第04課- 風險評鑑.pptVIP

資訊安全導論課程教材 資訊安全管理 委辦單位：教育部顧問室資通安全聯盟 執行單位：淡江大學資訊管理學系 課程模組大綱 Module 1：資訊安全管理概論 Module 2：資訊安全風險 Module 3：先期規劃 Module 4：風險評鑑 Module 5：資訊安全政策 Module 6：資訊安全管理組織 Module 7：資產管理 Module 8：人力資源管理 Module 9：實體與環境安全管理 Module 10：通信與作業管理 Module 11：存取控制 Module 12：資訊系統的取得、開發及維護 Module 13：資安事故管理 Module 14：營運持續管理 Module 15：法令、政策、標準、及技術的符合性 Module 16：內部稽核 Module 17：管理審查 Module 18：持續改進 Module 4：風險評鑑 學習目的 本模組目的在於學習資產分類及盤點、鑑別資產價值、鑑別資產威脅、鑑別資產弱點 、計算資產風險 、決定可接受風險等級、規劃選擇控制措施，以及研擬風險處理計畫等。 本模組的重點是瞭解資訊資產風險評鑑相關之重要工作，包括：資產分類及盤點、鑑別資產價值、威脅與弱點 、計算資產風險 、決定可接受風險等級、規劃選擇控制措施、研擬風險處理計畫等，以及瞭解如何以最小成本評鑑出組織內眾多資產項目之適當風險。 Module 4：風險評鑑 Module 4-1：資產分類及盤點 Module 4-2：鑑別資產價值 Module 4-3：鑑別資產威脅 Module 4-4：鑑別資產弱點 Module 4-5：計算資產風險 Module 4-6：決定可接受風險等級 Module 4-7：規劃選擇控制措施 Module 4-8：研擬風險處理計畫 參考文獻 習題 Module 4-1：資產分類及盤點 Module 4-1：資產分類及盤點 風險評鑑的對象是資產，也是風險評鑑的主體。 風險評鑑是衡量資產目前所承擔的風險。 如果風險評估的結果超過可接受之風險值，就表示該項資產需要特別的防護措施， 否則將對組織之生存造成影響。 要評鑑資產風險 首先要了解組織有那些資產，因此要先進行資產之分類與盤點。 而進行資產分類及盤點前，應先確認其範圍。 有了明確範圍後，可以避免一些不必要的工作。 一、資產之分類 二、資產之盤點 一、資產之分類 將資產適當分類，可以簡化風險評鑑的過程。 因為同性質的資產，其弱點、威脅、控制措施等，可能相當類似。 例如，可以將資訊資產分類如下： 硬體： 如主機、印表機、個人電腦或交換器等。 軟體： 如應用系統、作業系統或資料庫管理系統等。? 文件 如合約、簽呈、操作手冊或程式設計規格書等。 資料 如存放於資料庫之資料、文件電子檔案或傳輸中的資料等。 人員 如系統管理員、資料庫管理員、委外人員、清潔工等。 服務 如電力、水、瓦斯或通訊服務等。 資產如何分類或是分成幾類，可依據所盤點範圍的多寡來判斷。 當範圍內所包含的資產項目越多， 則可以細分為更多類別； 反之，則可減少分類類別。 二、資產之盤點 資產盤點需確實。 資產盤點後所產生資產清單之完整性，與後續資產風險評估的完整性有著密切的關聯性。? 盤點資產有許多種的方法，例如： 1. 直覺式盤點法 2. 流程式盤點法 1. 直覺式盤點法 由盤點範圍內的相關人員，想盡一切方法填寫資產清單。 使用此方法盤點時，資產清單的完整性 會與填寫人員對業務的熟悉程度成正相關， 而與盤點範圍大小成負相關。 換言之，範圍越小或人員越資深時，資產清單會越完整。 2. 流程式盤點法 流程式的盤點，是屬於比較有邏輯性的盤點方式。 首先，會先盤點範圍內的所有服務項目； 接著，將每一個服務的開始到結束所使用的資訊資產填寫到資產清單。如： 輸入的表單、 處理的設備、 使用的服務、 人員的處理或產出等， Module 4-2：鑑別資產價值 Module 4-2：鑑別資產價值 資產相關人員可以區分為三類： 1.資產的擁有者： 擁有該項資產之人員，對於資產有權做最適當之授權。 2.資產的使用者： 使用該項資產之人員，可以從使用者角度判斷該項資產之重要等級。 3.資產的保管者： 責保管該項資產之人員，對資產特性清楚，可提供適當管理上的建議。 鑑別資產價值時，可考慮下列性質（Property）： 可用性（Availability）、 完整性（Integrity）、 機密性（Confidentiality）。 有些資產可能同時具備上述三個性質， 例如：存放於資料庫的客戶資料，該資料的可用性、完整性及機密性，都是屬於重要考量。 有些資產可能只具備其中一項或兩項性質， 例如：主機硬體設備，可僅考慮其可用性。 資產價值高低的