作者以提供流程與管理顧問服務(wù)的方法論為基礎(chǔ)�,參考BS7799國際標準的觀念�����,發(fā)展出完整的風(fēng)險評估方法論���,并協(xié)助多家公司建立信息安全體系����,以下分別說明定義信息安全體系的范圍�、進行風(fēng)險評估、決定風(fēng)險可接受水平以及選擇與設(shè)計控制措施的做法���。
風(fēng)險評估程序:閃電法
作者創(chuàng)作閃電法“風(fēng)險評估程序(Risk Rvaluation Procedure)”大致上可分成幾個步驟�����,首先在風(fēng)險評估之前����,必須先分析企業(yè)營運模式���,藉以決定整個信息安全體系的范圍�����,然后通過分析企業(yè)信息資產(chǎn)結(jié)構(gòu)�����,清查所有信息資產(chǎn)�,予以分類,并了解作業(yè)流程及安全控制現(xiàn)況�,接下來必須針對每個信息資產(chǎn)類別,評估資產(chǎn)價值高低�,資產(chǎn)本身弱點的面臨威脅的程序,并依據(jù)評估結(jié)果���,計算信息資產(chǎn)風(fēng)險水平�,對于各項資產(chǎn)高低不同的風(fēng)險水平����,則須依據(jù)“風(fēng)險水平重大性理論(Theory of Risk Materiality)”決定安全控制的程序,并采用作者依據(jù)BS7799國際標準的RA Tool的精神自行開發(fā)的工具�����,為每一項資產(chǎn)挑選應(yīng)予控制的項目���,并制定相關(guān)信息安全標準����,作業(yè)程序��,窗體等,最后再針對目前無法改進的風(fēng)險項目�,制定“風(fēng)險因應(yīng)對策”,以下分別說明每個步驟的簡易內(nèi)容��。
營運模式與安全體系范圍
從營運模式中必須分析企業(yè)經(jīng)營環(huán)境概況�,與下游客戶及上游供貨商的關(guān)系,核心部門及作業(yè)流程�,支持性部門扮演的角色以及管理單位決策重點��,然后依據(jù)企業(yè)策略或是面臨的挑戰(zhàn)���,確定信息安全控管首要目標����,次要目標以及整個體系運作范圍���。
信息資產(chǎn)結(jié)構(gòu)與資產(chǎn)清單
“信息資產(chǎn)結(jié)構(gòu)圖(Struture of Information Assets,SIA)”是作者從Arthur Andtesen“商業(yè)信息架構(gòu)” (Business Information Framework,BIF)的方法論以及網(wǎng)絡(luò)拓樸圖的概念衍生而來����,BIF堪稱全球分析信息系統(tǒng)配置及信息流的最佳方法�,SIA則進一步針對信息資產(chǎn)及關(guān)系結(jié)構(gòu)做更明確的呈現(xiàn),通過信息資產(chǎn)結(jié)構(gòu)圖�����,可在弄清企業(yè)有哪些信息資產(chǎn)項目及類別,包括硬件����、軟件、數(shù)據(jù)�����、文件����、人員等項目,同時確認信息資產(chǎn)之間的關(guān)系�,有助于了解整個作業(yè)流程、目前有哪些控制措施以及執(zhí)行情形���,因而信息資產(chǎn)結(jié)構(gòu)圖是企業(yè)掌握信息資產(chǎn)狀誤解的重要工具����。
作業(yè)流程與信息作業(yè)控制現(xiàn)況了解
之前已提到,在確認企業(yè)信息資產(chǎn)結(jié)構(gòu)狀況后,必須進一步了解作業(yè)流程以及各項控制措施執(zhí)行的現(xiàn)況�����,此部分可運用前面提到的流程設(shè)計(Process Mapping)方法及流程圖�,為了協(xié)助企業(yè)內(nèi)部進行有效溝通以及日后企業(yè)自行運作信息安全體系考慮,建議在了解作業(yè)流程及控制現(xiàn)況時�,產(chǎn)生相關(guān)輔助性文件,如“流程及控制說明文件(Description of Process and Control,DPC)”,根據(jù)作者經(jīng)驗���,DPC的功用很像ISO文件����,對于資產(chǎn)安全體系持續(xù)運作扮演很重要的角色��。
資產(chǎn)價值�、弱點��、威脅的評估
藉由信息資產(chǎn)結(jié)構(gòu)圖��,可以得到企業(yè)所有信息資產(chǎn)的清單�����,予以分類并產(chǎn)生“信息資產(chǎn)報告(Information Assert Report,IAR)”�,再加上了解作業(yè)流程以及控制措施現(xiàn)況時,會了解到各項信息資產(chǎn)的價值����,本身的弱點及可的威脅�����,接下來可以用“信息資產(chǎn)價值評估表(Information Asset Value Evaluation Template,IAVET)”以及“信息資產(chǎn)弱點評估表(Information Asset Volunability & Threat Evaluation Template,IAVTET)”這兩項工具�����,評估每一項資產(chǎn)的價值����、弱點值��、威脅值���,作為計算風(fēng)險水平的基礎(chǔ)�,這
項目經(jīng)理勝任力免費測評PMQ上線啦��!快來測測你排多少名吧~
http://opto-elec.com.cn/pmqhd/index.html
