作者以提供流程與管理顧問服務(wù)的方法論為基礎(chǔ)���,參考BS7799國(guó)際標(biāo)準(zhǔn)的觀念����,發(fā)展出完整的風(fēng)險(xiǎn)評(píng)估方法論�����,并協(xié)助多家公司建立信息安全體系����,以下分別說明定義信息安全體系的范圍、進(jìn)行風(fēng)險(xiǎn)評(píng)估���、決定風(fēng)險(xiǎn)可接受水平以及選擇與設(shè)計(jì)控制措施的做法����。
風(fēng)險(xiǎn)評(píng)估程序:閃電法
作者創(chuàng)作閃電法“風(fēng)險(xiǎn)評(píng)估程序(Risk Rvaluation Procedure)”大致上可分成幾個(gè)步驟,首先在風(fēng)險(xiǎn)評(píng)估之前��,必須先分析企業(yè)營(yíng)運(yùn)模式�,藉以決定整個(gè)信息安全體系的范圍,然后通過分析企業(yè)信息資產(chǎn)結(jié)構(gòu)���,清查所有信息資產(chǎn)����,予以分類���,并了解作業(yè)流程及安全控制現(xiàn)況�����,接下來必須針對(duì)每個(gè)信息資產(chǎn)類別,評(píng)估資產(chǎn)價(jià)值高低�,資產(chǎn)本身弱點(diǎn)的面臨威脅的程序,并依據(jù)評(píng)估結(jié)果���,計(jì)算信息資產(chǎn)風(fēng)險(xiǎn)水平�,對(duì)于各項(xiàng)資產(chǎn)高低不同的風(fēng)險(xiǎn)水平,則須依據(jù)“風(fēng)險(xiǎn)水平重大性理論(Theory of Risk Materiality)”決定安全控制的程序����,并采用作者依據(jù)BS7799國(guó)際標(biāo)準(zhǔn)的RA Tool的精神自行開發(fā)的工具,為每一項(xiàng)資產(chǎn)挑選應(yīng)予控制的項(xiàng)目���,并制定相關(guān)信息安全標(biāo)準(zhǔn)��,作業(yè)程序��,窗體等�,最后再針對(duì)目前無法改進(jìn)的風(fēng)險(xiǎn)項(xiàng)目����,制定“風(fēng)險(xiǎn)因應(yīng)對(duì)策”,以下分別說明每個(gè)步驟的簡(jiǎn)易內(nèi)容��。
營(yíng)運(yùn)模式與安全體系范圍
從營(yíng)運(yùn)模式中必須分析企業(yè)經(jīng)營(yíng)環(huán)境概況����,與下游客戶及上游供貨商的關(guān)系,核心部門及作業(yè)流程�����,支持性部門扮演的角色以及管理單位決策重點(diǎn),然后依據(jù)企業(yè)策略或是面臨的挑戰(zhàn)�����,確定信息安全控管首要目標(biāo)����,次要目標(biāo)以及整個(gè)體系運(yùn)作范圍。
信息資產(chǎn)結(jié)構(gòu)與資產(chǎn)清單
“信息資產(chǎn)結(jié)構(gòu)圖(Struture of Information Assets,SIA)”是作者從Arthur Andtesen“商業(yè)信息架構(gòu)” (Business Information Framework,BIF)的方法論以及網(wǎng)絡(luò)拓樸圖的概念衍生而來����,BIF堪稱全球分析信息系統(tǒng)配置及信息流的最佳方法,SIA則進(jìn)一步針對(duì)信息資產(chǎn)及關(guān)系結(jié)構(gòu)做更明確的呈現(xiàn)���,通過信息資產(chǎn)結(jié)構(gòu)圖���,可在弄清企業(yè)有哪些信息資產(chǎn)項(xiàng)目及類別,包括硬件���、軟件、數(shù)據(jù)��、文件、人員等項(xiàng)目�����,同時(shí)確認(rèn)信息資產(chǎn)之間的關(guān)系�����,有助于了解整個(gè)作業(yè)流程�����、目前有哪些控制措施以及執(zhí)行情形���,因而信息資產(chǎn)結(jié)構(gòu)圖是企業(yè)掌握信息資產(chǎn)狀誤解的重要工具��。
作業(yè)流程與信息作業(yè)控制現(xiàn)況了解
之前已提到���,在確認(rèn)企業(yè)信息資產(chǎn)結(jié)構(gòu)狀況后,必須進(jìn)一步了解作業(yè)流程以及各項(xiàng)控制措施執(zhí)行的現(xiàn)況��,此部分可運(yùn)用前面提到的流程設(shè)計(jì)(Process Mapping)方法及流程圖�����,為了協(xié)助企業(yè)內(nèi)部進(jìn)行有效溝通以及日后企業(yè)自行運(yùn)作信息安全體系考慮,建議在了解作業(yè)流程及控制現(xiàn)況時(shí)�,產(chǎn)生相關(guān)輔助性文件,如“流程及控制說明文件(Description of Process and Control,DPC)”,根據(jù)作者經(jīng)驗(yàn)��,DPC的功用很像ISO文件�����,對(duì)于資產(chǎn)安全體系持續(xù)運(yùn)作扮演很重要的角色�。
資產(chǎn)價(jià)值、弱點(diǎn)�、威脅的評(píng)估
藉由信息資產(chǎn)結(jié)構(gòu)圖,可以得到企業(yè)所有信息資產(chǎn)的清單���,予以分類并產(chǎn)生“信息資產(chǎn)報(bào)告(Information Assert Report,IAR)”����,再加上了解作業(yè)流程以及控制措施現(xiàn)況時(shí)�����,會(huì)了解到各項(xiàng)信息資產(chǎn)的價(jià)值���,本身的弱點(diǎn)及可的威脅����,接下來可以用“信息資產(chǎn)價(jià)值評(píng)估表(Information Asset Value Evaluation Template,IAVET)”以及“信息資產(chǎn)弱點(diǎn)評(píng)估表(Information Asset Volunability & Threat Evaluation Template,IAVTET)”這兩項(xiàng)工具���,評(píng)估每一項(xiàng)資產(chǎn)的價(jià)值��、弱點(diǎn)值��、威脅值,作為計(jì)算風(fēng)險(xiǎn)水平的基礎(chǔ)��,這兩項(xiàng)工具是作者自行開發(fā)��,全球獨(dú)一無二的方法論��。
風(fēng)險(xiǎn)水平重大性理論
在得到每項(xiàng)資產(chǎn)風(fēng)險(xiǎn)值之后����,由于風(fēng)險(xiǎn)值有高有低,在成本與效益考慮下�,企業(yè)必須決定可接受風(fēng)險(xiǎn)水平,并針對(duì)風(fēng)險(xiǎn)值高于此風(fēng)險(xiǎn)水平的資產(chǎn)項(xiàng)目設(shè)計(jì)適當(dāng)控制措施�,所以可接受風(fēng)險(xiǎn)水平的決定在建立信息安全體系中扮演相當(dāng)生要角色,然而目前在信息安全領(lǐng)域�,不論是學(xué)術(shù)界或?qū)崉?wù)界都未能針對(duì)如何決定可接受風(fēng)險(xiǎn)水平提出合理的觀念或方法���,為此作者藉用會(huì)計(jì)原則中對(duì)于會(huì)計(jì)確認(rèn)的門檻,與或有事項(xiàng)會(huì)計(jì)處理以及東方學(xué)派的財(cái)會(huì)計(jì)理論����,構(gòu)思出全球獨(dú)一無二的“風(fēng)險(xiǎn)水平重大性理論”,并以數(shù)學(xué)推論方式強(qiáng)化立論基礎(chǔ)�,作為企業(yè)決定名項(xiàng)資產(chǎn)控制方式的依據(jù)。
1 資產(chǎn)安全事件對(duì)企業(yè)造成損失的決定方式
信息安全體系目的在于防范資產(chǎn)安全事件對(duì)企業(yè)造成的損失�����,所以對(duì)于會(huì)造成愈大損失的資產(chǎn)或事件�����,愈要加強(qiáng)控管��,依據(jù)BS7799國(guó)際標(biāo)準(zhǔn)于會(huì)造成愈大損失的資產(chǎn)或事件���,愈要加強(qiáng)控管�,依據(jù)BS7799國(guó)際標(biāo)準(zhǔn)的看法�,資產(chǎn)價(jià)值愈高者,遭受破壞時(shí)對(duì)企業(yè)造成的損失愈大��,而資產(chǎn)價(jià)值之高低主要由資產(chǎn)的機(jī)密性、真確性�����、可用性決定���,另一方面,BS7799認(rèn)為資產(chǎn)本身的弱點(diǎn)�����,在面對(duì)的威脅愈大時(shí)����,造成損失的可能性愈高,故資產(chǎn)安全事伯對(duì)企業(yè)造成損害的期望值�����,是由資產(chǎn)的機(jī)密性�,完整性,可用性��,弱點(diǎn)及威脅這五項(xiàng)因素所組成���。
2 一般公認(rèn)會(huì)計(jì)原則
信息安全事件對(duì)企業(yè)造成損失的期望值的會(huì)計(jì)處理�,可以從兩個(gè)角度來看,一個(gè)是或有事項(xiàng)的處理�,一個(gè)是會(huì)計(jì)確認(rèn)的重大性:
---或有事項(xiàng)(Contingencies)
所謂或有事項(xiàng),是指未來某件事的發(fā)生���,可能為企業(yè)帶來利得或損失���,也就是具有不確定性,針對(duì)或有損失部分���,會(huì)計(jì)處理主要視損失可能性以及能否合理估計(jì)而定��,只有當(dāng)或有損失很可能發(fā)生��,且金額能合理估計(jì)時(shí)����,才給�、予以估計(jì)入賬,或是在財(cái)務(wù)報(bào)表上附注揭露���。
從信息安全事件的角度來看�,資產(chǎn)價(jià)值愈高,表示與企業(yè)的獲利或損失的關(guān)聯(lián)性愈強(qiáng)�,造成的損失金額也愈能合理估計(jì),例如就提供電信及網(wǎng)絡(luò)服務(wù)的寬帶業(yè)者而言��,收入來源為客戶使用其服務(wù)的次數(shù)與時(shí)間�,因而網(wǎng)絡(luò)聯(lián)機(jī)的價(jià)值最高的信息資產(chǎn),如果此項(xiàng)資產(chǎn)遭到破壞�����,導(dǎo)致網(wǎng)絡(luò)聯(lián)機(jī)的中斷��,可以依據(jù)寬帶業(yè)者過去的營(yíng)運(yùn)數(shù)據(jù)�����,從中斷長(zhǎng)短來合理估算損失金額����。
其次����,信息安全事件發(fā)生概率,主要由信息資產(chǎn)本身的弱點(diǎn)與面對(duì)的威脅決定����,因而弱點(diǎn)與威脅愈大者����,損失的可能性就愈高����。
--- 會(huì)計(jì)確認(rèn)的重大性門檻(Materiality)
就會(huì)計(jì)信息而言所謂重大性是指當(dāng)一項(xiàng)會(huì)計(jì)信息被遺漏或錯(cuò)誤表達(dá)時(shí),可能使依賴該信息的人所做的判斷受到影響或改變���。換言之��,只要該信息會(huì)影響到投資人決策����,即為重大信息而應(yīng)予表達(dá)����,通常如果屬于不尋常、不適當(dāng)����,或?qū)儆趯?dǎo)致未來情況改變的預(yù)兆,皆為重要事項(xiàng),從信息安全角度來看�����,如果企業(yè)缺乏適當(dāng)控制措施來預(yù)防資產(chǎn)安全事件造成的損害�,代表企業(yè)經(jīng)營(yíng)環(huán)境風(fēng)險(xiǎn)比較高,如此將會(huì)降低投資人對(duì)其股票價(jià)值的評(píng)價(jià)�����,因而資產(chǎn)安全事件可能造成的損害就應(yīng)予揭露�����,而且從內(nèi)部控制角度來看�,也就予適當(dāng)?shù)目刂啤?br>
前而已說明����,信息資產(chǎn)遭破壞對(duì)企業(yè)造成損失的高低,是由資產(chǎn)的機(jī)密性����、真確性、可用性決定��,而破壞發(fā)生的概率,則是由資產(chǎn)本身的弱點(diǎn)���,與面對(duì)的威脅決定�����,因而從重大性角度來看�,資產(chǎn)安全事件對(duì)企業(yè)造成損失的重大性��,可以用資產(chǎn)價(jià)值的重大性以及弱點(diǎn)與威脅的重大性代表����。
3 信息資產(chǎn)風(fēng)險(xiǎn)重大性的決定
在引進(jìn)會(huì)計(jì)原則后,信息資產(chǎn)風(fēng)險(xiǎn)重大性可拆成三個(gè)部分來決定:
---第一部分是信息資產(chǎn)的機(jī)密性���、完整性���、可用性、弱點(diǎn)���、與威脅五個(gè)項(xiàng)目權(quán)值的決定����。此部分是使用作者設(shè)計(jì)的“信息資產(chǎn)價(jià)值評(píng)估表Informarion Asset Value Evaluation Template,IAVET”以及“信息資產(chǎn)弱點(diǎn)評(píng)估表Informarion Asset Vulnerability & threat Evaluation Template,IAVET”這兩項(xiàng)目工具,由企業(yè)參與評(píng)估而決定���,這兩項(xiàng)工具是以資產(chǎn)價(jià)值的理論���,弱點(diǎn)權(quán)值理論以及威脅權(quán)值的理論等三個(gè)理論做出來的。
---第二個(gè)部分是資產(chǎn)價(jià)值重大性以及損失實(shí)現(xiàn)的可能性����,這兩個(gè)數(shù)值是以公式計(jì)算出來的。
---第三個(gè)部分是風(fēng)險(xiǎn)水平重大性門檻�,是依據(jù)會(huì)計(jì)原則中或有損失及會(huì)計(jì)確認(rèn)的重大性處理原則決定。
目前作者以質(zhì)化方式劃分重大性等級(jí)����,在信息資產(chǎn)價(jià)值部分,C�����、I����、A三項(xiàng)指標(biāo)中�����,至少有兩項(xiàng)重大性為高,且另一項(xiàng)重大性為中等以上者(相加之值為8或9者)��,叛定其整體價(jià)值為高�,而C、I���、A三項(xiàng)指標(biāo)中����,至少有兩項(xiàng)重大性為低����,且加一項(xiàng)重大性為中等以下者(相加之值為3或4者),叛定其整體價(jià)值為低�,至于C、I����、A三項(xiàng)指標(biāo)的數(shù)值不屬于其他二者(相加之值為5、6��、7者)����,叛定其整體價(jià)值為中���。
就風(fēng)險(xiǎn)可能性部分,威脅與弱點(diǎn)兩個(gè)項(xiàng)目中至少有一項(xiàng)其可能性為高�,且另一項(xiàng)之可能性為中等以上者(相乘之值為6或9者),判斷其風(fēng)險(xiǎn)可能性為高�。威脅與弱點(diǎn)兩個(gè)項(xiàng)目中至少有一項(xiàng)其可能性為低,且另一項(xiàng)這可能性為中等以下者(相乘之值為1或2者)�����,判斷其風(fēng)險(xiǎn)可能性為低�,至于威脅與弱點(diǎn)相乘之?dāng)?shù)值不屬于以上二者,判斷其風(fēng)險(xiǎn)可能性為中����。
【?發(fā)表評(píng)論?0條?】