搜索
TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫風險管理教育訓練TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫課程大綱1風險管理2可接受風險值之選定3高風險資產之鑑別及管理4殘餘風險管理5適用性聲明書TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫課程大綱1風險管理2可接受風險值之選定3高風險資產之鑑別及管理4殘餘風險管理5適用性聲明書TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫何謂風險•“Thechanceofsomethinghappeningthatwillhaveanimpactuponobjectives.”•對於目標會產生影響的事件發生的機會。¾風險是未來的不確定事件,該事件會影響組織目標的達成,包括策略、作業、財務或其他目標。TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫風險管理前應釐清之問題•我們如何來衡量組織營運的成果?•甚麼是組織成功運作最大的風險?•組織是否存在有系統的方法來控制風險?•針對組織的營運,甚麼是我們必須持續評估的關鍵處?•我們如何認定,營運無法符合法令或組織的政策?•有甚麼樣的需求﹝法令與遵行、財務....等等﹞會影響組織的運作?TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫風險管理的角色•了解組織的目標或業務營運的流程•了解何種風險會影響我們的營運(我們亦必須定期評估)•針對持續營運與提升組織的運作之效能與效率,所必須採取的必要行動製造銷售與推廣研發行銷供應管理人力資源資訊科技品質管理風險管理風險管理須仰賴組織內每一個(功能)單位來幫助運作。TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫風險管理幫助我們•達到績效衡量指標•改進營運作業流程•避免資源浪費/損失•避免組織商譽或形象的損害TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫風險管理程序控制措施控制目標資訊安全需求確認定義對應保護安全考量TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫風險管理原則營運風險科技風險策略風險市場風險作業風險財務風險ORCAORCA原則原則¾目標:與創造組織價值相關之目標¾風險:無法達成目標之因素¾控制:管理風險之方法¾一致性:確認目標、風險及因應控制之一致性TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫風險管理作業•確認、控制及降低安全風險至可接受程度所採取的程序•管理作業–訂定風險接受等級–檢討安全威脅及弱點–檢討目前使用之控制措施–加強其他控制措施–訂定相關安全政策及作業程序TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫選擇控制措施考慮因素•安全風險所造成之影響•需要的風險接受等級•所需費用是否合理•是否容易執行•需花費多少時間•與現有環境及技術之整合是否可行•符合法令規定•相關契約規定TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫控制風險策略圖控制風險策略規避規避轉移轉移接受接受降低降低TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫控制風險策略說明•規避風險–修改資訊作業方式或採用技術以避開風險。–經由政策或標準以禁止從事高風險交易或活動。•轉移風險–轉移相關之營運風險至他者,例如:承保者、供應者。•接受風險–符合組織的政策與風險接受準則,則知悉且客觀地接受風險。•降低風險–參考標準選擇適當之控制措施以降低風險。–藉由加強各項作業之內控以降低風險發生之機會。TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫控制措施種類•預防性控制–藉由「事前」的控制,形成一道屏障來防止特別交易的不當進行或阻止錯誤的發生。例如:承保前之風險評估、對銷貨客戶之徵信、使用經核准之供應商名單•偵查性控制–利用某些程序來偵測已發生之錯誤或不當交易。例如:編製銀行調節表、存貨盤點、與銷貨客戶之定期對帳•矯正性控制–用來矯正偵查性控制所發現之問題或矯正交易之控制。例如:透過電腦對採購單之檢核可以偵測到未經核准之供應商號碼,進而追蹤其原因及時修正交易資料或防止向不適當供應商之採購•指示性控制–由管理階層指示一些行動,以便達成某種結果,產生正面性之結果,相對於預防性、偵查性及矯正性控制重在防止、偵測及更正負面結果。•補償性控制–用來補償其他控制之不足,使得某些控制弱點不成為問題。例如:未有足夠之人力執行職能分工時,可透過由客戶或管理階層親自監督來彌補此一控制弱點。TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫事件風險權值對應表64483216483624123224168161284448362412362718924181261296333224168241812616128486422161284129638642432114321432143214321極高(4)高(3)中(2)低(1)事件發生機率事件影響程度資產價值TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫確認風險評鑑結果•經完成鑑別資產及其相關風險後,產出「風險評鑑彙整表」。•運用該表彙整之相關綜合風險值,產出風險評鑑報告。•該報告供組織作風險管理之依據。TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫課程大綱1風險管理2可接受風險值之選定3高風險資產之鑑別及管理4殘餘風險管理5適用性聲明書TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫風險接受度•ISO13335-3–風險接受度應該用組織可接受或不可接受來分類。–不可接受的風險乃經再三考量可能不被容許存在的。–管理者要決定是否因為不願花費額外且昂貴的保護措施來降低不可接受的風險,進而選擇接受這些風險。TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫可接受風險值的決定•發展風險接受準則,並識別風險可接受等級。•實務作法:–資訊資產之可接受風險值,需經管理審查會議決議,並記載於會議紀錄中。•管理審查會議須定期召開會議,並檢視/討論可接受風險值。•可接受風險值,得考量組織環境及作業之安全需求作適當調整。TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫風險評鑑報告的要素•風險評鑑報告應包含之項目–風險評鑑方法論、資訊資產辨識與價值評估、風險值計算、建議之可接受風險值。•風險評鑑結果分析–資訊資產辨識與價值評估結果–資訊資產風險分布–彙整高風險資產•高風險資產之改善建議TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫課程大綱1風險管理2可接受風險值之選定3高風險資產之鑑別及管理4殘餘風險管理5適用性聲明書TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫高風險資產之鑑別及管理•高風險資產之鑑別–風險值超出可容忍風險值之資訊資產。•選擇控制措施–若為高於可容忍風險值之資產,應選擇適當之控制措施,選擇出適當之控制措施,產出「風險改善計畫表」說明風險控管措施之執行辦法。•「風險改善計畫表」應陳報管理審查會議審核,並列入追蹤管理程序。TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫課程大綱1風險管理2可接受風險值之選定3高風險資產之鑑別及管理4殘餘風險管理5適用性聲明書TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫殘餘風險•可接受風險=殘餘風險•取得管理階層對所提議之各項殘餘風險的核准。•依已規劃的期間,審查風險評鑑,並審查剩餘風險的等級及與已識別的可接受風險,並將下列事項之變更納入考量:–組織–技術–各項營運目標與過程–已識別的威脅TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫課程大綱1風險管理2可接受風險值之選定3高風險資產之鑑別及管理4殘餘風險管理5適用性聲明書TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫適用性聲明書•擬訂一份適用性聲明書,應包括下列事項:–於第4.2.1節(g)所選擇之各項控制目標及控制措施,以及其選擇之理由。–目前已實作的各項控制目標及控制措施。–所排除之所有附錄A中之各項控制目標及控制措施及其被排除的衡量理由。–備註:適用性聲明書提供關於風險處理決策的彙總。衡量排除項目,採取交叉比對使無控制措施被不慎忽略。TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫風險管理實例範例TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫風險評鑑彙整表範例威脅弱點1XXC007HW重要系統主機縣網中心4停電(電力不穩)維護回應服務不足482XXC002CM區域網路骨幹服務中華電信4通訊服務中斷通訊線路未予保護363XXC002CM區域網路骨幹服務中華電信4通訊服務中斷維護回應服務不足364XXC007HW重要系統主機縣網中心4硬體故障電壓容易變動365XXC001CMCoreRouter&Switch縣網中心4硬體故障維護回應服務不足366XXC002CM區域網路骨幹服務中華電信4硬體故障維護回應服務不足367XXC007HW重要系統主機縣網中心4硬體故障維護回應服務不足368XXC008DA重要系統資料縣網中心4儲存媒體的損壞缺乏監督與稽核機制36文件編號:機密等級:□一般■限閱□密□機密風險評鑑彙整表風險再評估項次資產類別資產名稱資產說明權責單位資產價值資產編號風險事件風險值TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫風險管理實作範例ISO27001控制目標現況說明風險改善建議措施ISO27001條文建議權責單位預計改善時間與處理方式與高風險資產之風險評估彙整表對照實體與環境安全網域伺服器因為硬體使用年限較久(91年),造成未來故障機率提高,且運作效能亦不足方案一:規劃應採購新伺服器,並委請外部廠商協助網域移轉方案二:若突然發生伺服器故障,可先使用會內同型機器及備份硬體上線替代A.9.2.4研發技術組預計改善時間為96年5月底前完成2通信與作業管理-文件化作業程序對於現有設備之維護與使用期限尚無完整文件規範建議制定硬體維護、設備使用年限記錄及監督、稽查機制A.10.1.1本文4.3.2研發技術組預計改善時間為96年2月16日前1,3,4,5,9通信與作業管理-文件化作業程序上線資料庫由於過往網站缺乏文件,因此其資料庫內容缺乏說明建立資料庫內容與相關各安全性設定之說明文件A.10.1.1本文4.3.2研發技術組預計改善時間為96年2月16日前6通信與作業管理-第三方服務交付管理EIP資料庫與軟體由於係套裝軟體,因此缺乏維護能力與文件1.委託廠商提出技術文件2.建立檢視維護合約之管理程序A.10.2.1A.10.2.2研發技術組預計改善時間為96年2月16日前7,8,10,11通信與作業管理-資料備份會計系統資料備份作業為每月一次,頻率過低1.設定會計系統自動每天備份,並每周確認備份資料A.10.5.1綜合管理組預計改善時間為96年2月16日前12通信與作業管理會計系統資料操作目前尚無標準作業程序,故無法有效管理操作錯誤之情形1.建立會計系統標準作業程序A.10.2.1本文4.3.2綜合管理組預計改善時間為96年2月16日前13風險改善計畫表註:本範例係以ISO27001為依據,本計劃作業以教育體系資通安全管理規範為主,請參考附件TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫風險管理實作練習•Step-1:假設可接受風險值為”36”•Step-2:由風險評鑑練習結果,請列舉1項高於可接受風險值之資產,進行風險改善,請使用附件空白表格。TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫問題與討論