iT邦幫忙

2023 iThome 鐵人賽

DAY 6
0
Security

資通安全管理法入門系列 第 6

[Day 6] 風險再評鑑

  • 分享至 

  • xImage
  •  

完善的風險評鑑過程就是注重高風險領域的管理。儘管風險評鑑無重大風險,還是建議從常見的問題中選取一些來進行風險處理。

通常,風險評鑑完成後,我們會按照風險等級對各項資訊資產進行整理,並優先考慮前20%的高風險項目,進行風險處理。風險處理包括了採取措施降低特定的弱點或威脅。例如,當一資訊系統中有過多的使用者具有管理權限時,我們可以移除非必要的管理員;當系統過於敏感時,像是email系統,則可以考慮集中管理。

即使沒有識別出顯著的風險,我們仍應該注意那些即將到達終止支援期(EOS)的系統版本,並考慮進行升級。

資訊安全管理就是將這一切文件化,實際有做就文件化並且由主管簽核;而非做了不說、或是說了不做。做了要有文件記錄並給主管簽章、說了要記錄並追蹤。

就算無法處理,我們還有最終大招就是風險接受,此時請主管簽章認同無法處理該風險。

一般來說,如果沒錢執行的話,主管就會爭取額外預算;真的沒有資源,可能就會要求關閉系統。

完成風險處理之後,我們將進行另一輪的風險評鑑,這次稱為風險再評鑑

這兩天介紹的流程的資訊資產盤點→資訊資產分級→風險評鑑→風險處理→風險再評鑑,是每年資訊安全管理的例行基礎業務,這絕非資安人員一人可獨立完成的任務。

因此,請務必做好前幾天說的資安窗口聯絡,並將資安文件做的時候考慮使用者習慣,以人為本,盡量不要提高工作負擔。

至此,已經完成80%的工作,但這才第6天,因為資安法還有很多需要做的...


上一篇
[Day 5] 風險評鑑
下一篇
[Day 7] 內稽
系列文
資通安全管理法入門31
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言