资安风险管理概观(窄频).pdf

資安風險管理概觀 鍾豐智 講師 CISSP 、CISA 、CISM PMP 、BS 7799 LA 1 課程大綱 第一章 資安風險介紹 第二章 資安風險評鑑 第三章 資安風險處理 第四章 結論 2 第一章 資安風險介紹 1-1 風險概觀 1-2 造成風險之因素 1-3 風險管理 3 1-1 風險概觀 4 進行風險管理的重要性 資訊具有價值，必須受到適當的保護 – 保護資訊免受多種威脅的攻擊。 – 保證業務持續運作 ，將損失降至最低 。 100% 安全是一種過高的期望 – 依據風險等級，分配有限之資源加以控管。 – 必須透過控制措施，降低資訊風險到達可接受程度 。 系統化管理資訊風險 –建立 ISMS 必須管理資訊安全風險。 – 有效保障資訊安全之投資。 5 風險管理流程 風險管理 1. 準則與方法 3. 風險處理 2. 風險評鑑 3. 風險處理 2. 風險評鑑 識別資產與重要性 評估對策 識別資產與重要性 評估對策 威脅分析 選定控制措施 威脅分析 選定控制措施 不可接受風險 不可接受風險 弱點分析 執行處理方案 弱點分析 執行處理方案 計算風險 評估成效 計算風險 評估成效 6 1-2 造成風險之因素 7 認識資產 資訊資產對單位具有重要價值 ，資產受到破壞會 影響業務進行，甚至造成中斷或癱瘓。 資產是單位的資源或產出，可以是有形或無形 ， 包含 IT 與非 IT 。 – 有形資產，例如：資訊設備、 儲存