iT邦幫忙

1

ISO 27005 資訊安全風險管理改版資訊

  • 分享至 

  • xImage
  •  

資訊安全管理系統的相關標準ISO 27001及27002在2022年改版,國內很少人注意到ISO 27005 資訊安全風險管理的標準也同時做了修訂及改版作業,ISO組織希望藉由ISO 27005的改版達成目前業界使用的風險分析及管理作業能夠更加有效率並能夠結合管控措施的做法,這次的改版最重要的精神是引進基於情景方式(EVENT BASE)風險分析的概念,雖然說前一版也有提到場景的概念,但是卻沒有如此的清楚解釋,目前大部分的顧問公司或公家機關所使用的風險分析均是以基於資產的方式(ASSEST BASE)執行風險分析,在資通系統風險評鑑參考指引(行政院資通安全會報技術服務中心)的做法中雖然引進高階風險分析的方式,但是未將情景的部分納入考量,這也就是我們所面臨的問題,每年重覆做一樣的風險分析,對我們究竟有何意義,能不能協助我們找到真正需要處理的風險。
ISO 27005:2022的基本想法如下,首先建立情景,找到與風險關聯的利害關係者,識別相關風險來源,對此項情景有關聯的營運資產(資料或是業務流程)分析情景事件發生後的後果;再經由支援性資產(軟體、硬體等)分析事件發生的可能性,結合兩者去判斷風險等級。
如下圖
https://ithelp.ithome.com.tw/upload/images/20230328/20145763NEQXctgICo.jpg

舉例來說:情景是駭客侵入使用者電腦,藉由電腦存取ERP系統的未經授權資料,可以經由ERP系統及WEB去判定其風險等級,如下圖
https://ithelp.ithome.com.tw/upload/images/20230328/20145763DovxnHow5N.jpg

執行這種方式的風險分析,會比一般直接以資訊資產來做分析更有依據,藉由情景的設定,可以使執行風險分析的人不必執著如何選擇威脅及弱點,有了場景,對應的威脅弱點就很明確,有不用到處去猜測後果及可能性,當然對於場景的設定有必須要有一定的資訊安全背景的人才有辦法執行。

當然ISO 27005是指引性質,並未強制要求一定要用這種方式來做風險分析,但我覺得非常有參考價值。


圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言