4 通用風險對策矩陣(General Risk Treatment Matrix)
在計算機每項資產(chǎn)風險值后�����,必須決定各個重大性及可能性等及的資產(chǎn)的風險對策��,因而作才從或有損失會計處理原則����,類推出通用風險對策矩陣,作者依據(jù)經(jīng)驗�����,將控制措施依效果區(qū)分為三大類:
--- 預防控制:人員執(zhí)行作業(yè)后作業(yè)之前��,必須先完成確保資產(chǎn)安全事件不會發(fā)生的控制程序�,獲得核準后才能開始工作。
--- 一般控制:人員執(zhí)行作業(yè)之前��,無須完成確保資產(chǎn)安全事件不會發(fā)生的控制程序,但必須適時回報主管�,或是留下記錄以供查核驗證。
--- 補償控制:以事后定期檢查的方式確認人沒是否依規(guī)定執(zhí)行工作���,或是通過教育訓練,增強人員的信息安全認知���。
接下來針對不同的風險值�,訂定信息資產(chǎn)控制程序����,基本上區(qū)分成四種控制程序:
--- 預防控制:對于價值搞、風險發(fā)生可能性高的資產(chǎn)�����,應采取預防控制��。
--- 一般控制:對于價值高�����、風險發(fā)生可能性為中等��,或是價值中等而風險發(fā)生可能性高的資產(chǎn),應采取一般控制措施����。
--- 補償控制:對于價值高但是風險發(fā)生可能性為低,或是價值與風險發(fā)生可能性皆為中等�,而風險發(fā)生可能性為高但是價值低的資產(chǎn),可采取補償性控制措施�。
--- 暫不控制:其他風險值的資產(chǎn)則可以暫不控制。
選擇控制
在得到各項資產(chǎn)風險值后����,必須先決定每項資產(chǎn)應予控制的項目,再依據(jù)通用風險對策矩陣����,決定每一個控制項目的方式以及必須達成的效果,因而如何選擇每項資產(chǎn)應彩的控件目���,是信息安全體系導入另一個重要問題��。
在作者的項目經(jīng)驗中�����,發(fā)現(xiàn)BS7799同際標準所提供用來選擇控制的工具“Risk Analysis Tool,RA Tool”,在實務上可行性不高,因而作者依據(jù)RA Tool的邏輯����,另外開發(fā)了一套工具軟件,稱之為“超簡單工具(Super Sample Tool,SST)”��,通過此項工具����,只要輸入各資產(chǎn)適用的弱點��,威脅項目以及風險值���,系統(tǒng)立即產(chǎn)生資產(chǎn)應采用的控件目以及控制程度(須達成效果的數(shù)據(jù)等)���。
風險相應計劃與信息安全標準���、作業(yè)程序�����、窗體:
決定每項資產(chǎn)應采用的控件目以及控制程序后���,企業(yè)必須參考信息安全專定意見,制定詳細的信息安全標準�、各項作業(yè)程序以及窗體,在制定這些細項規(guī)則時���,必須確定每個控件目皆達到風險對策矩陣中要求的控制程度����,如果目前企業(yè)由于經(jīng)營環(huán)境限制�����,無法達成控制程度���,必須針對這些無法降低水平的風險項目�����,擬定改善計劃�����,即“風險相應對策(Risk Treatment plan)”,以便在可預期有未來將到可接愛水平�,減少意外事件對企業(yè)造成的傷害。
信息安全體系與運作
信息安全體系在建立之后����,必須持續(xù)維護運作,以確保效果����,然而企業(yè)在建立項目結束之后�����,常常因為不知道該如何維護信息安全體系���,一段時間之后��,資產(chǎn)安全體系去了原有效果�,企業(yè)又回去高風險的經(jīng)營環(huán)境��,這此,作者設計出特有的“風險評估作業(yè)程序(Risk Evaluation Procedure,REP)”,協(xié)助企業(yè)建立信息安全組織���,加上風險分析技術移轉�,進供資產(chǎn)安全體系動轉輔導以及定期檢查與意見提供等方法�����,協(xié)助信息安全體系在企業(yè)內(nèi)部真正落實�。
項目經(jīng)理勝任力免費測評PMQ上線啦!快來測測你排多少名吧~
http://opto-elec.com.cn/pmqhd/index.html
