iT邦幫忙

2022 iThome 鐵人賽

DAY 4
1
Security

資安新人30系列 第 4

資安新人30 Day04 資產盤點與風險管理

  • 分享至 

  • xImage
  •  

第四天啦~前面幾天了解了資訊安全管理概念,今天來個研究資產盤點與風險管理。

資產盤點

基於先前Day02 的CIA用來評估資產對於對組織之價值來評斷。

https://ithelp.ithome.com.tw/upload/images/20220919/20152636tCfppsI9CV.png
機密性+完整性+可用性 = 資產總價值

  • 機敏性:資訊資產洩露傷害程度。
  • 完整性:當有缺失時,造成損失影響的範圍。
  • 可用性:當無法使用時,可忍耐的時間。

資產應該分級跟照冊管理

分級

  • SEC1
    發生時造成不便
  • SEC2
    發生時造成重大影響
  • SEC3
    發生時造成嚴重影響

資產類別

資料類別分為六大類,依照實際定義有些好像定義五類,有些定義成七類。

  • 硬體類
    實體機,實體設備
  • 軟體類
    作業系統 授權軟體...
  • 資訊類
    資料 原始碼
  • 人員
    員工也算是資產
  • 服務
    UPS、網路...
  • 書面文件
    公文、會議記錄、相關文件

照冊內容

之前有做過資產盤點的清單,列了一堆,有些當下真的很難評估風險。/images/emoticon/emoticon06.gif

  • 編號
  • 資產名稱
  • 資產說明
  • 價值
  • CIA(風險分析)
  • 使用者
  • 擁有人
  • 位置
    可以再新增~

風險評鑑與風險處理

https://ithelp.ithome.com.tw/upload/images/20220919/20152636XzAdOu7HGj.png

風險評鑑

  • 風險識別
    • 資產識別
    • 威脅識別
    • 識別現存的控制
    • 脆弱性識別
    • 後果識別
  • 風險分析
    • 方法論
      • 定性
        依造情節為主。
      • 定量
        數量化價值。
      • 定性及定量混和
  • 風險評估

風險處理

面對風險時有以下幾個處理方式

選擇

  • 風險修改(Risk Modification)
    修正並改善該風險。
  • 風險保留(Risk Retention)
    有些可能影響不大,或者當風險發生時可以吸收。
  • 風險避免(Risk Avoidance)
    可能用其他替代的方式把這個風險避免,也要注意替代方式會不會造成風險。
  • 風險分攤(Risk Share)

    類似買保險的概念,轉嫁到其他地方。

風險偏好、風險胃納(Risk Appetite)

風險偏好是決策者心理上對待風險的一種態度。不同的人對待風險的態度存在不同的看法。

看到新的名詞胃納/images/emoticon/emoticon42.gif

參考資料

如果有任何錯誤的地方歡迎提出。/images/emoticon/emoticon41.gif

後記

今天跟朋友討論我的鐵人賽,他說文章毫無溫度,作為資安新人,也是個社群文章的新人,努力學習改善,明天要去南港展覽館參加資安大會的活動,希望能有說收穫。/images/emoticon/emoticon08.gif

也可以觀看我們團隊的鐵人發文喔~


上一篇
資安新人30 Day03 資訊倫理與智慧財產權
下一篇
資安新人30 Day05 2021 OWASP Top 10
系列文
資安新人3030
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言