iT邦幫忙

2021 iThome 鐵人賽

DAY 11
0
Security

資訊安全制度建立與驗證系列 第 11

風險評鑑三步曲

  • 分享至 

  • xImage
  •  

風險評鑑首步曲:資訊資產盤點

標題沒打錯呦...建立資安制度前,請先確認自已的資安範圍有多大。
實務面可訂定「風險評鑑計劃」,依計劃內容執行資訊資產蒐集與分類、風險識別與評估、風險排序與處理...

  1. 資訊資產分類表內容應包含:資訊類別(資料/人員/軟體/硬體/...)、子類別(依類別大約展開5~10個子類別認真的同學裡也有分成幾十個子類別的,後續在推廣資安制度時,要說到讓其它同學懂又能現學現用...會是一個很大的挑戰)
  2. 資訊資產安全等級內容應包含:C機密性、I完整性、A可用性、法遵,各種等級敘述與評估標準
  3. 資訊資產盤點內容應包含:資訊資產編號、設備名稱、廠牌、型號、存放位置、保管人、保管人單位、使用者、使用者單位、安全等級(CIA)


風險評鑑二步曲:風險識別與評估

  1. 風險因子列表內容應包含:所有資訊資產類別與子類別損壞或遺失可能產生的衝擊,風險等級評估標準。
  2. 風險評鑑表內容應包含:資訊資產編號、設備名稱、保管人、使用者、安全等級(CIA)、風險等級(事件發生機率 x 事件衝擊)
風險值 = 資訊資產價值 X (事件發生機率(等級)x 事件衝擊(等級)
資訊資產價值 = 機密性、完整性、可用性之相加數值


風險評鑑三步曲:風險排序與處理

急事急辦的前提是獲得充足的授權,被允許在事件當下辦好特定事項,並於容許時限內補足紀錄。

  1. 風險處理列表應包含:資訊資產編號、設備名稱、保管人、使用者、風險值、風險因子、處理對策


補充

  1. 嘴巴說說的資安內容沒有文件化紀錄,並不具備不可否認性(可問責),無法做為已完成○○事項及佐證紀錄。
  2. 資訊安全人人有責,即使沒留下任何文件化紀錄,在企業或機構的組織架構上依然會有一定的權責與義務需要遵守,並不會因為當事人說自已不知道就可以不用負責任了。例如:火車行經平交道有人開車硬闖...駕駛人說沒看到火車、號誌、柵欄,是否就可以不用負責了呢? (歡迎大家腦補XDDD)


資料來源:
主動或被動教過廢宅的帥男美女老師們
達成願景之流程圖
組織全景評鑑表
資安風險評鑑標準介紹


上一篇
傳說中的資訊安全全景圖
下一篇
殘餘風險與未識別風險
系列文
資訊安全制度建立與驗證40
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言