資訊科技風險管理.ppt

本章大綱 13.1 網路通訊環境之威脅與挑戰 13.2 企業與IT風險架構 13.3 企業資訊科技風險管理 13.4 資訊科技風險管理制度之導入與推行 13.5 資訊安全管理 網路通訊環境之威脅與挑戰(1/6) 現今整個電腦環境因為網際網路的蓬勃發展，對資訊風險產生無比的挑戰，因為： 有更多破解功能強大的網路入侵工具 電腦病毒橫行 大量連接點需要監測 跨平台管理 系統及網路的複雜度 管理人員對於安全概念參差不齊 實例說明：電腦犯罪實例 實例說明：辦公用個人電腦被植入木馬程式 網路通訊環境之威脅與挑戰(2/6) COSO企業風險管理整合架構 目標設定(Objective setting) 企業風險管理確保在實際執行時能夠達成以下四個項目目標： 策略的目標 營運的目標 報告的目標 法令遵循的目標 圖13-1 企業風險管理整合架構（ERM Framework） 網路通訊環境之威脅與挑戰(3/6) 事件確認(Event identification) 風險評估(Risk assessment) 風險評估係指企業辨認風險並加以分析之過程，以作為該風險應如何管理之依據。 風險回應(Risk response) 在選定風險回應措施之後必須擬定風險回應之計劃。 控制活動(Control activities) 控制活動乃是控制性的作業活動。 資訊及溝通(Information and communication) 係指對有關資訊以適時有效之方式予以辨識、蒐集並傳遞予相關人士，使其有效履行其責任。 網路通訊環境之威脅與挑戰(4/6) 資訊及溝通(Information and communication) 係指對有關資訊以適時有效之方式予以辨識、蒐集並傳遞予相關人士，使其有效履行其責任。 監督(Monitoring) 監督係評估內部控制執行品質之過程。 若未做好風險管理可能的損害有以下幾點： 阻礙組織創造之價值或侵蝕組織現有價值 無法有效連結策略、風險、風險回應 非預期風險及損失 產生組織或企業危機 網路通訊環境之威脅與挑戰(5/6) 發生組織倒閉 投資人、企業界人士及其他利害關係人遭受巨大損失。 實例說明：家用產品公司使命、策略性目標、風險胃納與風險容忍之關係 COBIT 是國際電腦稽核協會(ISACA)完成之一套實用的資訊系統稽核與控制標準，用以提供CISA與CISM人員執行業務時之參考。 圖13-2 風險管理的理念模式 圖13-3 使命、目標、風險胃納與風險容忍度之關係 圖13-4 COBIT組成架構 網路通訊環境之威脅與挑戰(6/6) COBIT設計為下列三種特殊對象使用： 管理階層 使用者 稽核人員 實例說明：KPMG與英國審計總署風險管理最佳實務 企業資訊科技風險管理(1/2) 企業IT風險 受IT資產與程序影響的四項企業風險，包括不能達成以下四個目標的風險： 可用(Availability)： 存取(Access) 正確(Accuracy) 靈活(Agility) 可用的風險 使用內部資源 實例說明：銀行提款離線備援程序 使用外部資源 圖13-5 企業資訊科技風險管理 企業資訊科技風險管理(2/2) 存取的風險 正確的風險 實例說明：資料正確性是電腦的錯還是人的錯 靈活(Agility)的風險 實例說明：IT風險因子調查 圖13-6 IT風險金字塔 圖13-7 IT風險管理應由各事業單位與專責單位分工負責 圖13-8 公司風險描述圖 資訊科技風險管理制度之導入與推行 如何導入IT風險管理制度 一個組織推行導入IT風險管理制度可歸納成以下四方向： 型塑風險管理文化 培養風險意識，建立風險圖 提升風險管理能量 支持系統 實例說明 實例說明：Motorola安全風險地圖 實例說明：Pacific Life Insurance IT風險管理專案 圖13-9 風險管理導入運作模式 圖13-10 IT風險地圖(用以訂定優先次序與監督實際風險情形) 圖13-11 日常風險監督確保最重要的風險快速處理 圖13-12 太平洋集團組織圖 圖13-13 IT共用系統組織 圖13-14 太平洋保險IT共用系統與IT治理模型 資訊安全管理(1/2) 資訊安全管理的迷思 BS7799資訊安全管理制度 實例說明：銀行BS7799之導入 網路入侵偵測技術之發展與運用 實例說明：某政府機關評估安全措施有效性（由高至低排序） 實例說明：資訊安全經理人(CISM)考試 數位證據與電腦鑑識 實例說明；美國資通安全鑑識組織 資訊系統稽核 實例說明：政府機關無線網路稽核 圖13-15 IDS偵測器配置架構圖 圖13-16 防範、網路竊取資料的有效性(某機關內部評估