iT邦幫忙

2018 iT 邦幫忙鐵人賽
DAY 10
1
Security

IT安全稽核系列 第 10

2.2是否定義風險評鑑的方法論?該方法論並確保產出可比較與可再產生的結果。

  • 分享至 

  • xImage
  •  

我們繼續根據行政院所提供的「資通安全稽核外部稽核(自我評審)表」之內容,探討2.2的分析。

二、風險評鑑與管理(資訊安全組織、業務及資訊單位)
2.2是否定義風險評鑑的方法論?該方法論並確保產出可比較與可再產生的結果。

說明:此項說明在於兩個重點:1.評鑑方法論。2.可比較、可再產生。

對於這種評鑑,雖然我在這裡也是用行政院的自評表來探討不同的問題,但我看法是比較負面,如果有學理派的前輩,請多見諒….

資安評鑑,去網路上搜尋一下,不難發現一堆教學文章,其實就跟行政院的自評表做法差不多,會依循這些教學再進行評鑑的,以台灣目前的情況應該不會太多,大公司可能會比較專業,會依照資安規定,在充足的人力底下,進行評鑑,但是,依我的看法,資安漏洞還是漏洞,評鑑的確做得很確實,也很隆重,煞有其事的搞了一堆評鑑,結果產出的分析結果,又是一堆天馬行空的報告,問題還是問題,根本上還不如不要做,這種對上面有交代,只是告訴上面資安有在做事的評鑑,我的感覺,簡單說,真的是太矯情了!

太矯情的原因在哪? 以前我曾經在某家公司上班,有天老闆拿了兩片光碟,說這是大補帖,要我用批次發信,上頭有好幾萬筆個資,把公司業務統一發送給個別或企業的高層,所謂的資安漏洞其實反映在這件事情上,就已經有很多問題可以探討了,例如說,參加一些說明會,你名片一遞出去,你部份的個資就已經洩漏出去了,外面賣大補帖的,只要蒐集完整資訊,隨時都可以在深入調查您的個資,面對這類資安問題,公司要怎麼做呢?這些很容易懂的事情,評鑑上面或許都會寫,也很認真的去分了好幾個等級,但是為什麼還是難以阻擋垃圾信,這樣評鑑結果,分析了半天,到底有甚麼意義呢?

接著,說到評鑑的可比較性,對於這點,我就覺得有點奇怪,奇怪的原因在於你要如何找可比較對象?你的可比較對象篩選條件是甚麼?你是否有充足的樣本呢? 我曾經在某家公司服務時,每天都在跑資料庫,進行可比較對象的分析,結論是,為了幫客戶合理化,落入那個區間之內,這些都是可以**「調」**出來的,只要不要太離譜,每次參數一改,想落到那個統計區間都是可行的,根本上「篩選條件」決定評鑑的結果,參數隨你調,對於這種評鑑,對於其他外部人來說,不懂的就是看熱鬧,懂得人,也不太想說太多,戳破了會讓對方面子掛不住的。

對於評鑑,我最後總結一個想法,該做的還是要做,由其如果監理單位或高層有要求的,還是一定要做,但實際上,還是要把制度訂完整,把重點放在制度上,更重要的是,隨時注意法令變更,吸收實做的資安技術以及案例的探討,這比依照制式的評鑑要實際且有用多了。


上一篇
2.1是否鑑別適用範圍內之所有資訊資產及其擁有者?
下一篇
3.1組織是否訂有資訊安全管理系統政策?
系列文
IT安全稽核30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 則留言

0
CyberSerge
iT邦好手 1 級 ‧ 2017-12-14 02:41:46

我覺得評鑑還是需要的,但是要找有經驗,而且願意客製化的評鑑,才能真正對自己的環境有幫助。拿大公司的框架來評鑑小公司,不切實際而且完全沒助益。

0
snk
iT邦新手 5 級 ‧ 2020-12-08 10:43:02

調出來說得很好
但評鑑也是個適合大掃除的時間 標準可能沒用但是可以藉這掃一下地 清理相關漏洞(平常沒做 現在做一下演個戲 也算有用)

我要留言

立即登入留言