三、T公司之风险管理威胁、脆弱点-PowerCam.pptVIP

資訊安全管理系統之規劃與建置研究 －以某大型企業之風險管理為例 莊煥銘　 韓富州 國立雲林科技大學資訊管理研究所 一、摘要 二、文獻探討 三、T公司之風險管理 (一)T公司介紹 (二)T公司風險評鑑 (三)T公司風險處理 四、結論與建議 資訊安全管理系統之規劃與建置研究 －以某大型企業之風險管理為例 隨著資訊科技的普及與快速進展，資訊安全已成為一個不容忽視的重要議題。如何善用有限的資源，有效落實資訊安全管理，是每個組織都要面臨的重大挑戰。 本研究以某大型企業(T公司)為例，以個案研究方式探討其依循此標準導入資訊安全管理系統(ISMS)專案期間，風險管理之規劃與建置。 一、摘要 T公司針對資訊資產先依機密性、完整性與可用性評估其價值，再配合資訊資產所面臨的威脅與脆弱點，可獲得資訊資產的風險值。 最後針對高度風險之資訊資產進行因應之安控措施，使風險符合組織內部可接受範圍。 一、摘要 (一).資訊安全管理系統 ISMS確保資訊資源的合法存取，到所有可能遭受資訊攻擊之階段，提供完整、未中斷的資訊系統運行。(樊國楨，2004) 二、文獻探討 (二)風險管理 風險管理通常包括風險評鑑、風險處理、風險接受及風險溝通。(CNS17799，2005) 二、文獻探討 (三) 資訊安全管理系統相關標準 CNS 27001規定在組織整體營運風險全景內建立、實作、運作、監視、審查、維持及改進已文件化之ISMS 的要求。(CNS27001，2005) 二、文獻探討 (一)T公司介紹 T公司屬國內前500大企業，正式員工人數逾三千人，為維護公司內部龐大的資訊資產，避免資訊資產遭受攻擊，導致資訊系統運行中斷，並保護資訊資產的機密性、完整性、可用性不受威脅，使可能的損害降至最低，確保企業組織的營運發展，提升整體資訊服務品質。 三、 T公司之風險管理 CIA 說明 機密性 使資訊不可用或不揭露給未經授權之個人、個體或過程的性質 完整性 保護資產的準確度和完全性的性質 可用性 經授權個體因應需求之可存取及可使用的性質 三、 T公司之風險管理 CIA說明 (二)T公司風險評鑑 三、 T公司之風險管理 適用於ISMS過程之PDCA模型 資訊資產： (1)文件與紀錄、 (2)電腦系統、 (3)人員、 (4)服務、 (5)實體設備與工作區域。 三、 T公司之風險管理 資訊資產依可造成的風險區分為4級： (1)公開資訊、 (2)內部資訊、 (3)機密資訊、 (4)極機密資訊。 三、 T公司之風險管理 風險值 = 資訊資產價值 × 威脅發生可能性 × 脆弱點利用難易度 資訊資產價值＝機密性評價 ＋ 完整性評價 ＋ 可用性評價 資產的鑑價亦考量到直接與間接損失，並將組織活動、功能和過程相關的風險全部相關活動列入評鑑。 三、 T公司之風險管理 名詞 解釋 威脅 為避免有潛在機會經由非法存取、破壞、洩密或竄改資料，而傷害系統之人員、行為或事件 脆弱點 資訊資產本身存在之弱點。可被利用而致資訊資產遭受威脅，進而發生有害事件或損害資訊資產 風險 指特定威脅利用脆弱點損害資訊資產之潛在可能 三、 T公司之風險管理 威脅、脆弱點、風險解釋表 (三)T公司風險處理 針對高風險之資訊資產，需同時訂定關鍵績效指標KPI (Key Performance Index)，做為建議實施控制措施是否有效之評定依據。 此KPI將成為管理審查之輸入，並至少需每半年檢視一次KPI之訂定是否適切及KPI之結果。 三、 T公司之風險管理 T公司風險分佈表 三、 T公司之風險管理 風險等級 資產個數 百分比 累計百分比 A 14 4% 4% B 7 2% 6% C 38 10% 16% D 330 84% 100% T公司的風險處理方法，有考量到風險確認、風險衡量、風險決策，而在管理階層審查會議中也針對風險評鑑、風險處理、風險接受的結果尋求了最經濟有效風險管理方式。 三、 T公司之風險管理 T公司在未推行ISMS前，對於公司資訊資產潛在的威脅與脆弱點並未有量化的數據統計，以致管理階層對於資訊安全議題普遍不重視。 自T公司導入ISMS後，資訊部門立即針對資訊資產潛在的威脅與脆弱點做出量化的風險數據統計及列風險可能引發的危機，並呈報管理階層審查，讓管理階層正視資訊安全問題。 三、 T公司之風險管理 在進行風險管理前，T公司風險等級為A(高度風險)之資訊資產共13項，由4個風險因素所組成。 風險管理針對整個作業流程進行追踪及改善後，風險等級為