4 通用風(fēng)險對策矩陣(General Risk Treatment Matrix)

在計算機每項資產(chǎn)風(fēng)險值后，必須決定各個重大性及可能性等及的資產(chǎn)的風(fēng)險對策，因而作才從或有損失會計處理原則，類推出通用風(fēng)險對策矩陣，作者依據(jù)經(jīng)驗，將控制措施依效果區(qū)分為三大類：

--- 預(yù)防控制：人員執(zhí)行作業(yè)后作業(yè)之前，必須先完成確保資產(chǎn)安全事件不會發(fā)生的控制程序，獲得核準(zhǔn)后才能開始工作。
--- 一般控制：人員執(zhí)行作業(yè)之前，無須完成確保資產(chǎn)安全事件不會發(fā)生的控制程序，但必須適時回報主管，或是留下記錄以供查核驗證。
--- 補償控制：以事后定期檢查的方式確認(rèn)人沒是否依規(guī)定執(zhí)行工作，或是通過教育訓(xùn)練，增強人員的信息安全認(rèn)知。

接下來針對不同的風(fēng)險值，訂定信息資產(chǎn)控制程序，基本上區(qū)分成四種控制程序：

--- 預(yù)防控制：對于價值搞、風(fēng)險發(fā)生可能性高的資產(chǎn)，應(yīng)采取預(yù)防控制。
--- 一般控制：對于價值高、風(fēng)險發(fā)生可能性為中等，或是價值中等而風(fēng)險發(fā)生可能性高的資產(chǎn)，應(yīng)采取一般控制措施。
--- 補償控制：對于價值高但是風(fēng)險發(fā)生可能性為低，或是價值與風(fēng)險發(fā)生可能性皆為中等，而風(fēng)險發(fā)生可能性為高但是價值低的資產(chǎn)，可采取補償性控制措施。
--- 暫不控制：其他風(fēng)險值的資產(chǎn)則可以暫不控制。

選擇控制

在得到各項資產(chǎn)風(fēng)險值后，必須先決定每項資產(chǎn)應(yīng)予控制的項目，再依據(jù)通用風(fēng)險對策矩陣，決定每一個控制項目的方式以及必須達(dá)成的效果，因而如何選擇每項資產(chǎn)應(yīng)彩的控件目，是信息安全體系導(dǎo)入另一個重要問題。

在作者的項目經(jīng)驗中，發(fā)現(xiàn)BS7799同際標(biāo)準(zhǔn)所提供用來選擇控制的工具“Risk Analysis Tool,RA Tool”,在實務(wù)上可行性不高，因而作者依據(jù)RA Tool的邏輯，另外開發(fā)了一套工具軟件，稱之為“超簡單工具(Super Sample Tool,SST)”，通過此項工具，只要輸入各資產(chǎn)適用的弱點，威脅項目以及風(fēng)險值，系統(tǒng)立即產(chǎn)生資產(chǎn)應(yīng)采用的控件目以及控制程度（須達(dá)成效果的數(shù)據(jù)等）。

風(fēng)險相應(yīng)計劃與信息安全標(biāo)準(zhǔn)、作業(yè)程序、窗體：

決定每項資產(chǎn)應(yīng)采用的控件目以及控制程序后，企業(yè)必須參考信息安全專定意見，制定詳細(xì)的信息安全標(biāo)準(zhǔn)、各項作業(yè)程序以及窗體，在制定這些細(xì)項規(guī)則時，必須確定每個控件目皆達(dá)到風(fēng)險對策矩陣中要求的控制程度，如果目前企業(yè)由于經(jīng)營環(huán)境限制，無法達(dá)成控制程度，必須針對這些無法降低水平的風(fēng)險項目，擬定改善計劃，即“風(fēng)險相應(yīng)對策(Risk Treatment plan)”,以便在可預(yù)期有未來將到可接愛水平，減少意外事件對企業(yè)造成的傷害。

信息安全體系與運作

信息安全體系在建立之后，必須持續(xù)維護運作，以確保效果，然而企業(yè)在建立項目結(jié)束之后，常常因為不知道該如何維護信息安全體系，一段時間之后，資產(chǎn)安全體系去了原有效果，企業(yè)又回去高風(fēng)險的經(jīng)營環(huán)境，這此，作者設(shè)計出特有的“風(fēng)險評估作業(yè)程序(Risk Evaluation Procedure,REP)”,協(xié)助企業(yè)建立信息安全組織，加上風(fēng)險分析技術(shù)移轉(zhuǎn)，進供資產(chǎn)安全體系動轉(zhuǎn)輔導(dǎo)以及定期檢查與意見提供等方法，協(xié)助信息安全體系在企業(yè)內(nèi)部真正落實。

【?發(fā)表評論?0條?】