美國跨國性石油公司風險評估案例前言此公司在30個國家有多種不同風險程度的作業,安全及安定的考量是執行業務的關鍵因素,而風險評估則是處理這些考量的重要元素,若業務負責單位違反機構的風險評估政策,將需提出顯著的正當理由。雖然自1980年代中期開始風險評估就一直是執行業務的一部分,但此公司自1995年起則是致力於實施更遵守紀律的方法。在進行風險評估探討時,該公司在評估資訊安全風險方面採用了相當有效且主要為定性的方法,其係由一名總公司層級負責安全風險評估的風險管理協調人來擔任風險評估計畫的焦點。其接下來的方法為定義分析潛在損害情境的程序,並使用多種標準化的工具(包括內部開發的軟體)來編輯並分析資料以及提出報告。每次評估均包括三個階段–計畫與準備、團隊風險評估活動以及報告進度。這些階段通常需要二至四週完成,並需有額外的時間供業務單位研擬因應依風險評估所提建議的行動計畫。此程序的關鍵步驟如下圖所示,並詳述於後:圖3:風險評估程序圖解1步驟參與者計畫及準備擬定專案計畫並遴選評估團隊風險管理協調人及業務主管團隊風險評估活動收集資訊團隊成員及其他專業人員確認威脅評估資產及威脅公司威脅評估單位團隊成員發展情境團隊成員情境風險分級確認削減風險的因應團隊成員團隊成員及業務單位報告及追蹤向管理階層簡報撰寫報告擬定行動計畫團隊成員風險管理協調人業務主管啟動風險評估該公司的政策指導方針要求於任何設施或作業重大變更之前、發生重大安全事件之後或是發現新的重大風險因素時,均應執行風險評估。除了這些考慮因素外,該機構的目標為至少每三年評估或重新評估所有關鍵作業的風險。該公司的指導方針已指示專案、設施或作業部門主管通知其區域安全協調人有關風險評估的需求,該通知通常以書面方式為之,之後再由區域協調人書面通知機構的中央安全風險管理協調人所將進行的評估。由於有機構高層執行人員的強烈支持,業務單位應考慮到執行風險評估的需求及重要性。雖然業務主管應對啟動風險評估負主要責任,但中央協調人亦應定期審核內部預算及專案文件,藉以確認可能需要作風險評估的作業部門。執行與記錄評估作業風險評估程序可分為三個不同的領域:計畫與準備、團隊風險評估活動以及報告。計畫與準備在通知即將進行的風險評估後,中央協調人應配合業務單位高層主管擬定風險評估執行計畫,內容須包括評估目的及方法、團隊規模與組成方式,以及執行評估所需的資訊。擬定計畫是中央協調人與業務單位管理階層之間一種反覆進行的程序。根據中央協調人的要求,最終計畫必須獲得業務單位管理階層的背書。風險評估團隊應擁有多方面的學養,通常應由五至八位具備營業單位資產及作業專門知識的人員所組成。團隊成員通常是員工,但偶爾也包括外部顧問。團隊成員應由業務單位高層主管遴選,並應取得區域或中央協調人核准。為確保客觀性,風險評估團隊的領導人應從受評估的單位外部遴選。除此之外,受評估的業務單位其安全專員通常不隸屬於風險評估團隊,但仍可向其詢問有關安全問題的資訊。業務單位的人員是業務作業及資產各方面的主要資料來源,因此,確認應進行訪談的人員以及擬定訪談的問題是計畫程序的關鍵部分,必須謹慎處理,並取得業務單位主管及區域和中央協調人之間的密切配合。從高階主管到安全專員及承包商等多人都曾接受過訪談。機構指導原則中並要求訪談關鍵業務單位的中階主管,包括具備法律、安全、人事、作業以及相關程序等知識的人員。訪談的問題清單涵蓋資訊安全的許多領域,包括資訊分級、資訊儲存、處理、銷毀、移轉、存取管制,以及郵件、資料、傳真、影像與聲音的傳輸等。為確保已考慮到所有主要威脅,該公司成立了一獨立小組負責發展及保存威脅資料,並供整個公司(包括風險評估團隊)使用。該小組會從內部及外部來源收集威脅資料,來源包括聯邦情報局及緊急應變中心,如CarnegieMellon大學及LawrenceLivermore國立圖書館。該小組將根據這些資訊擬定一份「底限威脅聲明書」,以確認來自外部人員、內部人員(負責員工與支援人員)以及系統誘發事件(瑕疵程序)的可能威脅。在我們進行研究時,該底限威脅聲明書約有四頁的篇幅。風險評估的成本係由公司安全辦公室及業務單位分攤,公司安全辦公室將支付中央協調人的薪資及差旅成本。由於該機構有許多海外作業,且評估工作通常都在現場執行,因此,協調人的差旅成本通常是最主要的考量因素。大部分團隊成員都是受評估的業務單位之員工,因此他們的時間成本皆由該單位承擔。中央協調人會於召開會議前提供各團隊成員一份10至15頁的資料袋,其中包括經協議之執行計畫的副本、評估時程表、受評估的系統,或設施先前的任何風險評估報告副本、威脅資料、風險評估方法摘要說明,以及一份訪談問題建議清單。由於協調人熟悉工具及報告需求,因此可協助減少團隊成員所需接受的訓練。團隊風險評估活動此階段的主要重點是收集與分析威脅資料以及潛在的弱點,並提出更正行動的建議,以便降低或消除風險。此階段通常需要花5天的時間完成–3天資料收集以及2天資料分析。此部分程序的第一步驟是與經計畫階段確認的專業人員進行訪談,以及審查相關文件。根據範圍,該團隊將進行二十至四十場獨立的訪談,每次訪談大約一小時。為維持客觀性,團隊成員通常不會訪談上級人員或同事。雖然最初三天的計畫是執行訪談,但團隊會於每天結束時開會,開始分析訪談時所收集到的資訊,以及發展不利及有害事件的可能情境。在典型的資訊安全風險評估中,通常將會發展十至二十種情境。在發展情境時,風險評估團隊會考慮現行的機構程序或技術應用程式如何危及機構的資訊資源與最終損及公司。考慮因素包括對未經授權的人員及機構揭露資訊、喪失資訊以及因電腦故障或通訊中斷而無法存取公司資訊等。此外,該團隊亦會考慮加入特定的當地威脅資料之底線威脅聲明書。在最近的評估中所發展的情境是一名有個人財務困難的員工,但公司主管並不知情;他可以獨立存取有關公司作業的敏感機密資訊並出售給外部人員。在此案例中,其威脅就是有強烈動機為個人利益濫用或洩露公司資產的員工,而有風險的資產就是公司極為貴重的專屬資訊。一旦完成情境後,團隊即根據可能造成的損害或損失之嚴重性加以評分。為協助此程序,該公司已採用並修改原先由國防部發展出來的分類方法,而將損害及/或損失作下列分類。第I類死亡、喪失關鍵專屬資訊、系統崩潰或嚴重破壞環境第II類重傷害、損失專屬資訊、嚴重職業病或破壞主要系統或環境第III類輕傷害、輕微職業病或破壞次要系統或環境第IV類低於輕傷害、職業病或低於破壞次要系統或環境針對前述情境,團隊認為其嚴重程度為第II類,因為情境描述並未指出所暴露的資訊為「關鍵專屬資訊」。其後,團隊會用下列分類方式評定情境發生的機率。第A類經常–重複事件的機率第B類可能–獨立事件的機率第C類偶爾–不常發生的機率第D類絕少–不太會發生第E類不大可能–幾乎不可能針對前述涉及公司員工出售專屬資訊的情境,團隊認為–在考慮既有的管制措施及情境因果分析之後–該事件屬於「可能」(第B類),部分原因是因為可接觸敏感資訊之員工的背景調查並未經常更新。在決定各情境的嚴重性及機率程度後,團隊會將其與描述公司下列政策的四個預定類別作一對照:(1)哪些風險不能容忍以及哪些較不重要;(2)更正行動的需求。圖4為該公司執行分析時所使用的矩陣,附帶的「風險指數」說明則界定了四個風險程度以及所需的行動。在前述情境中,根據IIB的計算,其風險指數為1。圖4:風險評估矩陣嚴重程度發生機率(A)經常(B)可能(C)偶爾(D)絕少(E)不大可能I(高)IIIIIIV(低)=風險1(不利且需要立即更正行動)=風險2(不利且需要更正行動,但可容許部分管理判斷)=風險3(可接受並由管理階層檢討)=風險4(可接受且無需管理階層檢討)上述步驟係利用內部開發的記錄情境資訊之軟體程式,該軟體可根據內建的安全管制清單建議修正行動,並提供相關成本估計。根據中央協調人表示,該軟體可考慮到即時安全投資的成本效益分析。針對需作風險降低的情境,團隊將會從機構所允許的更正行動清單中確認一或多項可能的更正行動。該機構已分別對四種風險類別的建議修正行為制定指導原則。團隊將根據(1)降低潛在情境的可能性或嚴重性之管制措施的效果以及(2)成本,選出最適當的修正行動建議。為說明建議的修正行動之影響,風險評估團隊將重新計算若實施修正行動時將存在的新風險程度。在前述範例中,其風險指標為IIC、風險程度為2,此可顯示團隊的重新計算降低了可能性,以假設建議的執行。報告並確保採取經協議的行動團隊在發展並建議修正行動後,即會開始編製退場簡報,以與業務單位的管理階層討論評估結果。通常簡報時間約需四十五分鐘。團隊將著重於高風險的情境–其中有些需要立即採取行動,簡報後即會解散團隊。其後,由中央協調人利用標準格式編制草案報告,並分送給團隊成員提供意見。為確保客觀性,各團隊成員將獨立審核該草案,再由團隊領導人考慮團隊的意見並完成報告,然後提供給業務負責人。團隊亦可根據所牽涉的問題將報告提供給機構中的其他人。業務單位應在收到風險評估報告後兩個月內擬定實施報告建議的行動計畫。若業務單位決定不執行高風險情境的相關建議,則其主管必須提出正當理由,並建議降低風險的替代方案。若該情境可能影響到其他機構,中央協調人應與單位主管開會討論並核准替代方案。若影響僅限於在該單位之內,或若風險為第三或四級,公司管理階層即無需核准業務負責人的替代方案。處理建議及/或新替代方案的行動計畫即是確認所規劃的行動、資源需求、各行動的負責人以及預定完成日期的日程表。高層業務單位主管應以書面方式核准該計畫,並將複本寄給中央及區域協調人。中央及區域協調人應監督各項建議的狀態,直到徹底執行完畢。中央協調人須保存未決建議的紀錄,並於每季提出狀況報告。一旦建議事項結案,業務負責人即應編制結案報告,並提交給中央及區域協調人。區域協調人亦應負責確保實施建議事項,並定期(通常每年)更新及確認,以達到風險管理最終的目的。