柒、 第六章 風險管理
這個章節是ISO標準設置來取代以前「預防措施」的概念,在條文中首先強調的是風險與機會的對應,在資訊安全管理系統中很難想像所謂的風險與機會,風險通常代表損失、機會通常代表盈利,資訊安全與盈利看似永遠無法連結,我們看到的只有破壞、復原與損失。從整個第六章來看,標準所敘述的風險規劃區分兩個部分:
• 與ISMS整體預期成果相關的風險與機會
• ISMS範圍內喪失機密性、完整性及可用性相關的資訊安全風險
第一個部分,條文6.1要求將第四章分析的全景資訊做進一步地了解、決定在資訊安全管理系統中所要面對的機會與風險、規劃因應之行動並監控這些行動的有效性,以確保這些行動預期的結果已經融入ISMS所要執行的事項中並結合原有的流程與文件化資訊,預防或減輕前述的風險,並藉由持續改善的精神完成前面4.1、4.2的需求與期望。在這個階段,管理階層需要決定可以接受風險之程度以及風險處理的結果是否符合其預期的成果,以及評估行動效果是否符合原先的預期成果。從機會的角度來看,組織可以從資訊安全的角度檢視本身業務領域中的產品或服務,為這些業務領域提供策略或者延伸夥伴關係達到組織本身營運目標。在導入ISO 27001的過程中,會檢視現有流程及相關介面,對於現有制度可創造精進的機會,有時候甚至可引進新的技術達到營運的目標,這就是所謂的機會。所以此處有兩個重點,一是機會與風險並存,第二是需要利用成本效益的概念來處理風險,為組織效益達到最大化,以下舉個例子來說明會比較清楚:
【組織】:某網際網路零售業者
【背景分析】:
外部議題:
104年頒布,網際網路零售業及網際網路零售服務平台業個人資料檔案安全維護計畫及業務終止後個人資料處理作業辦法,第 13 條、四、傳輸個人資料時,應有適當安全之防護機制。
利害關係者需求與期望:
主管機關經濟部希望業者遵守法令、消費者期待個人資訊傳輸受到良好的保護,無外洩之虞。
機會與風險之規劃:
面對法令規範、主管機關要求及消費者的期待,規劃網站與消費者間傳輸資料可以有三種行動以因應機會與風險如下:
從上面規劃的行動來看,面對機會與風險可以有多種選擇,並非一成不變或一定要處理到何種程度,而是需要經過完整的分析。在整個管理系統的規劃中,經過管理階層的考量,選擇最適合組織的行動,才是整個管理系統的精神。當然你或許有個疑問,允許違法難道是可以接受的行動嗎?用這個例子,只是說明條文的精神及作法,至於組織本身如何規劃或接受風險,暫不在此處討論。