作者以提供流程與管理顧問(wèn)服務(wù)的方法論為基礎(chǔ),參考BS7799國(guó)際標(biāo)準(zhǔn)的觀念�,發(fā)展出完整的風(fēng)險(xiǎn)評(píng)估方法論,并協(xié)助多家公司建立信息安全體系��,以下分別說(shuō)明定義信息安全體系的范圍�、進(jìn)行風(fēng)險(xiǎn)評(píng)估、決定風(fēng)險(xiǎn)可接受水平以及選擇與設(shè)計(jì)控制措施的做法�����。
風(fēng)險(xiǎn)評(píng)估程序:閃電法
作者創(chuàng)作閃電法“風(fēng)險(xiǎn)評(píng)估程序(Risk Rvaluation Procedure)”大致上可分成幾個(gè)步驟����,首先在風(fēng)險(xiǎn)評(píng)估之前,必須先分析企業(yè)營(yíng)運(yùn)模式�,藉以決定整個(gè)信息安全體系的范圍,然后通過(guò)分析企業(yè)信息資產(chǎn)結(jié)構(gòu)���,清查所有信息資產(chǎn)��,予以分類�,并了解作業(yè)流程及安全控制現(xiàn)況,接下來(lái)必須針對(duì)每個(gè)信息資產(chǎn)類別���,評(píng)估資產(chǎn)價(jià)值高低���,資產(chǎn)本身弱點(diǎn)的面臨威脅的程序,并依據(jù)評(píng)估結(jié)果����,計(jì)算信息資產(chǎn)風(fēng)險(xiǎn)水平,對(duì)于各項(xiàng)資產(chǎn)高低不同的風(fēng)險(xiǎn)水平�����,則須依據(jù)“風(fēng)險(xiǎn)水平重大性理論(Theory of Risk Materiality)”決定安全控制的程序�,并采用作者依據(jù)BS7799國(guó)際標(biāo)準(zhǔn)的RA Tool的精神自行開發(fā)的工具,為每一項(xiàng)資產(chǎn)挑選應(yīng)予控制的項(xiàng)目�����,并制定相關(guān)信息安全標(biāo)準(zhǔn)���,作業(yè)程序,窗體等�����,最后再針對(duì)目前無(wú)法改進(jìn)的風(fēng)險(xiǎn)項(xiàng)目,制定“風(fēng)險(xiǎn)因應(yīng)對(duì)策”����,以下分別說(shuō)明每個(gè)步驟的簡(jiǎn)易內(nèi)容。
營(yíng)運(yùn)模式與安全體系范圍
從營(yíng)運(yùn)模式中必須分析企業(yè)經(jīng)營(yíng)環(huán)境概況���,與下游客戶及上游供貨商的關(guān)系��,核心部門及作業(yè)流程�,支持性部門扮演的角色以及管理單位決策重點(diǎn)��,然后依據(jù)企業(yè)策略或是面臨的挑戰(zhàn)�����,確定信息安全控管首要目標(biāo)���,次要目標(biāo)以及整個(gè)體系運(yùn)作范圍�。
信息資產(chǎn)結(jié)構(gòu)與資產(chǎn)清單
“信息資產(chǎn)結(jié)構(gòu)圖(Struture of Information Assets,SIA)”是作者從Arthur Andtesen“商業(yè)信息架構(gòu)” (Business Information Framework,BIF)的方法論以及網(wǎng)絡(luò)拓樸圖的概念衍生而來(lái)���,BIF堪稱全球分析信息系統(tǒng)配置及信息流的最佳方法����,SIA則進(jìn)一步針對(duì)信息資產(chǎn)及關(guān)系結(jié)構(gòu)做更明確的呈現(xiàn),通過(guò)信息資產(chǎn)結(jié)構(gòu)圖�,可在弄清企業(yè)有哪些信息資產(chǎn)項(xiàng)目及類別,包括硬件�����、軟件����、數(shù)據(jù)、文件����、人員等項(xiàng)目,同時(shí)確認(rèn)信息資產(chǎn)之間的關(guān)系���,有助于了解整個(gè)作業(yè)流程�����、目前有哪些控制措施以及執(zhí)行情形��,因而信息資產(chǎn)結(jié)構(gòu)圖是企業(yè)掌握信息資產(chǎn)狀誤解的重要工具���。
作業(yè)流程與信息作業(yè)控制現(xiàn)況了解
之前已提到,在確認(rèn)企業(yè)信息資產(chǎn)結(jié)構(gòu)狀況后����,必須進(jìn)一步了解作業(yè)流程以及各項(xiàng)控制措施執(zhí)行的現(xiàn)況,此部分可運(yùn)用前面提到的流程設(shè)計(jì)(Process Mapping)方法及流程圖����,為了協(xié)助企業(yè)內(nèi)部進(jìn)行有效溝通以及日后企業(yè)自行運(yùn)作信息安全體系考慮,建議在了解作業(yè)流程及控制現(xiàn)況時(shí)���,產(chǎn)生相關(guān)輔助性文件�,如“流程及控制說(shuō)明文件(Description of Process and Control,DPC)”,根據(jù)作者經(jīng)驗(yàn)�,DPC的功用很像ISO文件,對(duì)于資產(chǎn)安全體系持續(xù)運(yùn)作扮演很重要的角色��。
資產(chǎn)價(jià)值����、弱點(diǎn)、威脅的評(píng)估
藉由信息資產(chǎn)結(jié)構(gòu)圖����,可以得到企業(yè)所有信息資產(chǎn)的清單��,予以分類并產(chǎn)生“信息資產(chǎn)報(bào)告(Information Assert Report,IAR)”�����,再加上了解作業(yè)流程以及控制措施現(xiàn)況時(shí)���,會(huì)了解到各項(xiàng)信息資產(chǎn)的價(jià)值,本身的弱點(diǎn)及可的威脅���,接下來(lái)可以用“信息資產(chǎn)價(jià)值評(píng)估表(Information Asset Value Evaluation Template,IAVET)”以及“信息資產(chǎn)弱點(diǎn)評(píng)估表(Information Asset Volunability & Threat Evaluation Template,IAVTET)”這兩項(xiàng)工具��,評(píng)估每一項(xiàng)資產(chǎn)的價(jià)值�、弱點(diǎn)值���、威脅值��,作為計(jì)算風(fēng)險(xiǎn)水平的基礎(chǔ)��,這
項(xiàng)目經(jīng)理勝任力免費(fèi)測(cè)評(píng)PMQ上線啦�!快來(lái)測(cè)測(cè)你排多少名吧~
http://m.opto-elec.com.cn/pmqhd/index.html
