iT邦幫忙

0

ISO 27001 資訊安全管理系統 【解析】(十八)

  • 分享至 

  • xImage
  •  

第二個要考量的風險是針對資訊安全管理系統範圍內的機密性、完整性及可用性損害的風險,在此我想要開始用完整的風險管理來敘述後面條文的做法。ISO 27005是根據ISO 27001系列所發展的風險管理指引,所以它的作法會完整符合條文的規範,但這並不是說採用其他的指引或方法論就不符合條文的要求,仍視組織如何設計規畫及運用這些方法。為了比較能夠深入了解條文的要求,就以ISO 27005標準來說明整個風險管理的機制及運作。
一、ISO 27005 概論
風險究竟是甚麼?是一種事情發生的機率,例如明天下雨的機率是20%;而資訊安全風險就是發生損害機密性、完整性及可用性之事件的機率。觸發事件的因素有很多種,區分為內部及外部因素,內部是事物本身的特性、外部則是事物之外的狀況,舉例來說:最近病毒流行,感染冠狀病毒的機率有多高?這個機率就是我們所說的風險,所以是感染病毒的風險,內部因素是身體本身的抵抗力、防護力(勤洗手、手不摸臉部等),外部因素就是病毒,後果就是生病、住院或死亡。
整理一下,內部因素通常稱為弱點、外部因素通常稱為威脅、後果通常以衝擊來說明。
風險 = f (威脅 * 弱點 * 衝擊)
弱點:物件或情境的內部
威脅:利用弱點造成事件發生的機率
衝擊:後果
在前面的案例中就是:
風險:感染病毒
弱點:不洗手、手經常摸臉
威脅:病毒
衝擊:生病、住院或者死亡
回到資訊安全風險來看,我們要分析的有資產、弱點及威脅。
(一)資訊資產
資訊資產是單位的資源或產出,對單位具有重要價值,資產若受到破壞時會影響業務進行,甚至造成中斷或癱瘓。資訊資產可區分有形資產(例如:資訊設備、儲存媒體、人員、基礎設施等)、無形資產(例如:應用系統、業務流程、知識、個人資料、單位聲譽等)。
(二)威脅
足以造成資訊資產危害之狀況或事,例如:破壞、洩漏、篡改資料及阻斷服務而危害。相對於資訊資產,威脅為外來的狀況。威脅通常可以分為:不可抗力因素(例如:地震、颱風)、人為錯誤(例如:資料輸入錯誤、設備操作錯誤)、惡意行動(例如:駭客入侵、竊取資料)。通常以發生可能性或機率進行評估。
(三)弱點
存在於資訊資產或其他組成元件的弱點,如果被威脅利用,會造成危害,例如軟體測試不足、硬體設計缺失、內部控制程序不足等。弱點存在於資訊資產本身,為資產之特性,例如:所在之地理位置、適用材質、使用、設計或管理方式。優點也可能成為弱點,例如:攜帶方便之隨身碟或筆記型電腦。通常以「被威脅利用之難易程度」進行評估。
https://ithelp.ithome.com.tw/upload/images/20220325/20145763quHyURdTRh.png


圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言