iT邦幫忙

2024 iThome 鐵人賽

DAY 11
0
Security

資訊安全管理系統制度白手起家系列 第 12

[Day 11] 風險及風險管理的概念

  • 分享至 

  • xImage
  •  

任何的管理系統制度,除了要達成管理系統所要達到的目標外,最重要的是要預防、避免或降低在運作過程中所發生的風險 (Risk),風險在日常生活中其實隨處可見,只要人活在這個世界上,就或多或少會有一定的風險,例如走在路上不小心跌倒、開車被追撞或是疾病上身進醫院治療無法工作等等。

所謂的風險是:

Risk is effect of uncertainty on objectives. (ISO 31000:2018 3.1)
風險是不確定性對目標的影響。

簡單的說,某件事物發生了具不確定性的事件而對其所造成的影響就稱為風險,若能預先知道會發生的事件以及對事物本身的影響,即可預先採取行動,以規避 (avoid) 其發生,或緩解 (mitigate) 其影響。

影響可能是負面也可能是正面,負面就是風險,正面則是機會 (Opportunity)。

例如張三是一位上班族,原本人好好的,突然生了急症而進了醫院,醫師診斷要開刀治療而必須要住院,在住院的過程中因為無法工作而使得無法賺到收入。對張三而言,急症就是一個不確定性的事件,而因為這個事件而導致無法工作賺取收入,是一種負面 (negative) 的影響,若張三於事前就先預知可能會發生這種事件,而預先買了相關的保險,當事件發生時自然就能由保險中獲得理賠以支付相關費用及得到補償。

組織在應對風險的措施即為風險管理 (Risk Management)

Risk Management is coordinated activities to direct and control an organization with regard to risk. (ISO 31000:2018 3.2)
風險管理是協調指導和控制組織風險的活動。

組織在經營過程中隨時存在著風險,過程中的各個環節 (程序、步驟)、相關人員、相關資源 (設備、物料、方法等)、相關組織 (供應者、客戶)、相關法規乃至於組織外的活動都會對組織產生風險,有時根本不是組織自己的問題,但因組織外發生了重大事件而間接的影響到組織,這對組織而言也算是一種風險。例如2024年7月所發生的微軟作業系統大當機事件,雖然所有微軟作業系統的客戶都是受害者,但其實根因並非由微軟造成,而是由微軟應用平台的供應者Crowdstrike的軟體缺陷所造成,然而即便是如此,對微軟還是造成了聲譽上的損失,對微軟而言就是一種風險;前一兩年所發生的供應鏈攻擊事件 (如SolarWinds事件) 也是一種非因組織本身問題但卻使組織蒙受損失的一種風險,所以風險的面向與來源有很多種,不能只檢視組織內部,組織外部以及組織外部間與組織有關聯的活動也有檢視的必要性。

風險管理包含幾個層面的活動,在ISO 31000:2018中有給予風險管理過程的指引,在這裡簡單的介紹。首先,組織必須要知道本身的經營範疇內的相關事物 (也就是前面提過的組織全景),確認組織內外部的全景、關注者以及相關的活動之後,為組織設定能夠承受的風險程度,也就是風險準則 (Risk Criteria),也可以稱它為可接受風險準則 (Acceptance Risk Criteria),這個條件會決定組織是否要接受風險;這裡要先建立一個很重要的觀念,就是永遠不可能會有零風險的存在,只要是經營就必定會有風險,在永遠無法達到零風險的前提下,組織就必須要能承受風險,然而風險的影響程度可能是組織無法承受的程度,風險準則就是確認該風險是組織無法承受而必須要處理的依據,所以組織必須要設定出來;風險準則也不是單一標準,組織可以依照經營環境進行調整,而且必須要定期檢視與修訂,才能符合組織的現況。

風險準則最常見的設定方式,就是用後果 (Consequence) 以及可能性 (Likelihood) 兩個因子作為綜合評估的基準:

Consequence is outcome of an event affecting objectives. (ISO 31000:2018 3.6)
後果是影響目標的事件的結果。

Likelihood is a chance of something happening. (ISO 31000:2018 3.7)
可能性是某些事情發生的機會。

後果表示當事情發生後的嚴重程度,例如主機的電源被人不小心踢掉導致主機停止運作,連帶影響服務中斷,若只是組織內部使用或許還不算太嚴重,但若該主機是對外服務或是代管服務,則可能會影響組織對客戶或對外的服務水準承諾 (SLA),這將會有可能導致組織被求償或罰款的損失;另一個例子則是公司行銷人員沒有將存有大量個人資料的檔案加密保管,而該人員的電腦被感染木馬程式導致該檔案被駭客盜走放在暗網上銷售,個人資料的當事人向主管機關檢舉,對組織而言可能不僅僅是罰款而己,還可能要面臨主管機關的調查以及法律上的問題等等;所以風險的嚴重性可大可小,在評估後果時會將嚴重的程度轉換成數字 (如1-5),每個數字代表嚴重的程度,數字愈大則愈嚴重。

可能性則是事件發生的機率,有些風險雖然發生時會很嚴重,但它可能長期不會發生,又有些風險不太嚴重但經常發生,對組織而言也會相當困擾;可能性也會轉換成數字 (如1-5),代表極可能發生、經常發生、可能發生、不太會發生及發生率微乎其微的分類,數字愈大代表愈可能發生。

下表即為一個簡單的分析例子:

https://ithelp.ithome.com.tw/upload/images/20240925/20168427q5icbJocXK.png

將後果及可能性相乘後,即會得到一個數值,這個數值即為組織的風險評估基準值,而組織要由基準值中設定一個組織能夠承受的數值,作為風險準則;例如以上表來看,組織可以承受後果為3,可能性為3的風險,風險準則就是3x3=9,也就是若風險計算出來超過9時,組織就必須要將它視為必須要處理的風險,擬定相關的計畫來處理它。

要注意,風險準則的建立原則上都要經過最高管理階層的同意,也就是說,組織的風險準則是要由最高管理階層核定才會有效,管理制度的文件化資訊必須要包含這個過程。

有了風險準則後,再來才可進入正式的風險評鑑過程 (Risk Assessment Process)。

本文介紹的只是簡單的風險分析方法,組織可以自行定義適當的方法執行,亦可參考IEC 31010:2019,該標準提供了許多風險評鑑的方法論與工具。


上一篇
[Day 10] 最高管理階層的責任
下一篇
[Day 12] 風險評鑑過程
系列文
資訊安全管理系統制度白手起家32
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言