第四天啦~前面幾天了解了資訊安全管理概念，今天來個研究資產盤點與風險管理。

資產盤點

基於先前Day02 的CIA用來評估資產對於對組織之價值來評斷。

機密性+完整性+可用性 = 資產總價值

• 機敏性：資訊資產洩露傷害程度。
• 完整性：當有缺失時，造成損失影響的範圍。
• 可用性：當無法使用時，可忍耐的時間。

資產應該分級跟照冊管理

分級

• SEC1
  發生時造成不便
• SEC2
  發生時造成重大影響
• SEC3
  發生時造成嚴重影響

資產類別

資料類別分為六大類，依照實際定義有些好像定義五類，有些定義成七類。

• 硬體類
  實體機，實體設備
• 軟體類
  作業系統 授權軟體...
• 資訊類
  資料 原始碼
• 人員
  員工也算是資產
• 服務
  UPS、網路...
• 書面文件
  公文、會議記錄、相關文件

照冊內容

之前有做過資產盤點的清單，列了一堆，有些當下真的很難評估風險。

• 編號
• 資產名稱
• 資產說明
• 價值
• CIA(風險分析)
• 使用者
• 擁有人
• 位置
  可以再新增~

風險評鑑與風險處理

風險評鑑

• 風險識別
  • 資產識別
  • 威脅識別
  • 識別現存的控制
  • 脆弱性識別
  • 後果識別
• 風險分析
  • 方法論
    • 定性
      依造情節為主。
    • 定量
      數量化價值。
    • 定性及定量混和
• 風險評估

風險處理

面對風險時有以下幾個處理方式

選擇

• 風險修改(Risk Modification)
  修正並改善該風險。
• 風險保留(Risk Retention)
  有些可能影響不大，或者當風險發生時可以吸收。
• 風險避免(Risk Avoidance)
  可能用其他替代的方式把這個風險避免，也要注意替代方式會不會造成風險。
• 風險分攤(Risk Share)

  類似買保險的概念，轉嫁到其他地方。

風險偏好、風險胃納(Risk Appetite)

風險偏好是決策者心理上對待風險的一種態度。不同的人對待風險的態度存在不同的看法。

看到新的名詞胃納

參考資料

• 資訊資產評估暨風險管理與風險評鑑教育訓練
• 第11屆iThome鐵人賽 資安風險評鑑流程範例
• ISO 27001 標準：風險評鑑
• 資產盤點與風險管理

如果有任何錯誤的地方歡迎提出。

後記

今天跟朋友討論我的鐵人賽，他說文章毫無溫度，作為資安新人，也是個社群文章的新人，努力學習改善，明天要去南港展覽館參加資安大會的活動，希望能有說收穫。

也可以觀看我們團隊的鐵人發文喔~

• 打造你的主題地圖！Mapbox 也可以！(ft. React)
• 新手進化日記，從React至Redux Saga