在進行風險管理之前,要先知道風險從哪裡來?會有什麼影響?風險可能存在於組織內部或外部,也可能會影響到自己以外的多個組織。在智財權方面,除了自身智財機密有機會被洩漏外,如果組織內使用的軟體或任何元件不遵守原開發者的授權規範(License),甚至有導致組織遭到罰款、訴訟的風險。
理解風險本身後,接下來就是要進行管理,風險管理主要可以分為識別、評估、處理三大步驟,以下將詳細介紹各步驟的意義。
風險識別(Risk Identification)
風險識別是一個滾動是更新的流程,除了第一次的識別外,後續依然需要不斷的識別新出現的風險,並辨識風險的特徵、預估對組織造成影響的可能性。
風險識別需要注意以下的重點:
- 明確傳達
- 任何組織內部人員都應該協助識別風險並回報
- 進行防範
資安人員經常協助的風險識別通常為系統面,重點在於 SOP、控制措施、監控、事件應變與復原,如果組織從來沒有做過風險識別,建議需要與組織內部多方討論,亦可以尋求外部顧問的支援。
風險評估(Risk Assessment)
風險評估是對組織的業務、資產、個人或其他組織的風險進行識別、預估和分級的過程,評估結果應該將資訊系統所產生的每個風險列出,並與組織的目標、目的、資產、SOP 相關連,通常以報告形式提交給管理階層,確認風險的分級。
- 風險:危害資安的外部勢力
- 弱點:控制措施的薄弱環節
- 風險:威脅與漏洞的綜合評估
- 可能性:發生的機率
- 嚴重性:造成的影響程度
風險應該按照可能性與嚴重性進行排序,而評估風險的可能可以使用兩種方法:
- 定性風險評估:以評估者的主觀想法進行評估
- 定量風險評估:透過標準化的評分機制進行評估
風險處理(Risk Treatment)
對已經確定會產生的風險、重要性較高的風險做出處理的動作,要採用何種方式處理取決於管理階層對於風險的態度、減輕風險的可能性與成本,可大致分類為以下四種:
- 消除:最治本的風險處理方法,但可能對於組織的日常運作造成影響,需要謹慎評估;但如果風險的嚴重性或可能性非常高時,為了快速應變,管理層可能願意選擇直接消除風險,最常見的就是直接將系統下線暫停服務。
- 降低:最常見的處理方法,採取行動使發生的可能性與嚴重性降低,作法包括控制措施(安全設定、政策、程序)、更新、上 patch等。但不是所有風險都能被緩解,如果無法緩解時,則應該考慮其他的作法。
- 轉移:將風險轉移至另一方,對方將接受或補償風險發生時導致的損失,最常見的是保險。需要注意的是,以前可能會認為委外第三方也是風險轉移,現今資安管理已經將委外業務管理納入組織的責任,組織對承包商仍應負起監督管理的責任。
- 接受:指不採取任何動作,原因可能包括影響或可能性極低、組織收入足以彌補等。