通安全會報對于政府機(jī)構(gòu)建立信息安全的基本防范能力，以及建立信息安全的防范體系所做的一連串配套措施之一，旨在提升政府機(jī)構(gòu)人員對于信息安全管理系統(tǒng)的基本認(rèn)知以及針對實(shí)際建置管理系統(tǒng)所需的程序提供相關(guān)教育訓(xùn)練。本手冊編撰由中華民國計算機(jī)稽核協(xié)會負(fù)責(zé)，將發(fā)行給政府單位作為執(zhí)行信息安全管理制度時之參考書籍。有鑒于大多數(shù)政府機(jī)關(guān)人員對于信息安全管理系統(tǒng)及其建置程序并未有完整之觀念，或是仍存有部份之迷思，其中有關(guān)于信息風(fēng)險評估的原理及執(zhí)行程序是最易令人產(chǎn)生困惑之處，因此本手冊之編排方式將先針對信息風(fēng)險的定義及其本質(zhì)予以簡介，然后說明如何管理信息風(fēng)險以及介紹信息安全管理系統(tǒng)建置程序；最后再引導(dǎo)至風(fēng)險評估對于整個信息安全管理系統(tǒng)的重要性以及介紹目前國際上較為通用的風(fēng)險評估方式，期望能協(xié)助各單位有所依循且有效地執(zhí)行信息安全管理制度之推行。國家資通安全會報技術(shù)服務(wù)中心謹(jǐn)訂中華民國九十二年四月

前言運(yùn)用信息技術(shù)尚需注意人性的管理：很多人在一接觸到信息安全管理系統(tǒng)(InformationSecurityManagementSystem，簡稱ISMS)時，首先浮現(xiàn)的念頭大多是「一種非常專業(yè)的知識，只有信息相關(guān)的從業(yè)人員才可以勝任」。但有趣的是，當(dāng)發(fā)生了信息安全事件時，信息人員也常表示「我們己經(jīng)提供了最佳設(shè)備及軟件，也對相關(guān)人員實(shí)施了相關(guān)的教育訓(xùn)練」；那么信息安全事件何以還是在我們的周遭不斷地重復(fù)發(fā)生呢？當(dāng)從新聞媒體或是報章雜志得知了臺灣又發(fā)生了信息安全事件時，很多人總想一探究竟地了解到底在安全系統(tǒng)中是哪里出現(xiàn)了漏洞，讓為非做歹者有機(jī)可乘。而事實(shí)是，不論是在金融業(yè)、公共事業(yè)或是其它與信息相關(guān)的產(chǎn)業(yè)，絕大部份造成信息安全事件的原因都不是專業(yè)技術(shù)的層面，而是在人性面上出現(xiàn)的漏洞所導(dǎo)致。不可否認(rèn)的是，蓄意犯罪的人員的專業(yè)素養(yǎng)及用功認(rèn)真的程度是遠(yuǎn)高過于我們一般的從業(yè)人員，尤其在信息安全事件方面，有鑒于此，我們也必須要有一套能在組織中展開的信息安全管理機(jī)制，藉由組織內(nèi)人員的知識及警覺來形成信息安全的防護(hù)網(wǎng)，使得有心人士不會那么容易的得逞，即使是提高了犯罪的成本或是難度，這也就是某種程度的信息安全防護(hù)了。風(fēng)險評估是信息安全管理制度的重要建置步驟：近年來各大媒體對于信息安全事件的報導(dǎo)日漸增多，不定期發(fā)生的病毒警示發(fā)布、網(wǎng)絡(luò)銀行的賬戶密碼遭破解盜取存款、中美網(wǎng)絡(luò)黑客大戰(zhàn)等等，在報章媒體失真地報導(dǎo)與過度地渲染之下，「信息安全」也成為本世紀(jì)以來談及因特網(wǎng)時的熱門議題。但一般人對于「信息安全」所蘊(yùn)含的意義，僅止于將報章雜志上聳動的標(biāo)題－黑客攻擊、計算機(jī)病毒及信息戰(zhàn)等，與信息安全劃上等號。若企業(yè)經(jīng)營管理階層、信息從業(yè)人員亦有此錯誤之認(rèn)知，認(rèn)為防火墻之購買及防毒軟件之使用即是落實(shí)了信息安全的良善管理，而未針對安全管理之機(jī)制思考其真正意涵，那么在信息安全管理的邏輯上已產(chǎn)生了一個嚴(yán)重的錯誤：亦即僅重視技術(shù)層面之各項(xiàng)軟硬件導(dǎo)入與應(yīng)用，而忽略了管理層面風(fēng)險評估與控管程序建置之重要性，導(dǎo)致企業(yè)執(zhí)行信息安全管理機(jī)制時造成失衡，亦造成信息安全的管理與企業(yè)經(jīng)營的需求發(fā)生沖突時無適當(dāng)之權(quán)衡評估方式。 二、本文風(fēng)險的定義及其本質(zhì)認(rèn)識風(fēng)險才知如何管理在開始進(jìn)入主題前，想先和大家分享一個現(xiàn)象。自從921大地震后，開始引發(fā)社會呼吁企業(yè)應(yīng)注重「業(yè)務(wù)持續(xù)營運(yùn)計劃」(BusinessContingencyPlan簡稱BCP)的聲音，而后陸續(xù)又發(fā)生汐止東方科學(xué)園區(qū)大火、納莉水災(zāi)、美國911恐怖攻擊事件等幾乎每年一次不同類型的災(zāi)難事件后，我們曾經(jīng)一度以為各企業(yè)對BCP的接受度與需求會大增，必會求助于從事于信息安全的顧問及專家。可惜事實(shí)不然，許多企業(yè)主找了多家顧問或廠商來做評估，但一談到經(jīng)費(fèi)問題就觸礁了；有的仍然持續(xù)在觀望中，看局勢、看政府的態(tài)度、看荷包，但就是不看風(fēng)險；少數(shù)幾家還很自豪地說，發(fā)生那么多災(zāi)難都沒有波及他的公司，可見根本就無須小題大作云云…..。后來經(jīng)我們分析后才得知，有心導(dǎo)入BCP機(jī)制的企業(yè)或機(jī)構(gòu)，其實(shí)在事件發(fā)生后就立即展開建置或評估作業(yè)了。舉這個例子是想在閱讀本書前告訴大家，每個人對風(fēng)險的認(rèn)知與容忍程度是不同的，即使采用相同的方法論亦會產(chǎn)生不同的控制措施。也因此并沒有一套放諸四海皆準(zhǔn)的方法可如法炮制；我們提供的是希望大家要先對風(fēng)險本身有了正確的認(rèn)識后，才能采用適當(dāng)?shù)姆椒ㄕ撊ソㄖ靡惶渍嬲m用于單位內(nèi)的信息安全管理系統(tǒng)。尤其是現(xiàn)在又遇上了SARS的事件，其影響層面不再只是區(qū)域性而已，衷心希望大家可趁此機(jī)會仔細(xì)地檢視自身單位內(nèi)所面臨的風(fēng)險。又如多數(shù)企業(yè)于信息安全管理體系建構(gòu)之際，諸如信息安全政策之建置，僅為文件復(fù)制與編寫，或并未與實(shí)務(wù)或營運(yùn)需要進(jìn)行差異分析(GapAnalysis)；其它如安全防護(hù)技術(shù)或產(chǎn)品導(dǎo)入，亦未涵蓋營運(yùn)風(fēng)險(BusinessRisks)評估…等。所以，雖投入于信息安全保護(hù)，但在我國多數(shù)的企業(yè)環(huán)境尚處于NICETOHAVE的型態(tài)，意即有安全管理當(dāng)然很好，但沒有亦無妨；因此除非法令要求，甚或已經(jīng)因類似的事件遭受損失，或希望成為營銷的利器，否則多半都采取較消極的態(tài)度或僅仰賴導(dǎo)入某些技術(shù)或產(chǎn)品，在缺乏良善的監(jiān)控與分析之下，多半都處于對企業(yè)內(nèi)部的安全防御狀態(tài)的不自知。風(fēng)險的基本定義風(fēng)險一詞有很多種層面的定義，反應(yīng)出不同的風(fēng)險意義與不同的人事物。其中一種最足以有效定義風(fēng)險系ISO所提供：『可能對一個或群組資產(chǎn)可能之弱點(diǎn)產(chǎn)生威脅，以致產(chǎn)生損失或傷害資產(chǎn)。風(fēng)險之影響或相關(guān)損害系指可能對企業(yè)產(chǎn)生之損失／破壞價值及估計威脅發(fā)生機(jī)率。』此定義一般為業(yè)界所采用，自從組織運(yùn)用資產(chǎn)概念及損失價格來考慮風(fēng)險，此亦已被一般組織及企業(yè)之經(jīng)理層級所采納。風(fēng)險之本質(zhì)不論我們要不要接受，風(fēng)險的存在性是不變的，每個人每天都不停地會面臨風(fēng)險，并做出抉擇。例如一個開車上班的人，若有一天他的車子送修，他就必須要決定是否要坐公交車還是出租車去上班，以花費(fèi)的成本考慮來看，出租車當(dāng)然比較貴，可是它所提供的是時間的節(jié)省以及舒適的過程；反之，坐公交車的好處在于其經(jīng)濟(jì)因素的考慮。簡單地說，在作決定前的過程就是一種風(fēng)險評估；決定方案之后所作的調(diào)整(如為了避免塞車，便比平時早1小時出門)便是在執(zhí)行風(fēng)險管理。從另一個角度來看，風(fēng)險本身即表示犯罪與攻擊意圖的存在，像盜用公款、搶劫、侵犯隱私權(quán)、詐欺…等層出不窮的事件，在實(shí)體世界與數(shù)字世界中都是一種威脅；它們的外表形態(tài)可能會不一樣，但是其動機(jī)及心理仍是相同的。因此，我們對數(shù)字世界的威脅可以使用與實(shí)體世界相同的防護(hù)邏輯，再來判斷要使用何種信息技術(shù)層級予以控制；而不是一開始就選擇要采用的防護(hù)產(chǎn)品，結(jié)果反而要讓控管機(jī)制來遷就產(chǎn)品所提供的功能。信息安全與信息風(fēng)險：信息安全的定義與目標(biāo)僅以BS7799的標(biāo)準(zhǔn)定義做為簡介，就是「信息對組織而言就是一種資產(chǎn)，和其它重要的營運(yùn)資產(chǎn)一樣有價值，因此需要持續(xù)給予妥善保護(hù)。信息安全可保護(hù)信息不受各種威脅，確保持續(xù)營運(yùn)，將營運(yùn)損失降到最低，得到最豐厚的投資報酬率和商機(jī)。」信息安全的目標(biāo)在于保護(hù)信息及其支持處理設(shè)備、系統(tǒng)和網(wǎng)絡(luò)的機(jī)密性（Confidentiality）、完整性（Integrity，或稱真確性）和可獲得性（Availability，或稱可用性）不受到各種方式的威脅，使可能發(fā)生的事業(yè)損害降至最低，確保企業(yè)的永續(xù)經(jīng)營；例如，程序設(shè)計師寫完程序必須向上級公開原始碼、企業(yè)DataCenter必須進(jìn)行數(shù)據(jù)異地備援...等等都是基于保護(hù)信息安全的考慮。信息安全管理的要素與其它管理一樣，安全管理三要素是People（人）、Process（流程）與Technology（科技），因?yàn)槭率怯扇俗龀鰜淼模耸掳踩撬邪踩?dāng)中非常重要的一環(huán)，企業(yè)或組織所擬定出來的安全政策還有賴具備安全緊急意識的「人」去遵循；而企業(yè)若能掌握Process順暢，即可掌握80﹪以上的安全；Technology并非單指CCTV、門禁系統(tǒng)等設(shè)備，而最近相當(dāng)熱門的信息安全也絕非單指防火墻與防毒軟件而已。信息安全涵蓋范圍相當(dāng)廣，并非僅指因特網(wǎng)，也絕非只是防火墻，因?yàn)樾畔踩仨氁匀耸隆?shí)體與環(huán)境安全為基礎(chǔ)，所有的科技都以協(xié)助安全管理政策為目的，否則科技只是一個產(chǎn)品。例如，當(dāng)計算機(jī)為了信息安全的緣故裝上防火墻，卻對其擺放位置不做適當(dāng)防護(hù)，如何稱得上安全？信息風(fēng)險的定義與要素信息風(fēng)險系指可能影響資產(chǎn)、流程、作業(yè)環(huán)境或特殊企業(yè)組織之威脅，威脅性質(zhì)包括財務(wù)、法令、策略、科技、數(shù)據(jù)運(yùn)用及可能影響企業(yè)環(huán)境之結(jié)果。信息安全管理系統(tǒng)的建置人員應(yīng)著重于與信息安全管理三要素有關(guān)之風(fēng)險等級，此等風(fēng)險等級通常容易產(chǎn)生信息機(jī)密性、完整性或可獲得性之損失。而信息風(fēng)險的要素可表現(xiàn)于下列方面：外部威脅、內(nèi)部弱點(diǎn)、需要保護(hù)的作業(yè)或信息資產(chǎn)。依據(jù)資產(chǎn)之威脅及弱點(diǎn)之影響做成沖擊分析(ImpactAnalysis)。依管理目標(biāo)與現(xiàn)實(shí)狀況所做之差異分析(GapAnalysis)及評估風(fēng)險可能發(fā)生之機(jī)率。信息風(fēng)險的種類：完整性風(fēng)險（IntegrityRisk）：此風(fēng)險會發(fā)生在信息處理的兩個范疇，分別是信息基本架構(gòu)的管理、及維持組織營運(yùn)所必需的應(yīng)用系統(tǒng)。其風(fēng)險在于數(shù)據(jù)的處理、擁有、揭露均違反了營運(yùn)控制的實(shí)務(wù)，或信息系統(tǒng)之輸出、入與處理的正確原則端控制流程，如：數(shù)據(jù)轉(zhuǎn)換接口出錯、數(shù)據(jù)內(nèi)容遭破壞，網(wǎng)頁內(nèi)容遭惡意竄改、網(wǎng)絡(luò)數(shù)據(jù)劫奪（SessionHijacking）及數(shù)據(jù)結(jié)算之錯誤或根本的程序邏輯與經(jīng)營流程不相符。信息基礎(chǔ)架構(gòu)風(fēng)險（InfrastructureRisk）：此風(fēng)險系因組織未能建構(gòu)有效率的信息科技基礎(chǔ)架構(gòu)（如硬件、網(wǎng)絡(luò)、軟件、人員及流程），或未能在有效率、及控制良好的模式下，支持組織現(xiàn)有及未來的需求。這些風(fēng)險在于界定、開發(fā)、維護(hù)及經(jīng)營信息處理環(huán)境（如計算機(jī)硬件、軟件系統(tǒng)、網(wǎng)絡(luò)等）的一連串信息科技處理程序及相關(guān)的營運(yùn)應(yīng)用系統(tǒng)（例如客戶服務(wù)、應(yīng)收付帳款、生產(chǎn)排程、信用處理等等）有關(guān)，舉凡從操作系統(tǒng)平臺，數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、實(shí)體環(huán)境等等，特別是現(xiàn)今e化環(huán)境對網(wǎng)絡(luò)的依賴性非常高，因此信息基礎(chǔ)建設(shè)之完備，傳輸之保全是重要的風(fēng)險控制點(diǎn)。可獲得性風(fēng)險（AvailabilityRisk）：當(dāng)需要信息執(zhí)行營運(yùn)決策或經(jīng)營活動時，無法及時取得的風(fēng)險，包括：因信息通訊中斷所產(chǎn)生的損失。例如：協(xié)議阻斷服務(wù)攻擊(DenialofService)、傳輸線路中斷、電話系統(tǒng)斷線、系統(tǒng)當(dāng)機(jī)、衛(wèi)星斷訊。處理信息的基本能力之喪失。例如：計算機(jī)系統(tǒng)效能極低，火、水災(zāi)、斷電或缺乏適當(dāng)專業(yè)人員操作系統(tǒng)。操作上的困難。例如：控制權(quán)遭遠(yuǎn)程控制程序劫奪、磁盤驅(qū)動器故障、操作人員失誤等。企業(yè)或組織營運(yùn)上的中斷。例如：天然災(zāi)害、惡意破壞、怠工、瘟疫(今年所遇到的SARS疫情便是一例)等。另外信息可獲得性風(fēng)險應(yīng)著重以下三個不同的層面：藉由監(jiān)督效能及在問題發(fā)生前采取預(yù)防措施，可避免此風(fēng)險。可使用系統(tǒng)或數(shù)據(jù)回復(fù)技術(shù)使損失降至最低。因天然災(zāi)害而造成長時間之中斷所產(chǎn)生的風(fēng)險，可透過應(yīng)變計劃（DisasterRecoveryPlan或IncidentHandlingProcess）及業(yè)務(wù)持續(xù)營運(yùn)計劃(BusinessContingencyPlan)使信息系統(tǒng)減少損失。機(jī)密性風(fēng)險及存取風(fēng)險（ConfidentialRisk&AccessRisk）：此類風(fēng)險著重于不適當(dāng)?shù)拇嫒⌒畔⑾到y(tǒng)、數(shù)據(jù)和信息之風(fēng)險，它包括不適當(dāng)?shù)臋?quán)責(zé)劃分、數(shù)據(jù)與數(shù)據(jù)庫整合之風(fēng)險、以及與信息機(jī)密性相關(guān)之風(fēng)險，例如不適當(dāng)?shù)娜丝赡苋〉脵C(jī)密信息，而適當(dāng)?shù)娜藚s被拒絕存取。信息存取的風(fēng)險是全面性的，亦即包括因任何目的而取得的信息。另一類型則如使用者權(quán)限的不相符，或是系統(tǒng)導(dǎo)入之變更，傳統(tǒng)之部門間職能分工轉(zhuǎn)變?yōu)閼?yīng)用系統(tǒng)角色及權(quán)限之扮演，例如員工兼具請購人員與采購人員之權(quán)限，可能導(dǎo)致不當(dāng)授權(quán)將導(dǎo)致使用者存取未經(jīng)授權(quán)之?dāng)?shù)據(jù)之風(fēng)險，或造成機(jī)密數(shù)據(jù)外泄及未經(jīng)授權(quán)之異動可能性。攸關(guān)風(fēng)險（RelevanceRisk）：攸關(guān)性風(fēng)險系指該信息與搜集、維護(hù)與傳達(dá)信息之目的無關(guān)，該風(fēng)險系與信息系統(tǒng)所產(chǎn)生或匯總信息之有用性與時效性有關(guān)。依性質(zhì)而言，信息的攸關(guān)性風(fēng)險直接與「決策信息風(fēng)險」有關(guān)，此風(fēng)險系指無法將「正確」之?dāng)?shù)據(jù)或信息，傳達(dá)給「正確」的經(jīng)營、消費(fèi)或管理決策者，在「正確」的時間內(nèi)做出「正確」之決策。此風(fēng)險之發(fā)生主要系因未充分了解信息需求及缺乏對時效性的注意，進(jìn)而損害到交易雙方的權(quán)益、企業(yè)競爭的優(yōu)勢或是管理的效益與效率。信息風(fēng)險管理對信息安全管理系統(tǒng)的重要性信息安全管理系統(tǒng)的建置程序茲以BS7799為例：信息安全管理系統(tǒng)和ISO9001：2000年版一致地采用”計劃-執(zhí)行-檢查-行動”(Plan-Do-Check-Act，PDCA)之模式，并應(yīng)用于所有信息安全管理系統(tǒng)之建置過程。圖1系展示信息安全管理系統(tǒng)如何采納信息安全要求之輸入及利害關(guān)系團(tuán)體之期望作為輸入端，經(jīng)由各必要措施及過程，產(chǎn)生符合所需要求及期望的信息安全輸出結(jié)果。圖1所示之PDCA模式，同時表現(xiàn)組織應(yīng)在整體業(yè)務(wù)活動與風(fēng)險下執(zhí)行開發(fā)、實(shí)施、維護(hù)及持續(xù)改進(jìn)信息安全管理系統(tǒng)。PDCA過程模式并可描述如下：P：計劃（Plan，建立ISMS），建立安全政策、目標(biāo)、標(biāo)的、過程及相關(guān)程序以管理風(fēng)險及改進(jìn)信息安全，使結(jié)果與組織整體政策與目標(biāo)相一致。D：執(zhí)行（Do，實(shí)施與操作ISMS），安全政策、控制措施、過程與流程之實(shí)施與操作。C：檢查（Check，監(jiān)控與審查ISMS），依據(jù)安全政策、目標(biāo)與實(shí)際經(jīng)驗(yàn)，以評鑒及測量(適當(dāng)時)過程績效，并將結(jié)果回報給管理階層加以審查。A：行動（Act，維持與改進(jìn)ISMS），依據(jù)管理階層審查結(jié)果采取矯正與預(yù)防措施，以達(dá)成持續(xù)改進(jìn)信息安全管理系統(tǒng)。圖1：ISO標(biāo)準(zhǔn)所采用之PDCA模式除了圖1所示ISO標(biāo)準(zhǔn)模式之外，茲將其概念轉(zhuǎn)換成另一種建置程序的呈現(xiàn)(詳圖2)，以提供讀者做為建置之參考。對照PDCA的過程描述，大家可以看到信息安全管理系統(tǒng)與制度之建置是一個循環(huán)不斷的過程，其中的基礎(chǔ)必須先建立目標(biāo)與安全政策。在運(yùn)作過程中需要取得完整的決策信息(可想而知，若信息不足時則其判斷結(jié)果便會有誤差。再來針對風(fēng)險所做之企業(yè)持續(xù)不斷之評估、管理、監(jiān)督修正等行為皆與PDCA有直接關(guān)連。建立目標(biāo)建立目標(biāo)與基礎(chǔ)架構(gòu)評估風(fēng)險持續(xù)性修正監(jiān)督風(fēng)險管理程序之效果設(shè)計與執(zhí)行風(fēng)險控管程序規(guī)劃風(fēng)險管理策略決策信息avoid/transfer/reduce/acceptITAssets&SecurityFrameworkGapAnalysisImpactAnalysisITControl&SecurityPolicyI.T.ManagementI.T.Audit圖2：信息安全管理系統(tǒng)建置程序參考示意圖信息安全管理系統(tǒng)之建立步驟：A.依據(jù)業(yè)務(wù)、組織、所在位置、資產(chǎn)及技術(shù)等特性，定義信息安全管理系統(tǒng)之范圍。簡單地說就是要決定全面實(shí)施或分階段分單位實(shí)施，此舉會同時影響信息安全資源的分配運(yùn)用，對風(fēng)險評估后的接受度，以及所采用的風(fēng)險管理策略。B.依據(jù)業(yè)務(wù)、組織、所在位置、資產(chǎn)及技術(shù)等特性，定義信息安全管理系統(tǒng)之政策，且須：1.包含設(shè)定目標(biāo)之框架，并建立有關(guān)信息安全之整體方向意識與行動原則。2.考慮企業(yè)及法律或法規(guī)要求，以及合約性的安全責(zé)任。3.建立策略性、組織性及風(fēng)險管理之內(nèi)容，使其信息安全管理系統(tǒng)得以建立及維持。4.藉以評估風(fēng)險之標(biāo)準(zhǔn)應(yīng)加以建立，風(fēng)險評鑒之架構(gòu)應(yīng)加以定義。5.被管理階層核準(zhǔn)。C.定義風(fēng)險評估之系統(tǒng)化方法1.選用一風(fēng)險評估方法，并適合其信息安全管理系統(tǒng)、已判別之企業(yè)信息安全、以及法律法規(guī)之要求。2.設(shè)定信息安全管理系統(tǒng)之政策與目標(biāo)，以降低風(fēng)險至可接受程度。3.決定可接受之風(fēng)險標(biāo)準(zhǔn)以及判別風(fēng)險至可接受的程度。D.判別各項(xiàng)風(fēng)險1.判別信息安全管理系統(tǒng)控制范圍內(nèi)之信息資產(chǎn)以及該等資產(chǎn)之擁有者。2.判別信息資產(chǎn)所受威脅。 3.判別該等威脅可能利用之脆弱性(Vulnerabilities)。4.判別信息資產(chǎn)若喪失機(jī)密性、完整性與可用性之各項(xiàng)沖擊。E.評估各項(xiàng)風(fēng)險：1.應(yīng)加以評估安全措施失效時可能對企業(yè)之傷害，并將喪失機(jī)密性、完整性與可用性可能導(dǎo)致之后果列入考慮。2.根據(jù)與這些資產(chǎn)有關(guān)之主要威脅、弱點(diǎn)與沖擊，評估這種失效實(shí)際發(fā)生的可能性及現(xiàn)行所實(shí)施的控制措施。3.預(yù)測各風(fēng)險之層級，如高中低三種級數(shù)。4.決定風(fēng)險是否可接受或需利用所建立之標(biāo)準(zhǔn)來處理。F.判別并評估風(fēng)險處理與管理之選項(xiàng)作法；可能的措施包括：1.采用適當(dāng)?shù)目刂拼胧越档惋L(fēng)險。2.若風(fēng)險完全地滿足組織政策及可接受風(fēng)險標(biāo)準(zhǔn)，則可在掌握狀況下客觀地接受該等風(fēng)險。3.將風(fēng)險轉(zhuǎn)移至其它相關(guān)之機(jī)構(gòu)，如保險公司、供貨商。4.回避風(fēng)險，等于視而不見，這是最不理想的措施。G.選擇控制目標(biāo)及控制措施以處理風(fēng)險：適當(dāng)?shù)墓苤颇繕?biāo)與控制措施應(yīng)于BS7799標(biāo)準(zhǔn)之附錄A的127項(xiàng)控管要點(diǎn)中加以選擇，選擇時應(yīng)依據(jù)風(fēng)險評估與風(fēng)險處理過程之結(jié)論為基礎(chǔ)加以判定。備考：BS7799附錄A所列之各項(xiàng)管制目標(biāo)與控制措施并非絕對的標(biāo)準(zhǔn)，亦可選擇其它方法論之管制目標(biāo)與控制措施。H.擬定一份適用性聲明書將所選擇之管制目標(biāo)與控制措施其選擇之理由應(yīng)于適用性聲明書中加以文件化。BS7799附錄A中任何排除之管制目標(biāo)與控制措施亦應(yīng)加以紀(jì)錄。I.所提出之殘余風(fēng)險需取得管理階層之核準(zhǔn)，信息安全系統(tǒng)亦需獲得授權(quán)才能實(shí)施與操作。為什么需要信息安全？由于信息和支持作業(yè)、系統(tǒng)及網(wǎng)絡(luò)都是重要的營運(yùn)資產(chǎn)，資產(chǎn)的機(jī)密性、完整性、及可用性，攸關(guān)能否維系競爭力、現(xiàn)金流量、獲利能力、及商業(yè)形象。組織本身與其信息系統(tǒng)，網(wǎng)絡(luò)聯(lián)機(jī)所面臨的安全威脅不僅與日俱增，來源也相當(dāng)廣泛，包括計算機(jī)輔助的詐欺行為、間諜行為、蓄意破壞、毀損、水災(zāi)或火災(zāi)等，攻擊來源如計算機(jī)病毒、黑客及其它手法等都愈來愈普遍、影響也越來越大，技術(shù)日益復(fù)雜。“風(fēng)險管理的意義風(fēng)險管理的目的并不是在百分之百的避免風(fēng)險(還記得前面曾指出，風(fēng)險不會100%消失嗎？)，而是去了解會面臨到那些風(fēng)險，有那些是可以藉由適當(dāng)?shù)氖侄斡枰越档突驅(qū)⒅妻D(zhuǎn)，那些風(fēng)險是無法規(guī)避，必須及早規(guī)劃因應(yīng)對策者。同時，風(fēng)險管理的目的，也不是追求最小的風(fēng)險，而是讓組織選擇所能容忍的風(fēng)險水平，并排除無法承擔(dān)的風(fēng)險。換言之，風(fēng)險管理是指與辨認(rèn)、評估及處理風(fēng)險有關(guān)的所有活動及方法。有效的信息安全管理制度并非要消弭所有的信息風(fēng)險，而是協(xié)助組織辨認(rèn)及評估他們在日常營運(yùn)過程中所可能面臨的風(fēng)險，進(jìn)而可以及早采取較佳的方法來管理這些風(fēng)險，以強(qiáng)化組織的體質(zhì)及競爭力。為什么需要風(fēng)險管理現(xiàn)今各種組織面臨的外在環(huán)境存在著許多不確定性，而在全球化高度競爭的時代中，產(chǎn)業(yè)變化快速，市場變化莫測，也潛藏著許多危機(jī)，使得風(fēng)險無所不在。從高層營運(yùn)策略到日常的營運(yùn)管理，都必須要做風(fēng)險管理。同時，機(jī)會常伴隨風(fēng)險而來，藉由建立風(fēng)險管理體系，在風(fēng)險發(fā)生的第一時間搶得先機(jī)(降低損失或提早避免)，也就多了一份機(jī)會。再者，因?yàn)樵S多組織面臨的最大風(fēng)險是不知如何管理風(fēng)險，也不認(rèn)為風(fēng)險是可以管理的。甚至完全不知道有風(fēng)險存在(還記得前面提過那些沾沾自喜的企業(yè)主嗎？)或是知道有風(fēng)險，卻不知道如何去管理與執(zhí)行。信息風(fēng)險管理與信息風(fēng)險評估之關(guān)連風(fēng)險評估與風(fēng)險管理風(fēng)險評估有助于導(dǎo)入完善的風(fēng)險管理。簡單地說，ISMS是一套管理潛在信息風(fēng)險的方法。所謂風(fēng)險是資產(chǎn)由于外部威脅和內(nèi)部弱點(diǎn)交互作用而可能導(dǎo)致的損害程度。在成本效益的考慮下，組織控制信息風(fēng)險的投資應(yīng)該和潛在的資產(chǎn)損失相關(guān)，也就是應(yīng)該把有效的資源投入在解決最迫切需要的信息風(fēng)險問題上。也就是透過合理的風(fēng)險評估過程，讓組織了解目前的信息風(fēng)險等級，以決定采取哪些適當(dāng)?shù)氖侄蝸砉芾盹L(fēng)險。這些手段包括技術(shù)性的控制系統(tǒng)和管理辦法，用以達(dá)到避免、降低、轉(zhuǎn)移或接受風(fēng)險等目標(biāo)。有效的風(fēng)險管理須依靠良好的風(fēng)險評估。ISMS的目標(biāo)是透過一整體規(guī)劃之信息安全解決方案來確保企業(yè)所有信息系統(tǒng)與業(yè)務(wù)之安全與正常運(yùn)作。實(shí)務(wù)上，ISMS利用風(fēng)險分析管理工具，結(jié)合企業(yè)資產(chǎn)列表、威脅來源的調(diào)查分析及系統(tǒng)安全弱點(diǎn)評估等結(jié)果，綜合評估影響企業(yè)整體的因素，以訂定適當(dāng)?shù)男畔踩吲c信息安全作業(yè)準(zhǔn)則來降低潛在的風(fēng)險危機(jī)。同時是執(zhí)行信息安全管理系統(tǒng)的關(guān)鍵成功因素。請先參考圖3：風(fēng)險評估與風(fēng)險管理之程序。圖3：風(fēng)險評估與風(fēng)險管理之程序上圖為風(fēng)險評估和風(fēng)險管理的過程，也有些學(xué)者指出RiskAssessment應(yīng)翻譯成風(fēng)險評鑒比風(fēng)險評估為佳，但個人認(rèn)為此乃見仁見智；評鑒一詞固然較為精準(zhǔn)，但評估卻更為貼近一般使用者的認(rèn)知。在風(fēng)險評估的過程中，組織應(yīng)先針對：A.組織內(nèi)和信息安全有關(guān)的資產(chǎn)進(jìn)行鑒別評價，B.然后針對鑒別出來的資產(chǎn)進(jìn)行了解這些信息資產(chǎn)存在著哪些弱點(diǎn)，而又有哪些可能的威脅會利用這些弱點(diǎn)而產(chǎn)生，C.接下來評估當(dāng)這些威脅產(chǎn)生時對組織的沖擊有多大，對組織的正常營運(yùn)會帶來哪些風(fēng)險，D.對所帶來的風(fēng)險進(jìn)行排列并訂出等級。在風(fēng)險評鑒之后，我們己經(jīng)知道了組織可能會遭遇哪些風(fēng)險，而哪些風(fēng)險是組織所無法接受的，接下來的是，針對這些無法接受的風(fēng)險進(jìn)行管理，A.首先，先了解組織目前己有的安全措施，B.再依鑒別出來的風(fēng)險采取對應(yīng)的安全控制措施，C.并訂定相關(guān)安全控制措施的執(zhí)行程序，然后按照既定的程序?qū)嵤┫嚓P(guān)的活動，D.并定期檢視殘存的風(fēng)險。ISO／IEC17799：2000標(biāo)準(zhǔn)中表示，組織的信息安全能否落實(shí)，下列常為關(guān)鍵因素：A.能反映營運(yùn)目標(biāo)的安全政策、目標(biāo)及活動；B.與組織文化一致之實(shí)施安全保護(hù)的方法；C.來自管理階層的實(shí)際支持和承諾；D.對安全要求、風(fēng)險評鑒以及風(fēng)險管理的深入理解；E.向全體管理人員和雇員有效推廣安全的理念；F.向所有雇員和承包商宣傳信息安全政策的指導(dǎo)原則和標(biāo)準(zhǔn)；G.提供適切的訓(xùn)練和教育；F.評估信息安全管理的績效及回饋建議，以便進(jìn)一步改進(jìn)。風(fēng)險評估的迷失花大錢可買安全？錯!!如果多數(shù)信息產(chǎn)品真如廣告所述，則使用相應(yīng)的技術(shù)或產(chǎn)品應(yīng)該可以避免信息安全相關(guān)之風(fēng)險，那么問題出自于何處？關(guān)鍵的思維就在于，其實(shí)并「沒有100%安全」這樣的情況存在，科技技術(shù)終究有其局限性。舉例來說，配備第一流科技的軍隊(duì)，仍然需要標(biāo)準(zhǔn)的操典與演訓(xùn)，才能發(fā)揮實(shí)效。此處借用信息安全專家BruceSchneier的名言：信息安全乃一流程，而非產(chǎn)品(InformationSecurityisaprocess，notproduct)。如果廠商仍然狡黠地辯稱其產(chǎn)品依照實(shí)驗(yàn)室數(shù)據(jù)確實(shí)可達(dá)100%防護(hù)，建議你馬上請他打道回府，別浪費(fèi)大家的時間了。因?yàn)槲覀円玫漠a(chǎn)品是在現(xiàn)實(shí)環(huán)境中可用的，而不是放在實(shí)驗(yàn)室供著!!請大家回想一下幾年前，密碼學(xué)在信息環(huán)境中的應(yīng)用探討，一度還是顯學(xué)，為何現(xiàn)在卻很少聽到呢？因?yàn)槊艽a學(xué)所有的應(yīng)用必須配合人員存取控制的落實(shí)，它無法單獨(dú)自成一個應(yīng)用環(huán)境，一旦其外圍配合的作業(yè)出問題，英雄亦無用武之地。再舉一例，某資安產(chǎn)品的防護(hù)能力及偵測敏感度很高，宣稱可提高安全無虞，但安裝后的實(shí)況是：使用者要求安全的環(huán)境又不想被打擾，大家一直抱怨系統(tǒng)過于敏感，造成假警報頻傳，系統(tǒng)管理員迫于無奈，只好將系統(tǒng)暫時予以關(guān)閉(有些人是將控制層級降低)；殊不知這是黑客所用的投石問路技倆，之前的假警報其實(shí)都是黑客所為，目的就是要讓組織內(nèi)部自動降低安全層級，以讓其在發(fā)動攻擊時，增加成功機(jī)率。另外一種是成功機(jī)率最高的手法，就是最典型的社交工程，可輕易繞過所有技術(shù)措施，直接獲得使用賬號及密碼信息。這些都證明了科技無法解決人性在信息安全領(lǐng)域中的問題，也就是說我們永遠(yuǎn)要將管理人的議題放在風(fēng)險評估中。信息垃圾一文不值?錯!!對蓄意攻擊破壞者而言，信息就是信息，紙本數(shù)據(jù)與電子文件一樣好用，很多時候，尤其是對實(shí)體環(huán)境控管不良或是未落實(shí)信息分類管理的單位而言，在垃圾筒中的數(shù)據(jù)比計算機(jī)中的數(shù)據(jù)更有價值。再舉一例，美國麻省理工學(xué)院有兩位研究生曾做了一份研究，他們從二手計算機(jī)商處以不到1000美元的價錢批了158顆硬盤，在整理的過程中，他們找到了5000組以上的信用卡資料、病歷表，個人與公司企業(yè)的詳細(xì)財務(wù)信息，同時還有好幾GB的個人電子郵件及色情檔案。他們把這些發(fā)現(xiàn)寫成一份「舊資料遺跡：磁盤清理研究」（RemembranceofDataPassed:AStudyofDiskSanitation）報告，并在IEEE計算機(jī)學(xué)會（IEEEComputerSociety）所發(fā)行的IEEE安全與隱私期刊（IEEESecurityandPrivacy）中發(fā)表。放心!!我們單位的規(guī)模不大，不會有人對我們有興趣。錯!!整個風(fēng)險評估的范圍不是只放在技術(shù)面而已，還須同時考慮營運(yùn)的持續(xù)性才對。管理階級的錯誤觀念除了其本身的成見外，通常都是因?yàn)槲传@得足夠的風(fēng)險分析信息所致；另一方面，幕僚人員也應(yīng)先了解其單位的關(guān)鍵風(fēng)險所在，才能與管理階級做充分的討論。規(guī)模大小不是問題，重要的是它是否有利用價值!!尤其是政府機(jī)構(gòu)，不能因?yàn)楸涣袨镃、D級單位就掉以輕心，即便不必采取與A、B級單位相同的控制模式，基本的防護(hù)措施仍應(yīng)實(shí)施，否則若不幸成為黑客利用的跳板，其后果將不堪設(shè)想。雞蛋不能放在同一個籃子中？不一定!!正因?yàn)楦鲉挝坏娜肆Α①Y源、預(yù)算有限，所以我們不可能同時改善所有缺失或風(fēng)險，執(zhí)行風(fēng)險評估之目的正是希望能有效利用資源。讓我們回想一下前面談過有關(guān)風(fēng)險的本質(zhì)，你會發(fā)現(xiàn)了解背景遠(yuǎn)比使用那種科技或設(shè)備重要。試想，一個不能防止炸彈攻擊的安全系統(tǒng)，并不代表它一無是處，可能用傳統(tǒng)的門鎖、墻壁來加強(qiáng)也可以!!正確的作法，應(yīng)該是優(yōu)先就風(fēng)險評估后的結(jié)果，針對最弱的環(huán)節(jié)，提供深度的防御。同樣的思考方式可用來考慮另一種情形：要把改進(jìn)資源放在一個發(fā)生機(jī)率低的重大威脅？還是放在一群發(fā)生機(jī)率高的小缺失上呢？執(zhí)行風(fēng)險管理應(yīng)注意事項(xiàng)建立管理政策：信息安全策略目標(biāo)之首要考慮是，反應(yīng)組織領(lǐng)導(dǎo)者對風(fēng)險管理的策略意圖與可接受程度，進(jìn)而將之形成為管理政策，以作為提供商務(wù)往來對象及內(nèi)部員工遵行之依據(jù)。例如：對信息環(huán)境建構(gòu)的規(guī)劃，經(jīng)由信息技術(shù)執(zhí)行各項(xiàng)業(yè)務(wù)之控管；或者是確定實(shí)施信息安全的范疇與順序；投入的資源與部署的方法；以及最重要的－信息安全風(fēng)險的可接受等級。遵行管理政策：待信息安全的策略方向與政策確定后，首要之目標(biāo)即是依照既定之策略，逐步將組織與信息安全政策的遵行，達(dá)成一致性。并經(jīng)由適當(dāng)?shù)男畔L(fēng)險評估之后，確認(rèn)目前組織內(nèi)的信息安全控制，可否滿足安全政策的保護(hù)目標(biāo)，由于投入強(qiáng)化控管之成本效益考慮，因此不可能全盤接收所有的控管，因此核心的處理方式為增強(qiáng)控管至「可接受之風(fēng)險程度」，并將安全控管所需的技術(shù)與程序一致化。充實(shí)關(guān)鍵知識：請先看看以下案例：泰國的央行，曾于執(zhí)行防火墻例行升級作業(yè)，關(guān)閉在線系統(tǒng)與啟動備援系統(tǒng)的時段間，遭外部入侵成功。美國某銀行其入侵偵測系統(tǒng)(IDS)，由于未定期更新入侵樣態(tài)之?dāng)?shù)據(jù)庫與執(zhí)行IDS系統(tǒng)升級作業(yè)，遭黑客以癱瘓攻擊程序(名之為Stick)使IDS癱瘓，喪失監(jiān)控功能。高科技廠商的ERP系統(tǒng)其權(quán)限設(shè)計不當(dāng)，使得商業(yè)邏輯下需互相制衡的權(quán)限，集中于一人手中，導(dǎo)致財務(wù)上的損失。程序開發(fā)人員將存取管理之密碼或路徑于程序代碼中設(shè)定(HardCode)，造成密碼分享，與數(shù)據(jù)取存目錄外泄，針對訂制開發(fā)的網(wǎng)絡(luò)下單系統(tǒng)，此為國內(nèi)常見的漏洞之一。凡此總總，皆無法單獨(dú)歸咎于技術(shù)或產(chǎn)品本身，而在于多數(shù)技術(shù)工具的使用導(dǎo)入時，未受到導(dǎo)入團(tuán)隊(duì)適當(dāng)?shù)恼f明與教育，以及如何應(yīng)用安全技術(shù)工具相關(guān)的管理技術(shù)，這其中最難跨越的鴻溝在于「產(chǎn)業(yè)關(guān)鍵知識(IndustryDomainKnow-How)」。試想不了解網(wǎng)絡(luò)銀行放款、存款、轉(zhuǎn)帳的方式，以及客戶往來的需要，如何將網(wǎng)絡(luò)銀行防火墻的過濾規(guī)則，設(shè)定成可符合銀行營運(yùn)之需要？這也是國內(nèi)曾發(fā)生防火墻失效的原因之一，所以技術(shù)方案、管理程序和知識的緊密結(jié)合，才是信息安全成功的核心。管理觀念的建立比選用何種信息技術(shù)重要：美國從事信息安全的人員很喜歡把"SecurityProtocol"、"Need-to-Know"，以及"SecurityClearance"等后冷戰(zhàn)時期的名詞掛在嘴邊，凡事講究程序，諸事必形于文件。在系統(tǒng)建置的初期，所有人員的工作職責(zé)，權(quán)限必先規(guī)劃清楚。這種態(tài)度其來有自。十幾年前當(dāng)因特網(wǎng)尚未成為數(shù)據(jù)交換的主流時，除了學(xué)術(shù)單位及少數(shù)機(jī)構(gòu)，絕大部份的政府機(jī)關(guān)的信息共享及交換都建立在封閉系統(tǒng)之上。信息安全人員多由退休的軍警或情治人員擔(dān)任。這些老兵大都曾經(jīng)經(jīng)歷過美蘇冷戰(zhàn)的洗禮。所擁有的近乎偏執(zhí)的危機(jī)意識及實(shí)戰(zhàn)攻防經(jīng)驗(yàn)都大量地反映在他們所設(shè)計的信息安全管理體系之中。這個制度將人、科技及程序緊密的結(jié)合在一起，凡是新進(jìn)入此一信息安全管理體系的組件，都必須經(jīng)過層層檢驗(yàn)。如新進(jìn)的機(jī)器設(shè)備，未經(jīng)規(guī)格檢驗(yàn)、強(qiáng)化程序及弱點(diǎn)評估，不得輕易上線；新進(jìn)人員的聘用，未經(jīng)安全等級之調(diào)查、未簽署保密協(xié)定，就算人力需求迫在眉睫，亦不得進(jìn)入實(shí)體作業(yè)環(huán)境接觸公司之內(nèi)部數(shù)據(jù)。國內(nèi)信息安全管理機(jī)制恰與國外相反，信息技術(shù)之運(yùn)用開始蓬勃發(fā)展時，也正是各項(xiàng)信息安全產(chǎn)品、信息安全技術(shù)大量發(fā)展與成熟之際，惟國內(nèi)之信息安全人員對于各項(xiàng)新產(chǎn)品與新技術(shù)之了解不足，同時對于信息安全之認(rèn)知亦停留于技術(shù)層面，往往對于信息安全之管理層面未予以建立，或尚未落實(shí)執(zhí)行，并將其視為無意義、浪費(fèi)人力及時間之工作。以我們執(zhí)行信息安全風(fēng)險評估之經(jīng)驗(yàn)中，多次發(fā)現(xiàn)數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng)預(yù)設(shè)帳號之密碼，并未于初次安裝后予以變更；系統(tǒng)權(quán)限雖做好控管，惟于網(wǎng)絡(luò)芳鄰之分享目錄，處處可見未設(shè)定密碼之機(jī)密數(shù)據(jù)；業(yè)務(wù)之需求而無相關(guān)配套措施，導(dǎo)致防火墻安全漏洞大開。由此可見，國內(nèi)企業(yè)內(nèi)部人員對于信息安全之認(rèn)知與安全管理之程序，尚未落實(shí)于管理層面。此一現(xiàn)象可歸因于國內(nèi)的信息安全管理發(fā)展，并沒有與美國相同的條件與歷史背景，惟許多公司卻大量使用已發(fā)展好的安全科技產(chǎn)品，如防火墻，加密產(chǎn)品，入侵偵測系統(tǒng)等，以為安裝這些安全產(chǎn)品即能發(fā)揮安全管理作用，而無任何其它配套的管理機(jī)制。事實(shí)上這是種最危險的思考方式，安裝了功能強(qiáng)大的防火墻，而未盡善良管理的責(zé)任，遠(yuǎn)比未安裝任何防火墻還危險。而這些產(chǎn)品應(yīng)只是整個信息安全體系下眾多環(huán)節(jié)的一部份，而非信息安全體系最后的產(chǎn)出成果。任何信息安全產(chǎn)品的選購及信息安全技術(shù)的應(yīng)用，都應(yīng)放置在信息安全管理體系的架構(gòu)下評估之，成本之浪擲事小，隱藏在其后的信息安全危機(jī)及法律責(zé)任才是最大隱憂。對風(fēng)險評估的充分認(rèn)知比盲目執(zhí)行管理程序更重要回歸到風(fēng)險的本質(zhì)：前面提到過風(fēng)險的本質(zhì)得知，任何實(shí)體世界可能發(fā)生的危險，數(shù)字世界都會發(fā)生！而且更令人可怕的是當(dāng)這些危險事件發(fā)生時，企業(yè)主管通常都不知道，而且毫無警覺，反而是擁有公司最高的主機(jī)與信息系統(tǒng)的權(quán)限的信息系統(tǒng)管理人員得知而且他們還可以執(zhí)行以及操作企業(yè)主管都不會但卻攸關(guān)企業(yè)營運(yùn)的敏感信息。難道是企業(yè)主不愿意編列資安預(yù)算，毫無風(fēng)險概念？還是因?yàn)樾畔挝恢鞴茚槍π畔踩娘L(fēng)險沒有善盡告知之責(zé)？還是媒體未盡倡導(dǎo)信息安全事件之責(zé)？這些可能都是原因，但若企業(yè)內(nèi)部沒有進(jìn)行信息安全的風(fēng)險評估，沒有進(jìn)行教育訓(xùn)練或相關(guān)的成本分析，企業(yè)主如何了解信息安全對企業(yè)營運(yùn)及永續(xù)經(jīng)營的重要性？掌握風(fēng)險及其沖擊才能做出正確管理：以企業(yè)組織熟悉的保險行為而論，大家為何愿意保險？因?yàn)槊總€人都有一把自我可以承受的風(fēng)險標(biāo)尺，知道要投入多少成本才可符合當(dāng)事者的成本效益分析標(biāo)準(zhǔn)；但若當(dāng)事者的認(rèn)知不足，所謂的成本效益將會有很大的落差。狀況1：目前保險公司已有開辦「忠誠險」，但其保額與投保單位本身內(nèi)部風(fēng)險評估與管理的良窳與否有很大的關(guān)連。須知，保險是一種移轉(zhuǎn)風(fēng)險的管理程序，如果投保單位內(nèi)部控制不良，沒有采取身家調(diào)查、人事輪調(diào)、責(zé)任分工及其它相關(guān)的稽核機(jī)制等措施，則保險公司當(dāng)然會限制其投保金額，要不然就是會請投保單位改善，甚至調(diào)高保費(fèi)或不愿承保者也時有所聞！狀況2：臺北市某銀行的大直分行，在半年內(nèi)被搶劫兩次，警方調(diào)查后發(fā)現(xiàn)，在第一次搶案發(fā)生后，就已建議業(yè)者于安全防護(hù)上應(yīng)加強(qiáng)改進(jìn)之處仍未改善，以致?lián)尫巳杂孟嗤姆椒ǖ檬?!這時各位如果是保險公司的代表，是否還會承保呢？由于執(zhí)行風(fēng)險評估亦須先執(zhí)行信息資產(chǎn)識別；而目前多數(shù)企業(yè)對于信息資產(chǎn)的價值幾乎完全沒有概念，也沒有針對信息資產(chǎn)進(jìn)行盤點(diǎn)、分類與鑒價，所以完全不知所以然或者人云亦云的規(guī)劃資安設(shè)備，如同瞎子摸象的胡亂投醫(yī)，僅求一個「心安」。而信息資產(chǎn)如果沒有清查，便不知需要被保護(hù)的資產(chǎn)對象在哪里？是否有遺漏與疏忽？資產(chǎn)如果沒有分類，便不清楚哪些資產(chǎn)的價值與重要性最高？需要特別的保護(hù)，采取「降低」或者「轉(zhuǎn)移」風(fēng)險？另外，有些資產(chǎn)雖有風(fēng)險，但是因?yàn)閮r值風(fēng)險不高，在資源有限狀況下，其風(fēng)險可以被「接受」。這個道理如同產(chǎn)險一樣，價值越高的不動產(chǎn)其保費(fèi)較高，立論簡單也合理，但是在信息安全的領(lǐng)域，企業(yè)卻不知要如何進(jìn)行？目前面臨的困難點(diǎn)：許多高階主管沒有信息安全風(fēng)險的危機(jī)意識，仍將資安工作交由信息部門人員主導(dǎo)，進(jìn)而影響信息安全的資源投入（預(yù)算、組織運(yùn)作、資安人才）有限，惡性循環(huán)的結(jié)果使得信息人員無法獨(dú)自或者運(yùn)用組織力量完成信息資產(chǎn)的盤點(diǎn)、分類與鑒價，進(jìn)而無法提出信息安全的成本效益分析來善盡告知責(zé)任讓企業(yè)主充分了解資安與企業(yè)營運(yùn)的重要相關(guān)性。另外，國內(nèi)信息安全人才欠缺安善的培訓(xùn)，部門內(nèi)也無專業(yè)與專職的資安人才，信息系統(tǒng)相關(guān)的維護(hù)廠商也非資安專業(yè)人材，國內(nèi)資安廠商林林總總，參差不齊，如何選擇合適的信息安全咨詢顧問？各種信息風(fēng)險評估作業(yè)程序之比較與建議BS7799BS7799標(biāo)準(zhǔn)可分為兩個部份，第一部份為BS7799-1“信息安全管理之作業(yè)要點(diǎn)(Informationtechnology-Codeofpracticeforinformationsecuritymanagement)”，第二部份為BS7799-2“信息安全管理系統(tǒng)規(guī)范(Informationsecuritymanagementsystems-Specificationwithguidanceforuse)”，英國標(biāo)準(zhǔn)協(xié)會(BSI)于1993年成立工作小組討論信息安全管理系統(tǒng)規(guī)范及信息安全管理之作業(yè)要點(diǎn)，并己經(jīng)過了多次的改版，BS7799-1第一部份在2000年由ISO組織投票通過成為ISO／IEC17799：2000，目前第一部份ISO／IEC17799：2000(中華民國標(biāo)準(zhǔn)編號為CNS17799)及第二部份BS7799-2：2002(中華民國標(biāo)準(zhǔn)編號為CNS17800)為目前最新發(fā)行的版本。第一部份的內(nèi)容提供了標(biāo)準(zhǔn)的使用者由各行各業(yè)討論后所提出的可行方案，內(nèi)容非常值得參考，但是第一部份的標(biāo)準(zhǔn)并無法用來驗(yàn)證。第二部份的內(nèi)容簡要的提出信息安全系統(tǒng)執(zhí)行時需考慮的要點(diǎn)，同時這也是可用來驗(yàn)證的標(biāo)準(zhǔn)。BS7799-2鼓勵采用過程導(dǎo)向以建立、實(shí)施、操作、監(jiān)督、維持及改進(jìn)組織信息安全管理系統(tǒng)之有效性。組織必須鑒別、管理許多活動方能有效運(yùn)作。使用資源與管理而促成輸入轉(zhuǎn)換為輸出之一項(xiàng)活動，可視為一個過程。通常一個過程之輸出可直接地成為下一個過程之輸入。信息安全系統(tǒng)和ISO9001：2000年版一致地采用”計劃-執(zhí)行-檢查-行動”(Plan-Do-Check-Act，PDCA)之模式，應(yīng)用于所有信息安全管理系統(tǒng)過程。請參照圖1所展示信息安全管理系統(tǒng)如何采納信息安全要求之輸入及利害關(guān)系團(tuán)體之期望作為輸入端，經(jīng)由各必要措施及過程，產(chǎn)生符合所需要求及期望的信息安全輸出結(jié)果。BS7799包含了所有面向的最先進(jìn)企業(yè)安全政策，從安全政策的擬定、安全責(zé)任的歸屬、風(fēng)險的評估、到定義與強(qiáng)化安全參數(shù)及存取控制，甚至是防毒的策略。BS7799風(fēng)險評估技術(shù)適用于整個組織、或者組織的某一部分以及獨(dú)立的信息系統(tǒng)、特定系統(tǒng)組件或服務(wù)等，進(jìn)行風(fēng)險評估需要系統(tǒng)化考慮以下問題：依據(jù)BS7799風(fēng)險評估方法論，風(fēng)險存在于企業(yè)所有處理程序中，與競爭環(huán)境、法令符合性、保護(hù)IT系統(tǒng)的使用及其相關(guān)的企業(yè)活動、確保企業(yè)重要信息的可靠性與有效性、及詐欺有關(guān)，所以風(fēng)險與組織政策及策略直接相關(guān)，如擴(kuò)充、企業(yè)再造，緊急投資、開發(fā)新產(chǎn)品及服務(wù)、經(jīng)營加值服務(wù)或改變供應(yīng)鏈管理等。BS7799風(fēng)險評估方法論是一個企業(yè)處理方法，其目的是為了建立ISMS（信息安全管理系統(tǒng)）之范圍、差異分析、風(fēng)險評估項(xiàng)目及程序；評估風(fēng)險步驟含：識別ISMS資產(chǎn)、資產(chǎn)的價值、弱點(diǎn)及威脅，評估資產(chǎn)、弱點(diǎn)與威脅時可能產(chǎn)生的沖擊及風(fēng)險分析，如圖3。COBIT背景：COBIT全名為(ControlOBjectivesforInformationandrelatedTechnology)，系由美國信息系統(tǒng)稽核與控制協(xié)會(InformationSystemsAuditandControlAssociation，簡稱ISACA)所發(fā)展的一套實(shí)用之信息系統(tǒng)稽核與控制標(biāo)準(zhǔn)。COBIT目前最新的版本為第三版，將信息技術(shù)控管與營運(yùn)目標(biāo)緊密聯(lián)結(jié)，提供了一個涵蓋階段及作業(yè)程序的實(shí)際架構(gòu)，及對細(xì)部工作的可行性和邏輯性的結(jié)構(gòu)。在今日極度競爭和快速變遷的市場，許多企業(yè)的管理階層對信息傳送的功能要求越來越多：更好的質(zhì)量、功能和操作接口與更佳的服務(wù)質(zhì)量－而這一切都希望可以用更低的成本達(dá)成。然而，成功的企業(yè)必須承認(rèn)，在享受信息技術(shù)所產(chǎn)生的潛在利益之余，亦須能了解并管理新科技伴隨而來的風(fēng)險。信息技術(shù)和其操作環(huán)境的多項(xiàng)變更突顯了對信息相關(guān)技術(shù)風(fēng)險管理的需求，因?yàn)橹匾臉I(yè)務(wù)程序維持依賴于電子信息和信息技術(shù)系統(tǒng)的正常運(yùn)作；同時也因?qū)映霾桓F的信息系統(tǒng)災(zāi)害和電子詐欺而顯得法令規(guī)范對信息控管上更加重要且日益嚴(yán)格。因此，現(xiàn)今信息相關(guān)技術(shù)風(fēng)險管理應(yīng)被視為企業(yè)管理的一項(xiàng)重點(diǎn)。而COBIT是針對營運(yùn)目標(biāo)制訂的，其控制目標(biāo)與營運(yùn)目標(biāo)緊密結(jié)合以供非稽核者亦可使用。控制目標(biāo)系以作業(yè)程序?yàn)橹鞯姆绞剑浜掀髽I(yè)再造的原則，于特定之階段及作業(yè)程序，提供高層的控制目標(biāo)，并提供定義及實(shí)行信息技術(shù)控管的指導(dǎo)原則，目前有二種主要的內(nèi)部控制模式，一是美國貿(mào)易支持組織委員會(COSO)的「整體營運(yùn)控制模式」以及英國貿(mào)工部(DTI)的「專注于信息技術(shù)控管模式」。COBIT參考此二種內(nèi)部控制模式并將其聯(lián)結(jié)，因此，COBIT的角色較像為管理的高層準(zhǔn)則，而非只是系統(tǒng)管理的技術(shù)標(biāo)準(zhǔn)。管理階層應(yīng)該建立系統(tǒng)化的風(fēng)險評估架構(gòu)。這種架構(gòu)應(yīng)該將相關(guān)風(fēng)險的規(guī)律評估納入業(yè)務(wù)目標(biāo)的成就，構(gòu)成一種決定如何管理到一個可接受程度的基礎(chǔ)。管理階層應(yīng)該引導(dǎo)風(fēng)險減輕解決辦法的確認(rèn)及涉及確認(rèn)的弱點(diǎn)，防護(hù)專家應(yīng)該引導(dǎo)威脅確認(rèn)，同時信息專家應(yīng)該驅(qū)使控制篩選。應(yīng)該藉由結(jié)構(gòu)化的方法及熟練的風(fēng)險評估員，來確認(rèn)風(fēng)險評估的質(zhì)量。風(fēng)險評估方法應(yīng)該集中于風(fēng)險基本要素的調(diào)查及介于它們之間的因果關(guān)系。風(fēng)險的基本要素包括有形的及無形的資產(chǎn)、資產(chǎn)價值、威脅、弱點(diǎn)、安全設(shè)備、威脅的后果與可能性。風(fēng)險的確認(rèn)程序應(yīng)該包括定性，以及在適當(dāng)?shù)牡胤剑康娘L(fēng)險等級，并應(yīng)該從管理階層的腦力激蕩、策略性規(guī)則、過去的稽核與其它的評估而獲得。風(fēng)險的評估應(yīng)該考慮業(yè)務(wù)、管制、法定、技術(shù)、貿(mào)易伙伴及人力資源的風(fēng)險。COBIT的運(yùn)作架構(gòu)如圖4。營運(yùn)活動營運(yùn)活動1資料1資料2應(yīng)用系統(tǒng)3技術(shù)4設(shè)施5人員信息COBITM1M1作業(yè)流程之監(jiān)控M2評鑒內(nèi)部控制的允當(dāng)性M3是否有獨(dú)立的質(zhì)量保證M4稽核獨(dú)立監(jiān)控信息信息11效能2效率3機(jī)密4真確5可用6遵行7可靠DS1DS1定義服務(wù)層次DS2外包服務(wù)管理DS3績效及容量管理DS4確保持續(xù)服務(wù)DS5確保系統(tǒng)安全DS6分析與歸屬成本DS7使用人員的教育及訓(xùn)練DS8客戶支持及咨詢DS9裝備管理DS10問題及意外處理DS11數(shù)據(jù)管理DS12設(shè)施管理DS13操作管理交付與支援P01P01擬定策略與規(guī)劃P02擬定信息結(jié)構(gòu)P03決定技術(shù)導(dǎo)向P04厘定組織及其關(guān)系P05項(xiàng)目之投資管理P06溝通管理的目標(biāo)與方向P07人力支持管理P08確保符合外部需求P09風(fēng)險評估P10項(xiàng)目管理P11質(zhì)量管理規(guī)劃與組織AI1AI1確認(rèn)解決方案AI2應(yīng)用軟件的獲得與維護(hù)AI3技術(shù)架構(gòu)的獲得與維護(hù)AI4開發(fā)與維護(hù)信息程序AI5安裝及認(rèn)證系統(tǒng)AI6變更管理取得與建置圖4:COBIT運(yùn)作架構(gòu)（資料來源：COBIT3.0）NISTNIST全名為NationalInstituteofStandardsandTechnology，成立于1901年，為美國貿(mào)易部科技管理聯(lián)邦機(jī)構(gòu)，NIST任務(wù)為發(fā)展與促成評估、標(biāo)準(zhǔn)及技術(shù)，以提高生產(chǎn)力、促進(jìn)貿(mào)易及改善生活質(zhì)量。為了符合NIST任務(wù)目標(biāo)，有下列四項(xiàng)合作計劃：NIST實(shí)驗(yàn)室：指導(dǎo)研發(fā)國家科技基礎(chǔ)建設(shè)，為美國產(chǎn)業(yè)界提供相關(guān)評估、標(biāo)準(zhǔn)、產(chǎn)品與服務(wù)。Baldrige國內(nèi)質(zhì)量計劃：促進(jìn)美國國內(nèi)制造業(yè)、服務(wù)公司、教育機(jī)構(gòu)、健康管理業(yè)者最佳績效，指導(dǎo)計劃及管理年度MalcolmBaldrige國家質(zhì)量獎，以辨識最佳績效與質(zhì)量成就。大量擴(kuò)充伙伴：全國性局域網(wǎng)絡(luò)中心，對較小規(guī)模制造業(yè)者提供技術(shù)及企業(yè)協(xié)助。高階科技計劃：用以加快創(chuàng)新技術(shù)之發(fā)展，且為了開通國家利益，與區(qū)域伙伴以共同基金方式研發(fā)。NISTITSO（InformationTechnologySecurityOffice）負(fù)責(zé)NIST信息安全技術(shù)議題，其功能系為NIST的管理及科學(xué)環(huán)境，建置及測試信息安全政策、程序及技術(shù)。ITSO也投資于計算機(jī)安全部門，報導(dǎo)安全事件或討論與NIST有關(guān)之IT話題。依據(jù)1987年的計算機(jī)安全法令，IT實(shí)驗(yàn)室計算機(jī)安全部門負(fù)責(zé)為敏感性聯(lián)邦信息系統(tǒng)及產(chǎn)業(yè)工作，發(fā)展安全標(biāo)準(zhǔn)及指引來幫助改善商業(yè)信息科技產(chǎn)品，這個部門的重要工作在于密碼標(biāo)準(zhǔn)及應(yīng)用、技術(shù)安全、安全管理及安全測試。所以，ITSO的好處來自于可接近領(lǐng)域重要專家，而計算機(jī)安全部門的好處在于有個可實(shí)行研發(fā)指引的環(huán)境及貢獻(xiàn)它的操作經(jīng)驗(yàn)。NIST風(fēng)險評估方法論（RiskAssessmentMethodology），將信息系統(tǒng)風(fēng)險評估次序性的分成9個步驟，如圖5說明如下：系統(tǒng)描述：以硬件、軟件、系統(tǒng)接口、數(shù)據(jù)與信息、人員及系統(tǒng)任務(wù)為輸入項(xiàng)目，而產(chǎn)出系統(tǒng)范圍、系統(tǒng)功能、系統(tǒng)與數(shù)據(jù)之重要性及敏感性。威脅識別：以系統(tǒng)攻擊記錄、信息機(jī)構(gòu)如NIPC，OIG的數(shù)據(jù)為輸入，而產(chǎn)出威脅列表。弱點(diǎn)識別：以上次風(fēng)險評估報告、任何稽核評語、安全需求及安全測試結(jié)果作為輸入，產(chǎn)出潛在弱點(diǎn)列表。控制分析：以現(xiàn)行及未來計劃之控制機(jī)制為輸入，產(chǎn)出現(xiàn)行及未來計劃控制機(jī)制之列表。決定可能性：以威脅動機(jī)、威脅能力、弱點(diǎn)本質(zhì)及現(xiàn)行控制機(jī)制為輸入，產(chǎn)生可能性等級。沖擊分析：依完整性、可用性及機(jī)密性之破壞面，分別以沖擊分析任務(wù)、重要資產(chǎn)評估、數(shù)據(jù)的重要性及敏感性為輸入，產(chǎn)出沖擊等級。決定風(fēng)險：以采掘威脅的可能性、沖擊的大小及現(xiàn)行或未來適當(dāng)?shù)目刂茩C(jī)制為輸入，產(chǎn)出風(fēng)險及其相關(guān)層級。控制建議：產(chǎn)出建議的控制機(jī)制。產(chǎn)生文件：產(chǎn)出風(fēng)險評估報告。A.系統(tǒng)描述系統(tǒng)范圍、系統(tǒng)功能、系統(tǒng)與數(shù)據(jù)之重要性及敏感性A.系統(tǒng)描述系統(tǒng)范圍、系統(tǒng)功能、系統(tǒng)與數(shù)據(jù)之重要性及敏感性硬件、軟件、系統(tǒng)接口、數(shù)據(jù)與信息、人員及系統(tǒng)任務(wù)系統(tǒng)攻擊記錄、信息機(jī)構(gòu)系統(tǒng)攻擊記錄、信息機(jī)構(gòu)威脅列表B.威脅列表B.威脅識別潛在弱點(diǎn)列表上次風(fēng)險評估報告、任何稽核評語、安全需求及安全測試結(jié)果C.潛在弱點(diǎn)列表上次風(fēng)險評估報告、任何稽核評語、安全需求及安全測試結(jié)果C.弱點(diǎn)識別現(xiàn)行及未來計劃控制機(jī)制列表現(xiàn)行及未來計劃之控制機(jī)制現(xiàn)行及未來計劃控制機(jī)制列表現(xiàn)行及未來計劃之控制機(jī)制D.D.控制分析威脅動機(jī)、威脅能力、弱點(diǎn)本質(zhì)及現(xiàn)行控制機(jī)制威脅動機(jī)、威脅能力、弱點(diǎn)本質(zhì)及現(xiàn)行控制機(jī)制可能性等級E.可能性等級E.決定可能性沖擊等級F.沖擊分析沖擊等級F.沖擊分析完整性破壞、可用性破壞、機(jī)密性破壞沖擊分析任務(wù)、重要資產(chǎn)評估、數(shù)據(jù)的重要性及敏感性風(fēng)險及其相關(guān)層級采掘威脅的可能性、沖擊的大小及現(xiàn)行或未來適當(dāng)?shù)目刂茩C(jī)制風(fēng)險及其相關(guān)層級采掘威脅的可能性、沖擊的大小及現(xiàn)行或未來適當(dāng)?shù)目刂茩C(jī)制G.決定風(fēng)險G.決定風(fēng)險建議控制機(jī)制H.建議控制機(jī)制H.控制建議風(fēng)險評估報告I.風(fēng)險評估報告I.產(chǎn)生文件圖5信息系統(tǒng)風(fēng)險評估方法論（數(shù)據(jù)來源：NIST）適用性說明：實(shí)際上有很多種方法被用來評估風(fēng)險，評分系統(tǒng)是其中一種決定優(yōu)先級有用的方法，這種評分方法是根據(jù)技術(shù)的復(fù)雜性。控制程序的使用程度，及財務(wù)損失等變量作為風(fēng)險因素來進(jìn)行評估，以上這些變量不一定可以直接衡量，利用這些風(fēng)險值互相比較來決定執(zhí)行風(fēng)險管理的工作時間表。另一風(fēng)險評估方法是運(yùn)用判斷，使用這種方法所作的決策通常根據(jù)高階主管的指示、過去的認(rèn)知、業(yè)務(wù)的變化等。讀者應(yīng)根據(jù)各人所處環(huán)境的不同，以及主客觀條件的不同等因素，選擇適合自己組織的風(fēng)險評估方法與信息安全管理系統(tǒng)的建置程序。表1即針對本章所提之三種信息安全標(biāo)準(zhǔn)，整理其異同之處如下：信息安全標(biāo)準(zhǔn)規(guī)范BS7799COBITNIST發(fā)展國家英國美國美國服務(wù)對象各產(chǎn)業(yè)界各產(chǎn)業(yè)界，大多為會計師事務(wù)所。各產(chǎn)業(yè)界發(fā)展目的提供管理要項(xiàng)、控制目標(biāo)及方法，確保信息之機(jī)密、完整及可用性。1管理、控制與信息：各項(xiàng)作業(yè)程序及控管目標(biāo)2相關(guān)技術(shù)稽核：以成本為考慮并提供內(nèi)部稽核指引。促進(jìn)評估、標(biāo)準(zhǔn)及技術(shù)，以增加生產(chǎn)力、促進(jìn)貿(mào)易及提升生活質(zhì)量。信息安全目標(biāo)機(jī)密性、完整性、可用性強(qiáng)調(diào)信息的效能、效率、機(jī)密、真確、可用、遵行與可靠。針對信息系統(tǒng)之機(jī)密性、完整性、可用性控件目10個管理要項(xiàng)、36個控制目標(biāo)、127個控件目。4大階段、34個高階控制目標(biāo)、318個細(xì)部控制目標(biāo)。9個步驟信息資源分類信息資產(chǎn)、軟件資產(chǎn)、物質(zhì)資產(chǎn)及服務(wù)。數(shù)據(jù)、應(yīng)用系統(tǒng)、技術(shù)、設(shè)施及人員。硬件、軟件、系統(tǒng)接口、數(shù)據(jù)與信息、人員及系統(tǒng)任務(wù)。風(fēng)險評估1評估信息安全漏洞對信息設(shè)備帶來的威脅和影響及其發(fā)生的可能性。2對資產(chǎn)價值/威脅/弱點(diǎn)列舉相關(guān)項(xiàng)目、提供風(fēng)險評估系統(tǒng)化考慮因素（R=AVT）。1由管理階層的腦力激蕩、策略性規(guī)則、過去的稽核與其它的評估進(jìn)行。2以受調(diào)查區(qū)域暴露于風(fēng)險定量及或定性的測量。以發(fā)生威脅的可能性等級（P值）、沖擊等級（I值：完整性、可用性及機(jī)密性破壞）決定風(fēng)險（R=PI）。風(fēng)險管理以可接受的成本，確認(rèn)、控制、排除可能影響信息系統(tǒng)的安全風(fēng)險或?qū)⑵湮：ψ钚』?實(shí)施保護(hù)與控制的成本效益分析，確保殘余風(fēng)險的正式納入。2提供信息管理成熟模式，建立對風(fēng)險的評估、監(jiān)督及控制之機(jī)制。系統(tǒng)威脅、弱點(diǎn)識別，控制及沖擊分析，建議控制并產(chǎn)生評估文件。是否成為ISO標(biāo)準(zhǔn)Part1部分(ISO17799)無無表1：相關(guān)信息安全管理標(biāo)準(zhǔn)比較分析結(jié)論強(qiáng)化風(fēng)險管理與應(yīng)變能力。當(dāng)企業(yè)信息之運(yùn)用、環(huán)境或目標(biāo)更迭，則需配合適當(dāng)評估政策或管理程序的調(diào)整，以及技術(shù)平臺之調(diào)整。目前歐美先進(jìn)國家的信息安全風(fēng)險管理已不僅限于安全技術(shù)與管理，而強(qiáng)化其計算機(jī)安全事變的因應(yīng)與掌握能力，因此所謂的「事變因應(yīng)機(jī)制(IncidentHandling)」便應(yīng)運(yùn)而生。然而，良善完備的事變因應(yīng)，建構(gòu)在不斷地稽核、監(jiān)控與對法令的嫻熟程度。所以各組織體系針對信息安全風(fēng)險的終極目標(biāo)，除了信息安全管理體系的建立之外