第十二章 风险管理实施范惯例课件.pptVIP

第十二章 風險管理實施範慣例 12-1 資訊安全政策 12-2 安全組織 12-3 資產分類與控制 12-4 人員安全 12-5 實體與環境安全 12-6 電腦和作業管理 12-7 存取控制 12-8 系統開發與維護 12-9 商務持續性管理 12-10 遵行 12-1 資訊安全政策 1．制定資訊安全政策，以對組織的資訊安全管理提供方向與支援︰在一個組織內，指導如何對資產，包括敏感性資訊進行管理、保護和分配的規則和指示。 2．為確保資訊安全政策持續的適宜性和有效性，組織要定期對其進行稽核與評價︰當影響風險評估的基礎發生變化時，應及時對政策進行檢視。 12-2 安全組織 資訊安全工作只有得到管理階層的重視，控制活動才能得以順利開展。 資訊安全三分靠技術，七分靠管理，建立有效的資訊安全管理組織機構是資訊安全管理的基礎。 不健全的安全管理機制是資訊安全最大的薄弱點。 12-2-1 資訊安全組織機構 1．建立資訊安全管理的議事決策機構——資訊安全管理論壇 2．在組織內部，建立一個內部協調機制便於資訊安全控制的實施 3．明確規定保護資訊資產和執行具體安全過程的責任 4．建立資訊處理設施授權程序 5．建立管道，獲取資訊安全的建議 6．加強與其他組織間的協作 7．對組織資訊安全進行獨立稽核 12-2-2 第三方存取安全 1．識別出第三方存取的風險 第三方存取是指除組織員工以外的其他組織或人員對組織資訊處理設施和資訊資產的存取。 2．第三方存取控制措施 根據對第三方存取風險評估的結果，採取適宜的控制方法對其進行安全管制。 12-2-3 外包控制 組織根據企業運作的需要，可能把資訊系統、網路和（或）桌面系統的管理和控制的部分或全部進行外包（委外），例如，系統的維護外包。 當組織將資訊處理的責任外包到另一個組織的時候，如果控制不當，會給組織帶來很大的安全風險。 12-3 資產分類與控制 資訊具有價值，應視為資產加以妥善保護。與資訊系統有關的資產包括：資料與文件、軟體資產、有形資產、人員和服務。 12-3-1 資產責任 （1）組織可根據商務運作流程和資訊系統網路拓撲結構識別出資訊資產 （2）根據資產的相對價值大小來確定關鍵資訊資產 （3）對每一項資訊資產組織的管理者應指定專人負責其使用和保護 （4）定期對資訊資產進行清查盤點 12-3-2 資訊分類 資訊分類（Information Classification）就是根據資訊的敏感性和重要程度，通過適當的分類方法將資訊劃分為不同的保護等級，明定保護要求，確保資訊安全。 1．根據資訊共用和資訊限制的商業運作要求，確定資訊分類原則 2．確定資訊標記和管理程序 12-4 人員安全 重大資訊安全事故通常來自組織內部，例如，員工受經濟利益驅使將公司技術圖樣出賣給競爭對手，利用內部系統從事經濟犯罪活動，也可能由於缺乏安全意識或操作技能導致錯誤操作，引起資訊系統故障等。 12-4-1 工作職責與人員考察 1．明確安全角色和職責，確保安全政策及安全活動的有效執行 2．實施人員考察策略 3．簽訂保密協定 12-4-2 用戶培訓 用戶（User）是指資訊或資訊系統使用者或操作者。來自用戶的資訊安全威脅，通常是由於安全意識淡薄、對資訊安全政策不理解或專業技能不足等原因。 為確保用戶意識到資訊安全的威脅和隱患，並在他們正常工作時遵守組織的資訊安全政策，需要組織提供必要的資訊安全教育與培訓。 12-4-3 安全事故與安全故障反應 1．確保及時發現問題 2．對事故、故障、薄弱點做出迅速、有序、有效的回應，減少損失 3．從事故中吸取教訓 4．建立懲戒機制 安全事故與故障的反應過程 12-5 實體與環境安全 實體與環境安全是保護資訊系統基礎設施、設備、媒體免受非法的實體存取、自然災害和環境危害。 實體與環境安全主要包括安全區域控制（或實體存取控制）、設備安全及媒體安全三個方面的安全控制。 12-5-1 安全區域 安全區域是需要被組織保護的商務場所和包含被保護資訊處理設施的實體區域，如系統機房、重要的辦公室，也可能是整個工作區域。 安全區域的實體保護是透過諸如圍牆、控制台、門鎖等能夠阻擋人員進入的關卡來實現的。 12-5-2 設備安全 設備可能會受到環境因素（如火災、電磁干擾）、未授權存取、供電異常、設備故障等方面的威脅，使組織面臨資產損失、損壞、敏感資訊洩漏或商業活動中斷的風險，因此，設備安全應考慮設備位置、供電、電纜、設備維護、處所外的設備及設備處置與再利用方面的安全控制。 12-5-3 通用控制 對於資訊資產（如文件、筆記型電腦）的遷移不進行適當控制，資產會產生流失，甚至產生商業機密洩漏。 為防止資訊及資訊處理設施的洩漏、被竊或毀