信息安全管理制度风险评估手册.docxVIP

信息安全管理制度风险评估手册 目 录 一前言 错误！未定义书签。 二本文 错误！未定义书签。 1 風險的定義及其本質 错误！未定义书签。 2 風險管理對資訊安全管理系統的重要性 错误！未定义书签。 3 資訊風險管理與資訊風險評估之關連 错误！未定义书签。 4 各種資訊風險評估作業程序之比較與建議 错误！未定义书签。 5 結論 错误！未定义书签。 6 參考文件與標準 错误！未定义书签。 三作者簡介： 错误！未定义书签。 编序 自从行政院于民国九十年一月十七日第二七一八次院会通过「建立我国通信息基础建设安全机制计划」，并成立「国家资通安全会报」后，即开始结合内政、外交、国防、财政、教育、法务、经济、交通等部会，针对电力、电信、金融、交通等国家基础建设之安全防护，共同研讨相关因应作为，其中对于教育训练的重视与人才之培育，更是重点工作项目之一。 依照国家资通安全会报综合业务组之规划，整个教育训练的时程大致上可分为资通安全基础训练建置，资通安全防护及运用训练，资通安全专业训练三大阶段；而编撰本手册之源由，系配合国家资通安全会报对于政府机构建立信息安全的基本防范能力，以及建立信息安全的防范体系所做的一连串配套措施之一，旨在提升政府机构人员对于信息安全管理系统的基本认知以及针对实际建置管理系统所需的程序提供相关教育训练。 本手册编撰由中华民国计算机稽核协会负责，将发行给政府单位作为执行信息安全管理制度时之参考书籍。有鉴于大多数政府机关人员对于信息安全管理系统及其建置程序并未有完整之观念，或是仍存有部份之迷思，其中有关于信息风险评估的原理及执行程序是最易令人产生困惑之处，因此本手册之编排方式将先针对信息风险的定义及其本质予以简介，然后说明如何管理信息风险以及介绍信息安全管理系统建置程序；最后再引导至风险评估对于整个信息安全管理系统的重要性以及介绍目前国际上较为通用的风险评估方式，期望能协助各单位有所依循且有效地执行信息安全管理制度之推行。 国家资通安全会报技术服务中心 谨订 中华民国九十二年四月 Page:2 of 25 一、前言 运用信息技术尚需注意人性的管理： 很多人在一接触到信息安全管理系统(Information Security Management System，简称 ISMS)时，首先浮现的念头大多是「一种非常专业的知识，只有信息相关的从业人员才可以胜任」。但有趣的是，当发生了信息安全事件时，信息人员也常表示「我们己经提供了最佳设备及软件，也对相关人员实施了相关的教育训练」；那么信息安全事件何以还是在我们的周遭不断地重复发生呢？ 当从新闻媒体或是报章杂志得知了台湾又发生了信息安全事件时，很多人总想一探究竟地了解到底在安全系统中是哪里出现了漏洞，让为非做歹者有机可乘。而事实是，不论是在金融业、公共事业或是其它与信息相关的产业，绝大部份造成信息安全事件的原因都不是专业技术的层面，而是在人性面上出现的漏洞所导致。不可否认的是，蓄意犯罪的人员的专业素养及用功认真的程度是远高过于我们一般的从业人员，尤其在信息安全事件方面，有鉴于此，我们也必须要有一套能在组织中展开的信息安全管理机制，藉由组织内人员的知识及警觉来形成信息安全的防护网，使得有心人士不会那么容易的得逞，即使是提高了犯罪的成本或是难度，这也就是某种程度的信息安全防护了。 风险评估是信息安全管理制度的重要建置步骤： 近年来各大媒体对于信息安全事件的报导日渐增多，不定期发生的病毒警示发布、网络银行的账户密码遭破解盗取存款、中美网络黑客大战等等，在报章媒体失真地报导与过度地渲染之下，「信息安全」也成为本世纪以来谈及因特网时的热门议题。但一般人对于「信息安全」所蕴含的意义，仅止于将报章杂志上耸动的标题－ 黑客攻击、计算机病毒及信息战等，与信息安全划上等号。若企业经营管理阶层、信息从业人员亦有此错误之认知，认为防火墙之购买及防毒软件之使用即是落实了信息安全的良善管理，而未针对安全管理之机制思考其真正意涵，那么在信息安全管理的逻辑上已产生了一个严重的错误：亦即仅重视技术层面之各项软硬件导入与应用，而忽略了管理层面风险评估与控管程序建置之重要性，导致企业执行信息安全管理机制时造成失衡，亦造成信息安全的管理与企业经营的需求发生冲突时无适当之权衡评估方式。 二、本文 风险的定义及其本质 1.1 认识风险才知如何管理 在开始进入主题前，想先和大家分享一个现象。自从 921 大地震后，开始引发社会呼吁企业应注重「业务持续营运计划」(Business Contingency Plan 简称 BCP)的声音，而后陆续又发生汐止东方科学园区大火、纳莉水灾、美国 911 恐怖攻击事件等几乎每 Page:3 of 25 年一次不同类型的灾难事件后，我们曾经一度以为各企业对 BCP 的接受度与需求会