iT邦幫忙

第 12 屆 iT 邦幫忙鐵人賽

DAY 6
2
Security

推動資安從0起步邁向70分,不用花大錢也能有聲有色保平安。系列 第 6

先安內後壤外:內部風險控制的選擇與排序

OK,寫到今天我發現好多東西漏掉沒有提到的,真的不好意思,其中之一就是今日主軸:風險(Risk)

合理的安全管理可以將公司組織的風險降低到一個可以接受的程度
能用就好、出事再說,長期下來潛在資安風險完全失控
把使用行為、服務範圍界定在一個有限的範圍中,使其風險可控

一、風險的定義

前面幾天一直陸續提到風險,風險指的定義和要素是:
1. 風險是當公司或系統遭受損失的可能性衝擊,損失可以是財務、商譽或是生產力等可量化/不可量化的痛點。
2. 風險乃當特定意外發生的頻率+發生意外的下場損失,所呈現的綜合指標,這之中關鍵二要素為
2-1. 發生的可能性: 意外/事故可能多久發生?多頻繁發生?(例如: 有85%可能性會遭到勒索病毒攻擊、年均五次的資料遺失...)
2-2. 發生後的損失: 當商業資產遭到損失衝擊時會有何後果? (例如:工廠中斷4個人工小時、四億訂單被取消、設備維修費3萬元)

二、風險管理

風險管理是透過風險評估的過程,來辨別/識別/分級分類各式風險的存在範圍和影響大大小,整體來說是從辨識風險-->控制風險-->降低風險的機制。
https://ithelp.ithome.com.tw/upload/images/20200921/201297553XEJS5Xpek.png

三、風險分析的方法

現況主要採用定量分析法(Quantitative Analysis)和定性分析法(Qualitative Analysis),來評估其影響程度與發生的可能性。
https://ithelp.ithome.com.tw/upload/images/20200921/201297551ZtafCzU0h.png

四、風險矩陣:

主要是把風險中的兩個關鍵因素(發生的可能性&發生後的損失程度)分成不同的Level,這些等級可以是相對的數值來表達出順序的簡單劃分法,即為我們常聽到的高風險、中風險、低風險判定基礎。

https://ithelp.ithome.com.tw/upload/images/20200921/20129755eTO2KsRqXd.png

五、風險的對策和控制

企業在看資安風險的時候,與一般的風險管理概念一致,可以採取規避、降低、移轉及接受這四種手段,來進行風險處理的選擇,說明如下:
https://ithelp.ithome.com.tw/upload/images/20200921/20129755Bjre5IJAvy.png

依據資安風險的分級與象限區別,則可套用不同的風險對策來控制其承受範圍。

https://ithelp.ithome.com.tw/upload/images/20200921/20129755wrT3qntwiq.png

如何進行風險項目的分級分類、內控對策制定,有賴第一步:Identify、現況盤點。明天見!

延伸閱讀與參考資料
wiki 風險管理
資安風險評鑑流程範例
如何擬定資安策略-從潛藏的資訊風險來看


上一篇
先安內後壤外: 跟著衛生安全觀念做資安體質改善
下一篇
先知己後知彼:認清現況資產標的,才能妥善規劃
系列文
推動資安從0起步邁向70分,不用花大錢也能有聲有色保平安。30

尚未有邦友留言

立即登入留言