第3章资产与风险管理.pptVIP

第3章 資產與風險管理 大綱 何謂資訊資產 資訊安全的潛在威脅 反制對策(Countermeasures) 資訊安全與風險管理 何謂資訊資產 隨著企業組織對資訊科技的依賴加深， 所有內部/外部溝通的過程都可稱為資訊資產 隨手塗鴉 工作日誌 正式文件 文件草稿 電腦資訊 任何的公開媒介 正式會議 何謂資訊資產 社交工程(social engineering) 社交工程攻擊法是目前資訊安全管理制度(ISMS)所面臨的最大挑戰。 熟悉社交工程者不必是電腦高手 社交工程高手往往熟悉人性心理 被害者往往不知道自己已經洩密 即時通訊軟體(如MSN、QQ等)為社交工程的最大幫手 社交工程高手往往熟知心理學中的”社交心理學” 資訊安全的潛在威脅 威脅(Threat) 任何可能造成資訊系統損壞的事物皆稱威脅 資訊安全的潛在威脅 常見內部人員威脅 員工的操作錯誤 追求刺激型的員工 意識形態主導的員工 心有不滿的員工 琵琶別抱型 閒雜人等型 離職員工 過度積極的員工 資訊安全的潛在威脅 脆弱點(Vulnerability)又稱漏洞 在一個資訊系統中防護最脆弱的部份，通常也就是組織內部的系統安全漏洞 延伸思考 以同心圓放射思考，對於自己/家庭/班級(組織)而言，各自有哪些重要的資訊資產? 為何資訊安全主要的潛在威脅來自於組織內部人員? * 破壞電腦系統 破壞