作者以提供流程與管理顧問(wèn)服務(wù)的方法論為基礎(chǔ),參考BS7799國(guó)際標(biāo)準(zhǔn)的觀念,發(fā)展出完整的風(fēng)險(xiǎn)評(píng)估方法論�,并協(xié)助多家公司建立信息安全體系���,以下分別說(shuō)明定義信息安全體系的范圍���、進(jìn)行風(fēng)險(xiǎn)評(píng)估、決定風(fēng)險(xiǎn)可接受水平以及選擇與設(shè)計(jì)控制措施的做法�。
風(fēng)險(xiǎn)評(píng)估程序:閃電法
作者創(chuàng)作閃電法“風(fēng)險(xiǎn)評(píng)估程序(Risk Rvaluation Procedure)”大致上可分成幾個(gè)步驟,首先在風(fēng)險(xiǎn)評(píng)估之前�����,必須先分析企業(yè)營(yíng)運(yùn)模式���,藉以決定整個(gè)信息安全體系的范圍,然后通過(guò)分析企業(yè)信息資產(chǎn)結(jié)構(gòu)�,清查所有信息資產(chǎn),予以分類(lèi)�����,并了解作業(yè)流程及安全控制現(xiàn)況,接下來(lái)必須針對(duì)每個(gè)信息資產(chǎn)類(lèi)別���,評(píng)估資產(chǎn)價(jià)值高低�,資產(chǎn)本身弱點(diǎn)的面臨威脅的程序��,并依據(jù)評(píng)估結(jié)果�����,計(jì)算信息資產(chǎn)風(fēng)險(xiǎn)水平����,對(duì)于各項(xiàng)資產(chǎn)高低不同的風(fēng)險(xiǎn)水平�,則須依據(jù)“風(fēng)險(xiǎn)水平重大性理論(Theory of Risk Materiality)”決定安全控制的程序,并采用作者依據(jù)BS7799國(guó)際標(biāo)準(zhǔn)的RA Tool的精神自行開(kāi)發(fā)的工具��,為每一項(xiàng)資產(chǎn)挑選應(yīng)予控制的項(xiàng)目��,并制定相關(guān)信息安全標(biāo)準(zhǔn)��,作業(yè)程序,窗體等��,最后再針對(duì)目前無(wú)法改進(jìn)的風(fēng)險(xiǎn)項(xiàng)目����,制定“風(fēng)險(xiǎn)因應(yīng)對(duì)策”���,以下分別說(shuō)明每個(gè)步驟的簡(jiǎn)易內(nèi)容����。
營(yíng)運(yùn)模式與安全體系范圍
從營(yíng)運(yùn)模式中必須分析企業(yè)經(jīng)營(yíng)環(huán)境概況����,與下游客戶(hù)及上游供貨商的關(guān)系����,核心部門(mén)及作業(yè)流程,支持性部門(mén)扮演的角色以及管理單位決策重點(diǎn)��,然后依據(jù)企業(yè)策略或是面臨的挑戰(zhàn),確定信息安全控管首要目標(biāo)���,次要目標(biāo)以及整個(gè)體系運(yùn)作范圍�。
信息資產(chǎn)結(jié)構(gòu)與資產(chǎn)清單
“信息資產(chǎn)結(jié)構(gòu)圖(Struture of Information Assets,SIA)”是作者從Arthur Andtesen“商業(yè)信息架構(gòu)” (Business Information Framework,BIF)的方法論以及網(wǎng)絡(luò)拓樸圖的概念衍生而來(lái),BIF堪稱(chēng)全球分析信息系統(tǒng)配置及信息流的最佳方法���,SIA則進(jìn)一步針對(duì)信息資產(chǎn)及關(guān)系結(jié)構(gòu)做更明確的呈現(xiàn)�����,通過(guò)信息資產(chǎn)結(jié)構(gòu)圖����,可在弄清企業(yè)有哪些信息資產(chǎn)項(xiàng)目及類(lèi)別�����,包括硬件�、軟件、數(shù)據(jù)����、文件、人員等項(xiàng)目,同時(shí)確認(rèn)信息資產(chǎn)之間的關(guān)系���,有助于了解整個(gè)作業(yè)流程��、目前有哪些控制措施以及執(zhí)行情形��,因而信息資產(chǎn)結(jié)構(gòu)圖是企業(yè)掌握信息資產(chǎn)狀誤解的重要工具�����。
作業(yè)流程與信息作業(yè)控制現(xiàn)況了解
之前已提到,在確認(rèn)企業(yè)信息資產(chǎn)結(jié)構(gòu)狀況后�����,必須進(jìn)一步了解作業(yè)流程以及各項(xiàng)控制措施執(zhí)行的現(xiàn)況,此部分可運(yùn)用前面提到的流程設(shè)計(jì)(Process Mapping)方法及流程圖�����,為了協(xié)助企業(yè)內(nèi)部進(jìn)行有效溝通以及日后企業(yè)自行運(yùn)作信息安全體系考慮����,建議在了解作業(yè)流程及控制現(xiàn)況時(shí)�,產(chǎn)生相關(guān)輔助性文件,如“流程及控制說(shuō)明文件(Description of Process and Control,DPC)”,根據(jù)作者經(jīng)驗(yàn)�����,DPC的功用很像ISO文件,對(duì)于資產(chǎn)安全體系持續(xù)運(yùn)作扮演很重要的角色����。
資產(chǎn)價(jià)值�、弱點(diǎn)、威脅的評(píng)估
藉由信息資產(chǎn)結(jié)構(gòu)圖����,可以得到企業(yè)所有信息資產(chǎn)的清單����,予以分類(lèi)并產(chǎn)生“信息資產(chǎn)報(bào)告(Information Assert Report,IAR)”���,再加上了解作業(yè)流程以及控制措施現(xiàn)況時(shí),會(huì)了解到各項(xiàng)信息資產(chǎn)的價(jià)值���,本身的弱點(diǎn)及可的威脅,接下來(lái)可以用“信息資產(chǎn)價(jià)值評(píng)估表(Information Asset Value Evaluation Template,IAVET)”以及“信息資產(chǎn)弱點(diǎn)評(píng)估表(Information Asset Volunability & Threat Evaluation Template,IAVTET)”這兩項(xiàng)工具,評(píng)估每一項(xiàng)資產(chǎn)的價(jià)值���、弱點(diǎn)值�����、威脅值���,作為計(jì)算風(fēng)險(xiǎn)水平的基礎(chǔ),這
項(xiàng)目經(jīng)理勝任力免費(fèi)測(cè)評(píng)PMQ上線(xiàn)啦����!快來(lái)測(cè)測(cè)你排多少名吧~
http://opto-elec.com.cn/pmqhd/index.html
