iT邦幫忙

第 11 屆 iThome 鐵人賽

DAY 4
0
Security

資訊系統安全稽核與 CISA 的簡單應用系列 第 4

[Day 04] 資訊系統稽核流程 (Risk-based Audit Planning)

  • 分享至 

  • xImage
  •  

前言

依照[Day 02]講的要依照重要度做優先,做稽核規劃時,利用風險評鑑,再利用風險值辨別優先權...
https://ithelp.ithome.com.tw/upload/images/20190920/20077752j7kxsbbU4F.png
參考:Guide to Data Protection Auditing

等等! 我怎麼知道有什麼風險
/images/emoticon/emoticon16.gif


風險管理 (Risk Management)

遇到不確定該如何執行,最簡單的方式就是先參照標準(Standards)
ISO 3100 風險管理
ISO 27005 資安與個資風險管理
https://ithelp.ithome.com.tw/upload/images/20190917/20077752fI334fGwmO.png

風險管理各行各業都有,CISSP也有談到,可以參考一下邦友的:
安全與風險管理 (Personnel Security & Risk Management)

「選對人」才是事情成功的關鍵
問問題前要先做足功課,在開始前要先了解對方的產業性質,可以先搜尋網路資料、參考相關行業
例如:KTV最在意點歌系統、線上學習平台最在意上課頁面等等

接著問負責人(主管、老闆)有什麼事情是他不能接受、或是目標需要達到。

風險胃納/偏好(risk appetite): 追求某目標或願景,而願意接受的風險
https://wiki.mbalib.com/zh-tw/%E9%A3%8E%E9%99%A9%E8%83%83%E7%BA%B3

然而因偏好、能力各有不同,口頭上又常常講不清,不如就製作個測驗來評估風險容忍/承受度(Risk Tolerance)

有些銀行再第一次股票開戶時有些會要求作測驗,如測驗結果風險承受力等級為中,會不讓你選擇特定高風險股票,可以參考來產生自己的測試單

玉山銀行測試報告結果
https://ithelp.ithome.com.tw/upload/images/20190917/20077752UYyRE6SBPA.jpg

土地銀行投資屬性測試
https://wealth.landbank.com.tw/investmentproperty_test01.aspx
國泰投資屬性評估
https://www.cathaysite.com.tw/service/investment-properties/index.aspx


要做防災準備時,首先想會有什麼災難**(風險識別)** - 因天災無法取得食物
接著分析這個風險的危害**(風險分析)** - 幾天沒食物吃會餓死
再來考慮承受力 (風險評估) - 要準備幾天食物、買家人喜歡吃又能保存的食物

這本書讓我覺得不錯的地方是: 準備要符合需求。 買喜歡吃的食物,放到快到保存期時大家才願意吃,這種方式最符合現實。 花一千萬去保護一百萬的東西是不切實際的,剛好最佳

https://ithelp.ithome.com.tw/upload/images/20190919/20077752YYTPheeWnK.png
《NASA博士教你認真做防災》

保命之道: 遭遇災難時,大部分的人都希望能維持合理的生活品質,而完善的防災計畫不僅能讓全家保全性命,還能維持合理的生活水準。


上一篇
[Day 03] 資訊系統稽核流程 (Case)
下一篇
[Day 05] 資訊系統稽核流程 (Audit Risk)
系列文
資訊系統安全稽核與 CISA 的簡單應用30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言