資訊安全核心知識
風險評估管理
認識風險管理
認識風險管理
風險指的是可能受到的危脅或破壞,這些不確定性因素我們應做好事前評估及因應對策,風險在我們生活當隨處可見,小至個人及團體,大至企業及國家安全,任何人、事、地、物都有其風險存在性,當然在資訊安全範疇內,風險管理扮演著非常重要的角色。目前 ISO 國際標準組織內 27005 是專為資訊安全風險管理所訂製的標準。一般在完成風險評鑑之後,應確實執行風險處理計畫,使規劃之鑑別維持一定安全標準。
風險處理計畫應包含:
- 時間表
- 優先順序
- 工作計畫內容
- 執行控制措施與權責
風險管理的主要內容包含:
- 風險評估 ( Risk Assessment )
- 風險轉移 ( Risk Mitigation )
- 風險估算 ( Risk Evaluation )
認識威脅
認識威脅
以資訊安全為例,任何會造成資訊資產危害之事件都可稱為威脅,通常威脅可分為:
- 人為因素:資料誤植、操作錯誤、道德規範等。
- 網路與系統因素:木馬程式、駭客入侵、資訊系統未定期更新等。
- 不可抗拒天然災害:停電、地震、颱風等。
ISMS 管理模型與 ISO/ IEC 27005 風險管理程序對照
ISMS 管理模型與 ISO/ IEC 27005 風險管理程序對照
- 計畫 ( Plan ) - 建構 ISMS
1.確定範疇
2.風險評鑑
3.規劃風險處理計畫
4.接受風險準則
- 執行 ( Do ) - 實行 ISMS
5.實施風險處理計畫
- 考核 ( Check ) - 管控與稽核 ISMS
6.持續監控與審查風險
- 改善 ( Act ) - 維護與修正 ISMS
7.維護與改善資安風險管理
設定風險接受準則應考慮
設定風險接受準則應考慮
- 業務準則
- 法規層面
- 營運
- 技術
- 財務 / 會計
- 社會環境與人為因素
資產管理
資產管理
每一項資產都應編予相關識別及用途,並指派所有人擔任資產保管人,承擔資產的生產、開發、維護、使用及安全維護之責任,但此人並不一定是資產所有權人。
參考試題
參考試題
1. 風險管理是指?
A. 一種預測工具,用於分析輔助。
B. 可能受到威脅或破壞的評估與因應。
C. 網路管理的一種評估工具,用於程式開發管理。
D. 實體設備的安全性評估與安檢。
2. 以下何者資產需要編予識別性標籤? (請選擇兩個答案)
A. 印表機
B. 滑鼠墊
C. 伺服器
D. 原子筆
3. ISO/ IEC 27005 設定風險接受準則應考慮? (請選擇兩個答案)
A. 技術
B. 顧問意見
C. 營業額
D. 法規層面