作者以提供流程與管理顧問服務(wù)的方法論為基礎(chǔ),參考BS7799國(guó)際標(biāo)準(zhǔn)的觀念,發(fā)展出完整的風(fēng)險(xiǎn)評(píng)估方法論,并協(xié)助多家公司建立信息安全體系,以下分別說明定義信息安全體系的范圍、進(jìn)行風(fēng)險(xiǎn)評(píng)估、決定風(fēng)險(xiǎn)可接受水平以及選擇與設(shè)計(jì)控制措施的做法。
風(fēng)險(xiǎn)評(píng)估程序:閃電法
作者創(chuàng)作閃電法“風(fēng)險(xiǎn)評(píng)估程序(Risk Rvaluation Procedure)”大致上可分成幾個(gè)步驟,首先在風(fēng)險(xiǎn)評(píng)估之前,必須先分析企業(yè)營(yíng)運(yùn)模式,藉以決定整個(gè)信息安全體系的范圍,然后通過分析企業(yè)信息資產(chǎn)結(jié)構(gòu),清查所有信息資產(chǎn),予以分類,并了解作業(yè)流程及安全控制現(xiàn)況,接下來必須針對(duì)每個(gè)信息資產(chǎn)類別,評(píng)估資產(chǎn)價(jià)值高低,資產(chǎn)本身弱點(diǎn)的面臨威脅的程序,并依據(jù)評(píng)估結(jié)果,計(jì)算信息資產(chǎn)風(fēng)險(xiǎn)水平,對(duì)于各項(xiàng)資產(chǎn)高低不同的風(fēng)險(xiǎn)水平,則須依據(jù)“風(fēng)險(xiǎn)水平重大性理論(Theory of Risk Materiality)”決定安全控制的程序,并采用作者依據(jù)BS7799國(guó)際標(biāo)準(zhǔn)的RA Tool的精神自行開發(fā)的工具,為每一項(xiàng)資產(chǎn)挑選應(yīng)予控制的項(xiàng)目,并制定相關(guān)信息安全標(biāo)準(zhǔn),作業(yè)程序,窗體等,最后再針對(duì)目前無法改進(jìn)的風(fēng)險(xiǎn)項(xiàng)目,制定“風(fēng)險(xiǎn)因應(yīng)對(duì)策”,以下分別說明每個(gè)步驟的簡(jiǎn)易內(nèi)容。
營(yíng)運(yùn)模式與安全體系范圍
從營(yíng)運(yùn)模式中必須分析企業(yè)經(jīng)營(yíng)環(huán)境概況,與下游客戶及上游供貨商的關(guān)系,核心部門及作業(yè)流程,支持性部門扮演的角色以及管理單位決策重點(diǎn),然后依據(jù)企業(yè)策略或是面臨的挑戰(zhàn),確定信息安全控管首要目標(biāo),次要目標(biāo)以及整個(gè)體系運(yùn)作范圍。
信息資產(chǎn)結(jié)構(gòu)與資產(chǎn)清單
“信息資產(chǎn)結(jié)構(gòu)圖(Struture of Information Assets,SIA)”是作者從Arthur Andtesen“商業(yè)信息架構(gòu)” (Business Information Framework,BIF)的方法論以及網(wǎng)絡(luò)拓樸圖的概念衍生而來,BIF堪稱全球分析信息系統(tǒng)配置及信息流的最佳方法,SIA則進(jìn)一步針對(duì)信息資產(chǎn)及關(guān)系結(jié)構(gòu)做更明確的呈現(xiàn),通過信息資產(chǎn)結(jié)構(gòu)圖,可在弄清企業(yè)有哪些信息資產(chǎn)項(xiàng)目及類別,包括硬件、軟件、數(shù)據(jù)、文件、人員等項(xiàng)目,同時(shí)確認(rèn)信息資產(chǎn)之間的關(guān)系,有助于了解整個(gè)作業(yè)流程、目前有哪些控制措施以及執(zhí)行情形,因而信息資產(chǎn)結(jié)構(gòu)圖是企業(yè)掌握信息資產(chǎn)狀誤解的重要工具。
作業(yè)流程與信息作業(yè)控制現(xiàn)況了解
之前已提到,在確認(rèn)企業(yè)信息資產(chǎn)結(jié)構(gòu)狀況后,必須進(jìn)一步了解作業(yè)流程以及各項(xiàng)控制措施執(zhí)行的現(xiàn)況,此部分可運(yùn)用前面提到的流程設(shè)計(jì)(Process Mapping)方法及流程圖,為了協(xié)助企業(yè)內(nèi)部進(jìn)行有效溝通以及日后企業(yè)自行運(yùn)作信息安全體系考慮,建議在了解作業(yè)流程及控制現(xiàn)況時(shí),產(chǎn)生相關(guān)輔助性文件,如“流程及控制說明文件(Description of Process and Control,DPC)”,根據(jù)作者經(jīng)驗(yàn),DPC的功用很像ISO文件,對(duì)于資產(chǎn)安全體系持續(xù)運(yùn)作扮演很重要的角色。
資產(chǎn)價(jià)值、弱點(diǎn)、威脅的評(píng)估
藉由信息資產(chǎn)結(jié)構(gòu)圖,可以得到企業(yè)所有信息資產(chǎn)的清單,予以分類并產(chǎn)生“信息資產(chǎn)報(bào)告(Information Assert Report,IAR)”,再加上了解作業(yè)流程以及控制措施現(xiàn)況時(shí),會(huì)了解到各項(xiàng)信息資產(chǎn)的價(jià)值,本身的弱點(diǎn)及可的威脅,接下來可以用“信息資產(chǎn)價(jià)值評(píng)估表(Information Asset Value Evaluation Template,IAVET)”以及“信息資產(chǎn)弱點(diǎn)評(píng)估表(Information Asset Volunability & Threat Evaluation Template,IAVTET)”這兩項(xiàng)工具,評(píng)估每一項(xiàng)資產(chǎn)的價(jià)值、弱點(diǎn)值、威脅值,作為計(jì)算風(fēng)險(xiǎn)水平的基礎(chǔ),這
項(xiàng)目經(jīng)理勝任力免費(fèi)測(cè)評(píng)PMQ上線啦!快來測(cè)測(cè)你排多少名吧~
http://m.opto-elec.com.cn/pmqhd/index.html