资讯资产价值.PPTVIP

T公司 資訊資產之風險管理 學生：A0963341 廖士權 指導老師：梁明章 */11 前言 ISMS之推行重點 面臨之風險分析 風險之處理措施 */11 T 公司簡介 國內前 500 大企業 正式員工人數愈千人 尚未推行 ISMS 公司資訊資產潛在的威脅與脆弱點並未有量化的數據統計，導致管理階層對於資訊安全議題普遍不重視 推行ISMS目的 維護公司內部龐大的資訊資產，將可能的損害降至最低，提升整體資訊服務品質 通過英國標準協會 BSi 公司的資訊安全管理制度認證 ISO/IEC 27001:2005 */11 避免以下事件發生: 對資訊資產威脅的天災、人為的錯誤或疏忽 不誠實的員工為圖利自己或他人 外界有心人士的蓄意偷竊、資源中斷 、企圖不明的破壞 */11 依據資訊資產風險評鑑管理要點內所定義的方法進行資訊資產風險評鑑管理 各部門之關鍵重要因素 關鍵業務相關之資訊 建立完整的資訊資產清冊 共有389個資訊資產 進行風險評鑑 */11 機密性(1~4): 針對資訊及其使用權限分級，評估未經授權存取之影響 完整性(1~4): 針對資訊及其使用過程，評估其完整性與正確程度對業 務之影響 可用性(1~4): 針對資訊及其處理過程，評估被授權者於需用時，能夠正常使用之程度 ----------------------------------------- ＋ 資訊資產價值 第一步 */11 資訊資產價值: 機密性+完整性+可用性 威脅發生可能(1~5): 指威脅發生的機率或可能性 脆弱點利用難易(1~3): 指脆弱點被拿來利用之難易度 衝擊等級(1~4) ----------------------------------- 第二步 × 風險值 */11 T 公司風險分佈表 T 公司自訂風險等級表 風險等級 資產個數 百分比 累計百分比 A 14 4% 4% B 7 2% 6% C 38 10% 16% D 330 84% 100% 風險等級 風險值 風險值說明 A 163~216 高度風險之資訊資產 B 109~162 中度風險之資訊資產 C 055~108 低度風險之資訊資產 D 001~054 極低風險之資訊資產 */11 管理階層會議要求針對風險值 B 以上之 21 個資訊資產進行風險管理 分析後的威脅及脆弱點 威脅名稱 最高風險 脆弱點名稱 未授權存取 A 缺乏監控與警示機制 未適當區隔作業區域或網路 身分及權限設定不當 未授權變更 B 身分及權限設定不當 缺乏監控與警示機制 誤刪 B 缺乏確認機制 回復失敗 B 未執行回覆測試或演練 */11 降低風險之控制措施 威脅名稱 脆弱點名稱 處理措施 建置入侵預防系統 缺乏監控與警示機制 網路連線須100%執行入侵偵測監控 落實存取控制管制 身份及權限設定不當缺乏系統安控措施 主機安全設定查核通過比率為 100% 執行帳號及權限清查 身份及權限設定不當 帳號及權限錯誤比率不可超過 5% 網路區隔規定 未適當區隔作業區域或網路 提供對外服務之主機均需於網路非軍事區 加上刪除前確認功能 缺少審核或確認機置 系統須建置刪除確認功能 */11 T 公司風險等級為A(高度風險)之資訊資產共14項，經過數個月的風險管理針對整個作業流程進行追踪及改善後，風險等級為A之資訊資產降至0項 導入ISMS之效益改善組織運作流程，運用有限資源管理主要風險、降低不確定及意外發生幅度 */11 Thanks your listening~ */11 * *