Upload
others
View
15
Download
0
Embed Size (px)
Citation preview
桃園市政府地政局
資訊人員資通安全宣導課程
資安風險評鑑標準介紹
講師蘇江村
大綱
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
2
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
3
ISMS系統標準關係
4
ISO 270012013
標準架構(依據ISO指令)
SL9採用高階管理文件結構在管理體系採用同樣的核心術語及定義
SL9 High level structure identical core text
and common terms and core definitions for
use in Management Systems Standards
5
ISO directives Annex SL
0-介紹
1-範圍
2-引用標準
3-術語與定義
4-組織的全景
5-領導統御
6-規畫
7-支援
8-運作
9-績效評估
10-改善
ISO 27001架構
6
7
ISO 27001 本文結構
4組織全景
41瞭解組織及其全景
42理解關注芳枝需要及期望
43決定資訊安全管理系統之範圍
44資訊安全管理系統
5領導作為
51領導及承諾
52政策
53組織角色責任及權限
6規劃
61因應風險評及機會之行動
62資訊安全目標極其達成之規劃
7支援
71資源
72能力
73認知
74溝通或傳達
75文件化資訊
8運作
81運作之規劃及控制
82資訊安全風險評鑑
83資訊安全風險處理
9績效評估
91監督量測分析及評估
92內部稽核
93管理審查
10改善
101不符合項目及矯正措施
102持續改善
8
14個領域 114控制條款
9
ISO 27001
資訊技術-安全技術-資訊安全管理系統-要求事項
ISO 27005
資訊技術-安全技術-資訊安全風險管理
ISO 31000
風險管理-原則與指導綱要
10
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
11
組織應如何看待風險 ORCA (Object Risk Control Alignment)
7 March 201612
企業體 目標
風險
控制
企業目標
資訊科技目標
財務目標
業務目標
資訊安全目標
技術面 管理面
風險同時會帶來正面與負面的影響
7 March 201613
機會
風險
改變amp
創新
抓住機會及管控風險
採用新方案
因此hellip
風險是未來的不確定事件該事件會影響組織目標的達成包括策略作業財務或其他目標
所有的投資都有風險
bull 不一定賺得到您所想賺的錢
bull 一定會有達不到的機會
風險越高 報酬越高
bull 損失的可能性很大
風險的本質
不確定性(Uncertainty)
與預期不符
ex顧客之信任與否
危險(Hazard)
不利事件之發生
ex營運中斷
機會(Opportunity)
之開發與利用
ex新科技之使用
管理階層對於風險看法之轉變
過去hellip
bull 風險監督是內部稽核之責任
bull 風險只是須加以控管之負面因素
bull 風險管理係依組織架構執行
bull 風險管理係較低階層之責任
bull 風險衡量係主觀的
bull 未結構化及分歧的風險管理功能
現在hellip
bull 風險監督是管理當局之責任
bull 危機即是轉機
bull 風險管理是整合性且適用於企業整體
bull 風險管理係為高階層及各執行單位之責任
bull 以數量化衡量風險
bull 風險管理機制建置於各企業管理系統上
6
17
想想如果要完整得到貴機關風險項目需要誰一起參與
機關目標
內部流程 人員 系統
風險風險
控制 控制
單位目標
願景使命
監督
風險風險
控制 控制
單位目標
風險風險
控制 控制
單位目標
ISO 27001本文--4組織全景
41 瞭解組織及其全景
組織應決定與其目的有關且影響達成其資訊安全管理系統預期成果能力者之內部及外部議題
備考決定此等議題係指建立於 ISO 31000[5] 53 中所考量之組織內部及外部全景
42 瞭解關注方之需要及期望組織應決定下列事項
(a) 與資訊安全管理系統有關之關注各方
(b) 此等關注方對資訊安全之要求事項
備考關注方之要求事項可能包括法律及法規要求以及契約義務
18
ISO 31000 ndash53建立前後環節(14)
531 一般
532 建立外部前後環節
外部前後環節可包括但不侷限於下列
無論是國際國家區域抑或地方其社會與文化政治法令規章財務技術經濟自然及競爭環境
對組織的目標具有衝擊之主要推動者與趨勢及與外部利害相關者的關係以及外部利害相關者之感知與價值
19
ISO 31000 ndash53建立前後環節(24)
533 建立內部前後環節瞭解內部前後環節係必要的此可包括但不侷限於下列 治理組織的結構角色及責任 政策目標以及恰當可達成的策略 由資源與知識 (如資金時間人員過程系統及技術 )的觀點所瞭解的能力
與內部利害相關者的關係以及內部利害相關者之感知與價值
組織的文化 資訊系統資訊流及決策過程 (正式與非正式兩者 )
組織所採納的標準指導綱要及模式及 合約關係之形式與範圍
20
ISO 31000 ndash53建立前後環節(34)
534 建立風險管理過程之前後環節風險管理過程之前後環節將依據組織需求而改變此可包括但不侷限於下列 界定風險管理活動之目的與目標 界定風險管理過程與範圍內之責任 界定適用範圍以及風險管理活動進行的深度與幅度包含特定涵括事項與排除事項
界定以時間與地點為觀點之活動過程功能專案計畫產品服務或資產
界定特定專案過程或活動與組織其他專案過程或活動間之關係
界定風險評鑑方法論 界定風險管理的績效與有效性評估之方式 鑑別與詳述經作成的決策及 鑑別限定或設計所需之研究其範圍與目標及此類研究所需的資源
21
ISO 31000 ndash53建立前後環節(44)
535 界定風險準則當界定風險準則時須包括下列考量的因素 緣由之本質與型式及可能產生的結果
(後果 )以及如何量測 可能性將如何界定 可能性及 或結果 (後果 )之時間組合 風險等級如何決定 利害相關者之意見 風險成為可接受或可忍受之等級及 是否須考量合併多個風險及如是時如何與何項合併須予以考量
22
ISO 27001本文--6規劃(611)
23
61 因應風險及機會之行動611 一般要求於規劃資訊安全管理系統時組織應考量 41 所提及之議題及 42 所提及之要求事項並決定需因應之風險及機會以達成下列事項
(a) 確保資訊安全管理系統達成其預期成果(b) 預防或減少非所欲之影響(c) 達成持續改善組織應規劃下列事項(d) 因應此等風險及機會之行動(e) 執行下列事項之方法
(1) 將各項行動整合及實作於其資訊安全管理系統過程之中(2) 評估此等行動之有效性
ISO 27005標準之結構
24
本標準包含資訊安全風險管理過程及其活動之描述
第 5 節提供背景資訊 第 6 節為資訊安全風險管理過程之概觀 第 6 節中所提及的所有資訊安全風險管理活動依序描述於下列節次中
- 第 7 節全景建立 - 第 8 節風險評鑑 - 第 9 節風險處理 - 第 10 節風險接受 - 第 11 節風險溝通 - 第 12 節風險監視及審查
ISO 27005bull 資訊安全風險管理宜為一持續之過程該過程使用風險處理計畫以實作建議
與決策宜建立內部與外部全景評估風險及處理風險風險管理於決定宜在何時做何事之前要先分析會發生何事及可能之後果以降低風險至可接受等級
bull 資訊安全風險管理宜對下列各項有所助益
- 識別風險
-依其對營運造成之後果與其發生之可能性以評鑑風險
- 溝通並瞭解此風險之可能性與後果
- 建立風險處理之優先序
- 降低風險發生措施之優先序
-在做風險管理決策時使利害相關者參與並將風險管理狀態告知
- 風險處理監視之有效性
- 定期監視及審查風險與風險管理過程
- 為改善風險管理作法所擷取之資訊
- 管理者及員工須受有關風險及減緩措施之教育訓練
bull 資訊安全風險管理過程能適用於整個組織組織任一個別部分 ( 例部門實體位置服務 ) 任一資訊系統現有或已規劃或特定控制之層面 ( 例營運持續規畫 )
25
資訊安全風險管理過程(ISO 27005)
26
27
維基百科
迭代是重複反饋過程的活動其目的通常是為了接近併到達所需的目標或結果每一次對過程的重複被稱為一次「迭代」而每一次迭代得到的結果會被用來作為下一次迭代的初始值
ISO27005
資訊安全風險管理過程包含建立全景(第 7 節 )風險評鑑 (第 8 節 )風險處理 (第 9節 )風險接受 (第 10 節 )風險溝通及諮詢 (第 11 節 )風險監視及審查 (第 12 節 )
ISO 31000目錄架構
28
1適用範圍 2用語及定義 3原則 4架構
41一般
42宣示與承諾
43管理風險之架構設計
44實施風險管理
45架構之監測與審查
46架構之持續改進
5過程
51一般
52溝通與諮商
53建立前後環節
54風險評鑑
55風險處理
56監測與審查
57紀錄風險管理過程
ISO 31000 風險管理原則架構及過程間的關係
29
ISO 31000 管理風險的架構組成間之關係
30
ISO 31000 管理風險過程
31
ISMS 與資訊安全風險管理過程之校準
32
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
33
34
風險評鑑流程-資產清查
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點
35
業務流程與資訊資產變更
關鍵活動輸入(需求說明)
產出(交付項目)
資源 紀錄
(可接受風險等級CIA)
規範
所有權 度量標準
(人員環境設備工具通訊等)
36
資訊縱深模型
人員
bull 骨幹網路網路服務網路服務
硬體設備
作業系統
應用程式
資料紀錄
bull 伺服器路由器防火牆
bull Windows XPLinux
bull IISOffice防毒軟體
bull 資料庫系統文件Log
bull 使用者作業員管理員
資訊載體
資訊本體
資訊
軟體
實體
服務
人員
資訊資產分類
資訊資產(六大類)
環境
資產
硬體
資產
軟體
資產
通訊
資產
資料
資產
人員
資產
7 March 201637
38
風險評鑑流程-資產價值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
鑑別資產價值資產盤點
何為資產的C I A
bull著重於資訊的暴露或洩露時是否會對組織造成傷害
機密性(C)
bull著重於資訊未經授權的修改或內容錯誤是否會對組織造成傷害
完整性(I)
bull合法使用者於被授權時間的可用性與迫切性需求
可用性(A)
39
7 March 201640
風險評鑑流程-威脅弱點分析
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
威脅弱點分析鑑別資產價值資產盤點
41
資產風險弱點風險關係圖
風險關聯圖
8
AssetsVV
V
VT
T
R
TRR
S
T威脅S保護措施V弱點
R風險RR剩餘風險
弱點威脅與風險之間的關係
低 中 高
高
中
低
威
脅
弱點
中度風險
高風險
低風險
44
威脅脆弱點鑑別
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
45
風險評鑑流程-評估風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 評估風險值威脅弱點分析
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))
X
(事件發生機率(等級)x 事件衝擊(等級))
46
47
風險評鑑流程-可接受風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 可接受風險值評估風險值
48
訂定可接受風險值
(原因理由) 對超過可接風險值之資訊資產提出對策與控制
ISO 27001本文--6規劃(612)
49
612 資訊安全風險評鑑組織應定義及應用資訊安全風險評鑑過程於下列事項中(a) 建立及維持包括下列準則之資訊安全風險準則
(1) 風險接受準則(2) 履行資訊安全風險評鑑之準則
(b) 確保重複之資訊安全風險評鑑產生一致有效及適於比較之結果(c) 識別資訊安全風險
(1) 應用資訊安全風險評鑑過程以識別資訊安全管理系統範圍內與漏失資訊之機密性完整性及可用性相關聯之風險(2) 識別風險擁有者
(d) 分析資訊安全風險(1) 評鑑若 612(c)(1) 中所識別之風險實現時可能導致之潛在後果(2) 評鑑 612(c)(1) 中所識別之風險發生的實際可能性(3) 決定風險等級
(e) 評估資訊安全風險(1) 以 612(a) 中所建立之風險準則比較風險分析結果(2) 訂定已分析風險之風險處理優先序
組織應保存關於資訊安全風險評鑑過程之文件化資訊
ISO 27001本文mdash8運作(82)
50
82 資訊安全風險評鑑組織應依規劃之期間或當提議或發生重大變更時考量 612(a) 所建立之準則執行資訊安全風險評鑑組織應保存資訊安全風險評鑑結果之文件化資訊
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
51
52
風險管理定義為有效管理可能發生的事件及其不利的影響所執行的步驟與過程基本架構包括辨識評估處理監控等程序
評估之後做甚麼
1辨識風險
2評估風險
3處理風險
4監視評估
- 53 -
資安措施規劃與執行(1)
- 54 -
資安措施規劃與執行(2)
- 55 -
控制措施作用示意
弱點
弱點
控制措施類型
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
大綱
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
2
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
3
ISMS系統標準關係
4
ISO 270012013
標準架構(依據ISO指令)
SL9採用高階管理文件結構在管理體系採用同樣的核心術語及定義
SL9 High level structure identical core text
and common terms and core definitions for
use in Management Systems Standards
5
ISO directives Annex SL
0-介紹
1-範圍
2-引用標準
3-術語與定義
4-組織的全景
5-領導統御
6-規畫
7-支援
8-運作
9-績效評估
10-改善
ISO 27001架構
6
7
ISO 27001 本文結構
4組織全景
41瞭解組織及其全景
42理解關注芳枝需要及期望
43決定資訊安全管理系統之範圍
44資訊安全管理系統
5領導作為
51領導及承諾
52政策
53組織角色責任及權限
6規劃
61因應風險評及機會之行動
62資訊安全目標極其達成之規劃
7支援
71資源
72能力
73認知
74溝通或傳達
75文件化資訊
8運作
81運作之規劃及控制
82資訊安全風險評鑑
83資訊安全風險處理
9績效評估
91監督量測分析及評估
92內部稽核
93管理審查
10改善
101不符合項目及矯正措施
102持續改善
8
14個領域 114控制條款
9
ISO 27001
資訊技術-安全技術-資訊安全管理系統-要求事項
ISO 27005
資訊技術-安全技術-資訊安全風險管理
ISO 31000
風險管理-原則與指導綱要
10
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
11
組織應如何看待風險 ORCA (Object Risk Control Alignment)
7 March 201612
企業體 目標
風險
控制
企業目標
資訊科技目標
財務目標
業務目標
資訊安全目標
技術面 管理面
風險同時會帶來正面與負面的影響
7 March 201613
機會
風險
改變amp
創新
抓住機會及管控風險
採用新方案
因此hellip
風險是未來的不確定事件該事件會影響組織目標的達成包括策略作業財務或其他目標
所有的投資都有風險
bull 不一定賺得到您所想賺的錢
bull 一定會有達不到的機會
風險越高 報酬越高
bull 損失的可能性很大
風險的本質
不確定性(Uncertainty)
與預期不符
ex顧客之信任與否
危險(Hazard)
不利事件之發生
ex營運中斷
機會(Opportunity)
之開發與利用
ex新科技之使用
管理階層對於風險看法之轉變
過去hellip
bull 風險監督是內部稽核之責任
bull 風險只是須加以控管之負面因素
bull 風險管理係依組織架構執行
bull 風險管理係較低階層之責任
bull 風險衡量係主觀的
bull 未結構化及分歧的風險管理功能
現在hellip
bull 風險監督是管理當局之責任
bull 危機即是轉機
bull 風險管理是整合性且適用於企業整體
bull 風險管理係為高階層及各執行單位之責任
bull 以數量化衡量風險
bull 風險管理機制建置於各企業管理系統上
6
17
想想如果要完整得到貴機關風險項目需要誰一起參與
機關目標
內部流程 人員 系統
風險風險
控制 控制
單位目標
願景使命
監督
風險風險
控制 控制
單位目標
風險風險
控制 控制
單位目標
ISO 27001本文--4組織全景
41 瞭解組織及其全景
組織應決定與其目的有關且影響達成其資訊安全管理系統預期成果能力者之內部及外部議題
備考決定此等議題係指建立於 ISO 31000[5] 53 中所考量之組織內部及外部全景
42 瞭解關注方之需要及期望組織應決定下列事項
(a) 與資訊安全管理系統有關之關注各方
(b) 此等關注方對資訊安全之要求事項
備考關注方之要求事項可能包括法律及法規要求以及契約義務
18
ISO 31000 ndash53建立前後環節(14)
531 一般
532 建立外部前後環節
外部前後環節可包括但不侷限於下列
無論是國際國家區域抑或地方其社會與文化政治法令規章財務技術經濟自然及競爭環境
對組織的目標具有衝擊之主要推動者與趨勢及與外部利害相關者的關係以及外部利害相關者之感知與價值
19
ISO 31000 ndash53建立前後環節(24)
533 建立內部前後環節瞭解內部前後環節係必要的此可包括但不侷限於下列 治理組織的結構角色及責任 政策目標以及恰當可達成的策略 由資源與知識 (如資金時間人員過程系統及技術 )的觀點所瞭解的能力
與內部利害相關者的關係以及內部利害相關者之感知與價值
組織的文化 資訊系統資訊流及決策過程 (正式與非正式兩者 )
組織所採納的標準指導綱要及模式及 合約關係之形式與範圍
20
ISO 31000 ndash53建立前後環節(34)
534 建立風險管理過程之前後環節風險管理過程之前後環節將依據組織需求而改變此可包括但不侷限於下列 界定風險管理活動之目的與目標 界定風險管理過程與範圍內之責任 界定適用範圍以及風險管理活動進行的深度與幅度包含特定涵括事項與排除事項
界定以時間與地點為觀點之活動過程功能專案計畫產品服務或資產
界定特定專案過程或活動與組織其他專案過程或活動間之關係
界定風險評鑑方法論 界定風險管理的績效與有效性評估之方式 鑑別與詳述經作成的決策及 鑑別限定或設計所需之研究其範圍與目標及此類研究所需的資源
21
ISO 31000 ndash53建立前後環節(44)
535 界定風險準則當界定風險準則時須包括下列考量的因素 緣由之本質與型式及可能產生的結果
(後果 )以及如何量測 可能性將如何界定 可能性及 或結果 (後果 )之時間組合 風險等級如何決定 利害相關者之意見 風險成為可接受或可忍受之等級及 是否須考量合併多個風險及如是時如何與何項合併須予以考量
22
ISO 27001本文--6規劃(611)
23
61 因應風險及機會之行動611 一般要求於規劃資訊安全管理系統時組織應考量 41 所提及之議題及 42 所提及之要求事項並決定需因應之風險及機會以達成下列事項
(a) 確保資訊安全管理系統達成其預期成果(b) 預防或減少非所欲之影響(c) 達成持續改善組織應規劃下列事項(d) 因應此等風險及機會之行動(e) 執行下列事項之方法
(1) 將各項行動整合及實作於其資訊安全管理系統過程之中(2) 評估此等行動之有效性
ISO 27005標準之結構
24
本標準包含資訊安全風險管理過程及其活動之描述
第 5 節提供背景資訊 第 6 節為資訊安全風險管理過程之概觀 第 6 節中所提及的所有資訊安全風險管理活動依序描述於下列節次中
- 第 7 節全景建立 - 第 8 節風險評鑑 - 第 9 節風險處理 - 第 10 節風險接受 - 第 11 節風險溝通 - 第 12 節風險監視及審查
ISO 27005bull 資訊安全風險管理宜為一持續之過程該過程使用風險處理計畫以實作建議
與決策宜建立內部與外部全景評估風險及處理風險風險管理於決定宜在何時做何事之前要先分析會發生何事及可能之後果以降低風險至可接受等級
bull 資訊安全風險管理宜對下列各項有所助益
- 識別風險
-依其對營運造成之後果與其發生之可能性以評鑑風險
- 溝通並瞭解此風險之可能性與後果
- 建立風險處理之優先序
- 降低風險發生措施之優先序
-在做風險管理決策時使利害相關者參與並將風險管理狀態告知
- 風險處理監視之有效性
- 定期監視及審查風險與風險管理過程
- 為改善風險管理作法所擷取之資訊
- 管理者及員工須受有關風險及減緩措施之教育訓練
bull 資訊安全風險管理過程能適用於整個組織組織任一個別部分 ( 例部門實體位置服務 ) 任一資訊系統現有或已規劃或特定控制之層面 ( 例營運持續規畫 )
25
資訊安全風險管理過程(ISO 27005)
26
27
維基百科
迭代是重複反饋過程的活動其目的通常是為了接近併到達所需的目標或結果每一次對過程的重複被稱為一次「迭代」而每一次迭代得到的結果會被用來作為下一次迭代的初始值
ISO27005
資訊安全風險管理過程包含建立全景(第 7 節 )風險評鑑 (第 8 節 )風險處理 (第 9節 )風險接受 (第 10 節 )風險溝通及諮詢 (第 11 節 )風險監視及審查 (第 12 節 )
ISO 31000目錄架構
28
1適用範圍 2用語及定義 3原則 4架構
41一般
42宣示與承諾
43管理風險之架構設計
44實施風險管理
45架構之監測與審查
46架構之持續改進
5過程
51一般
52溝通與諮商
53建立前後環節
54風險評鑑
55風險處理
56監測與審查
57紀錄風險管理過程
ISO 31000 風險管理原則架構及過程間的關係
29
ISO 31000 管理風險的架構組成間之關係
30
ISO 31000 管理風險過程
31
ISMS 與資訊安全風險管理過程之校準
32
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
33
34
風險評鑑流程-資產清查
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點
35
業務流程與資訊資產變更
關鍵活動輸入(需求說明)
產出(交付項目)
資源 紀錄
(可接受風險等級CIA)
規範
所有權 度量標準
(人員環境設備工具通訊等)
36
資訊縱深模型
人員
bull 骨幹網路網路服務網路服務
硬體設備
作業系統
應用程式
資料紀錄
bull 伺服器路由器防火牆
bull Windows XPLinux
bull IISOffice防毒軟體
bull 資料庫系統文件Log
bull 使用者作業員管理員
資訊載體
資訊本體
資訊
軟體
實體
服務
人員
資訊資產分類
資訊資產(六大類)
環境
資產
硬體
資產
軟體
資產
通訊
資產
資料
資產
人員
資產
7 March 201637
38
風險評鑑流程-資產價值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
鑑別資產價值資產盤點
何為資產的C I A
bull著重於資訊的暴露或洩露時是否會對組織造成傷害
機密性(C)
bull著重於資訊未經授權的修改或內容錯誤是否會對組織造成傷害
完整性(I)
bull合法使用者於被授權時間的可用性與迫切性需求
可用性(A)
39
7 March 201640
風險評鑑流程-威脅弱點分析
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
威脅弱點分析鑑別資產價值資產盤點
41
資產風險弱點風險關係圖
風險關聯圖
8
AssetsVV
V
VT
T
R
TRR
S
T威脅S保護措施V弱點
R風險RR剩餘風險
弱點威脅與風險之間的關係
低 中 高
高
中
低
威
脅
弱點
中度風險
高風險
低風險
44
威脅脆弱點鑑別
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
45
風險評鑑流程-評估風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 評估風險值威脅弱點分析
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))
X
(事件發生機率(等級)x 事件衝擊(等級))
46
47
風險評鑑流程-可接受風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 可接受風險值評估風險值
48
訂定可接受風險值
(原因理由) 對超過可接風險值之資訊資產提出對策與控制
ISO 27001本文--6規劃(612)
49
612 資訊安全風險評鑑組織應定義及應用資訊安全風險評鑑過程於下列事項中(a) 建立及維持包括下列準則之資訊安全風險準則
(1) 風險接受準則(2) 履行資訊安全風險評鑑之準則
(b) 確保重複之資訊安全風險評鑑產生一致有效及適於比較之結果(c) 識別資訊安全風險
(1) 應用資訊安全風險評鑑過程以識別資訊安全管理系統範圍內與漏失資訊之機密性完整性及可用性相關聯之風險(2) 識別風險擁有者
(d) 分析資訊安全風險(1) 評鑑若 612(c)(1) 中所識別之風險實現時可能導致之潛在後果(2) 評鑑 612(c)(1) 中所識別之風險發生的實際可能性(3) 決定風險等級
(e) 評估資訊安全風險(1) 以 612(a) 中所建立之風險準則比較風險分析結果(2) 訂定已分析風險之風險處理優先序
組織應保存關於資訊安全風險評鑑過程之文件化資訊
ISO 27001本文mdash8運作(82)
50
82 資訊安全風險評鑑組織應依規劃之期間或當提議或發生重大變更時考量 612(a) 所建立之準則執行資訊安全風險評鑑組織應保存資訊安全風險評鑑結果之文件化資訊
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
51
52
風險管理定義為有效管理可能發生的事件及其不利的影響所執行的步驟與過程基本架構包括辨識評估處理監控等程序
評估之後做甚麼
1辨識風險
2評估風險
3處理風險
4監視評估
- 53 -
資安措施規劃與執行(1)
- 54 -
資安措施規劃與執行(2)
- 55 -
控制措施作用示意
弱點
弱點
控制措施類型
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
3
ISMS系統標準關係
4
ISO 270012013
標準架構(依據ISO指令)
SL9採用高階管理文件結構在管理體系採用同樣的核心術語及定義
SL9 High level structure identical core text
and common terms and core definitions for
use in Management Systems Standards
5
ISO directives Annex SL
0-介紹
1-範圍
2-引用標準
3-術語與定義
4-組織的全景
5-領導統御
6-規畫
7-支援
8-運作
9-績效評估
10-改善
ISO 27001架構
6
7
ISO 27001 本文結構
4組織全景
41瞭解組織及其全景
42理解關注芳枝需要及期望
43決定資訊安全管理系統之範圍
44資訊安全管理系統
5領導作為
51領導及承諾
52政策
53組織角色責任及權限
6規劃
61因應風險評及機會之行動
62資訊安全目標極其達成之規劃
7支援
71資源
72能力
73認知
74溝通或傳達
75文件化資訊
8運作
81運作之規劃及控制
82資訊安全風險評鑑
83資訊安全風險處理
9績效評估
91監督量測分析及評估
92內部稽核
93管理審查
10改善
101不符合項目及矯正措施
102持續改善
8
14個領域 114控制條款
9
ISO 27001
資訊技術-安全技術-資訊安全管理系統-要求事項
ISO 27005
資訊技術-安全技術-資訊安全風險管理
ISO 31000
風險管理-原則與指導綱要
10
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
11
組織應如何看待風險 ORCA (Object Risk Control Alignment)
7 March 201612
企業體 目標
風險
控制
企業目標
資訊科技目標
財務目標
業務目標
資訊安全目標
技術面 管理面
風險同時會帶來正面與負面的影響
7 March 201613
機會
風險
改變amp
創新
抓住機會及管控風險
採用新方案
因此hellip
風險是未來的不確定事件該事件會影響組織目標的達成包括策略作業財務或其他目標
所有的投資都有風險
bull 不一定賺得到您所想賺的錢
bull 一定會有達不到的機會
風險越高 報酬越高
bull 損失的可能性很大
風險的本質
不確定性(Uncertainty)
與預期不符
ex顧客之信任與否
危險(Hazard)
不利事件之發生
ex營運中斷
機會(Opportunity)
之開發與利用
ex新科技之使用
管理階層對於風險看法之轉變
過去hellip
bull 風險監督是內部稽核之責任
bull 風險只是須加以控管之負面因素
bull 風險管理係依組織架構執行
bull 風險管理係較低階層之責任
bull 風險衡量係主觀的
bull 未結構化及分歧的風險管理功能
現在hellip
bull 風險監督是管理當局之責任
bull 危機即是轉機
bull 風險管理是整合性且適用於企業整體
bull 風險管理係為高階層及各執行單位之責任
bull 以數量化衡量風險
bull 風險管理機制建置於各企業管理系統上
6
17
想想如果要完整得到貴機關風險項目需要誰一起參與
機關目標
內部流程 人員 系統
風險風險
控制 控制
單位目標
願景使命
監督
風險風險
控制 控制
單位目標
風險風險
控制 控制
單位目標
ISO 27001本文--4組織全景
41 瞭解組織及其全景
組織應決定與其目的有關且影響達成其資訊安全管理系統預期成果能力者之內部及外部議題
備考決定此等議題係指建立於 ISO 31000[5] 53 中所考量之組織內部及外部全景
42 瞭解關注方之需要及期望組織應決定下列事項
(a) 與資訊安全管理系統有關之關注各方
(b) 此等關注方對資訊安全之要求事項
備考關注方之要求事項可能包括法律及法規要求以及契約義務
18
ISO 31000 ndash53建立前後環節(14)
531 一般
532 建立外部前後環節
外部前後環節可包括但不侷限於下列
無論是國際國家區域抑或地方其社會與文化政治法令規章財務技術經濟自然及競爭環境
對組織的目標具有衝擊之主要推動者與趨勢及與外部利害相關者的關係以及外部利害相關者之感知與價值
19
ISO 31000 ndash53建立前後環節(24)
533 建立內部前後環節瞭解內部前後環節係必要的此可包括但不侷限於下列 治理組織的結構角色及責任 政策目標以及恰當可達成的策略 由資源與知識 (如資金時間人員過程系統及技術 )的觀點所瞭解的能力
與內部利害相關者的關係以及內部利害相關者之感知與價值
組織的文化 資訊系統資訊流及決策過程 (正式與非正式兩者 )
組織所採納的標準指導綱要及模式及 合約關係之形式與範圍
20
ISO 31000 ndash53建立前後環節(34)
534 建立風險管理過程之前後環節風險管理過程之前後環節將依據組織需求而改變此可包括但不侷限於下列 界定風險管理活動之目的與目標 界定風險管理過程與範圍內之責任 界定適用範圍以及風險管理活動進行的深度與幅度包含特定涵括事項與排除事項
界定以時間與地點為觀點之活動過程功能專案計畫產品服務或資產
界定特定專案過程或活動與組織其他專案過程或活動間之關係
界定風險評鑑方法論 界定風險管理的績效與有效性評估之方式 鑑別與詳述經作成的決策及 鑑別限定或設計所需之研究其範圍與目標及此類研究所需的資源
21
ISO 31000 ndash53建立前後環節(44)
535 界定風險準則當界定風險準則時須包括下列考量的因素 緣由之本質與型式及可能產生的結果
(後果 )以及如何量測 可能性將如何界定 可能性及 或結果 (後果 )之時間組合 風險等級如何決定 利害相關者之意見 風險成為可接受或可忍受之等級及 是否須考量合併多個風險及如是時如何與何項合併須予以考量
22
ISO 27001本文--6規劃(611)
23
61 因應風險及機會之行動611 一般要求於規劃資訊安全管理系統時組織應考量 41 所提及之議題及 42 所提及之要求事項並決定需因應之風險及機會以達成下列事項
(a) 確保資訊安全管理系統達成其預期成果(b) 預防或減少非所欲之影響(c) 達成持續改善組織應規劃下列事項(d) 因應此等風險及機會之行動(e) 執行下列事項之方法
(1) 將各項行動整合及實作於其資訊安全管理系統過程之中(2) 評估此等行動之有效性
ISO 27005標準之結構
24
本標準包含資訊安全風險管理過程及其活動之描述
第 5 節提供背景資訊 第 6 節為資訊安全風險管理過程之概觀 第 6 節中所提及的所有資訊安全風險管理活動依序描述於下列節次中
- 第 7 節全景建立 - 第 8 節風險評鑑 - 第 9 節風險處理 - 第 10 節風險接受 - 第 11 節風險溝通 - 第 12 節風險監視及審查
ISO 27005bull 資訊安全風險管理宜為一持續之過程該過程使用風險處理計畫以實作建議
與決策宜建立內部與外部全景評估風險及處理風險風險管理於決定宜在何時做何事之前要先分析會發生何事及可能之後果以降低風險至可接受等級
bull 資訊安全風險管理宜對下列各項有所助益
- 識別風險
-依其對營運造成之後果與其發生之可能性以評鑑風險
- 溝通並瞭解此風險之可能性與後果
- 建立風險處理之優先序
- 降低風險發生措施之優先序
-在做風險管理決策時使利害相關者參與並將風險管理狀態告知
- 風險處理監視之有效性
- 定期監視及審查風險與風險管理過程
- 為改善風險管理作法所擷取之資訊
- 管理者及員工須受有關風險及減緩措施之教育訓練
bull 資訊安全風險管理過程能適用於整個組織組織任一個別部分 ( 例部門實體位置服務 ) 任一資訊系統現有或已規劃或特定控制之層面 ( 例營運持續規畫 )
25
資訊安全風險管理過程(ISO 27005)
26
27
維基百科
迭代是重複反饋過程的活動其目的通常是為了接近併到達所需的目標或結果每一次對過程的重複被稱為一次「迭代」而每一次迭代得到的結果會被用來作為下一次迭代的初始值
ISO27005
資訊安全風險管理過程包含建立全景(第 7 節 )風險評鑑 (第 8 節 )風險處理 (第 9節 )風險接受 (第 10 節 )風險溝通及諮詢 (第 11 節 )風險監視及審查 (第 12 節 )
ISO 31000目錄架構
28
1適用範圍 2用語及定義 3原則 4架構
41一般
42宣示與承諾
43管理風險之架構設計
44實施風險管理
45架構之監測與審查
46架構之持續改進
5過程
51一般
52溝通與諮商
53建立前後環節
54風險評鑑
55風險處理
56監測與審查
57紀錄風險管理過程
ISO 31000 風險管理原則架構及過程間的關係
29
ISO 31000 管理風險的架構組成間之關係
30
ISO 31000 管理風險過程
31
ISMS 與資訊安全風險管理過程之校準
32
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
33
34
風險評鑑流程-資產清查
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點
35
業務流程與資訊資產變更
關鍵活動輸入(需求說明)
產出(交付項目)
資源 紀錄
(可接受風險等級CIA)
規範
所有權 度量標準
(人員環境設備工具通訊等)
36
資訊縱深模型
人員
bull 骨幹網路網路服務網路服務
硬體設備
作業系統
應用程式
資料紀錄
bull 伺服器路由器防火牆
bull Windows XPLinux
bull IISOffice防毒軟體
bull 資料庫系統文件Log
bull 使用者作業員管理員
資訊載體
資訊本體
資訊
軟體
實體
服務
人員
資訊資產分類
資訊資產(六大類)
環境
資產
硬體
資產
軟體
資產
通訊
資產
資料
資產
人員
資產
7 March 201637
38
風險評鑑流程-資產價值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
鑑別資產價值資產盤點
何為資產的C I A
bull著重於資訊的暴露或洩露時是否會對組織造成傷害
機密性(C)
bull著重於資訊未經授權的修改或內容錯誤是否會對組織造成傷害
完整性(I)
bull合法使用者於被授權時間的可用性與迫切性需求
可用性(A)
39
7 March 201640
風險評鑑流程-威脅弱點分析
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
威脅弱點分析鑑別資產價值資產盤點
41
資產風險弱點風險關係圖
風險關聯圖
8
AssetsVV
V
VT
T
R
TRR
S
T威脅S保護措施V弱點
R風險RR剩餘風險
弱點威脅與風險之間的關係
低 中 高
高
中
低
威
脅
弱點
中度風險
高風險
低風險
44
威脅脆弱點鑑別
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
45
風險評鑑流程-評估風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 評估風險值威脅弱點分析
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))
X
(事件發生機率(等級)x 事件衝擊(等級))
46
47
風險評鑑流程-可接受風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 可接受風險值評估風險值
48
訂定可接受風險值
(原因理由) 對超過可接風險值之資訊資產提出對策與控制
ISO 27001本文--6規劃(612)
49
612 資訊安全風險評鑑組織應定義及應用資訊安全風險評鑑過程於下列事項中(a) 建立及維持包括下列準則之資訊安全風險準則
(1) 風險接受準則(2) 履行資訊安全風險評鑑之準則
(b) 確保重複之資訊安全風險評鑑產生一致有效及適於比較之結果(c) 識別資訊安全風險
(1) 應用資訊安全風險評鑑過程以識別資訊安全管理系統範圍內與漏失資訊之機密性完整性及可用性相關聯之風險(2) 識別風險擁有者
(d) 分析資訊安全風險(1) 評鑑若 612(c)(1) 中所識別之風險實現時可能導致之潛在後果(2) 評鑑 612(c)(1) 中所識別之風險發生的實際可能性(3) 決定風險等級
(e) 評估資訊安全風險(1) 以 612(a) 中所建立之風險準則比較風險分析結果(2) 訂定已分析風險之風險處理優先序
組織應保存關於資訊安全風險評鑑過程之文件化資訊
ISO 27001本文mdash8運作(82)
50
82 資訊安全風險評鑑組織應依規劃之期間或當提議或發生重大變更時考量 612(a) 所建立之準則執行資訊安全風險評鑑組織應保存資訊安全風險評鑑結果之文件化資訊
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
51
52
風險管理定義為有效管理可能發生的事件及其不利的影響所執行的步驟與過程基本架構包括辨識評估處理監控等程序
評估之後做甚麼
1辨識風險
2評估風險
3處理風險
4監視評估
- 53 -
資安措施規劃與執行(1)
- 54 -
資安措施規劃與執行(2)
- 55 -
控制措施作用示意
弱點
弱點
控制措施類型
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
ISMS系統標準關係
4
ISO 270012013
標準架構(依據ISO指令)
SL9採用高階管理文件結構在管理體系採用同樣的核心術語及定義
SL9 High level structure identical core text
and common terms and core definitions for
use in Management Systems Standards
5
ISO directives Annex SL
0-介紹
1-範圍
2-引用標準
3-術語與定義
4-組織的全景
5-領導統御
6-規畫
7-支援
8-運作
9-績效評估
10-改善
ISO 27001架構
6
7
ISO 27001 本文結構
4組織全景
41瞭解組織及其全景
42理解關注芳枝需要及期望
43決定資訊安全管理系統之範圍
44資訊安全管理系統
5領導作為
51領導及承諾
52政策
53組織角色責任及權限
6規劃
61因應風險評及機會之行動
62資訊安全目標極其達成之規劃
7支援
71資源
72能力
73認知
74溝通或傳達
75文件化資訊
8運作
81運作之規劃及控制
82資訊安全風險評鑑
83資訊安全風險處理
9績效評估
91監督量測分析及評估
92內部稽核
93管理審查
10改善
101不符合項目及矯正措施
102持續改善
8
14個領域 114控制條款
9
ISO 27001
資訊技術-安全技術-資訊安全管理系統-要求事項
ISO 27005
資訊技術-安全技術-資訊安全風險管理
ISO 31000
風險管理-原則與指導綱要
10
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
11
組織應如何看待風險 ORCA (Object Risk Control Alignment)
7 March 201612
企業體 目標
風險
控制
企業目標
資訊科技目標
財務目標
業務目標
資訊安全目標
技術面 管理面
風險同時會帶來正面與負面的影響
7 March 201613
機會
風險
改變amp
創新
抓住機會及管控風險
採用新方案
因此hellip
風險是未來的不確定事件該事件會影響組織目標的達成包括策略作業財務或其他目標
所有的投資都有風險
bull 不一定賺得到您所想賺的錢
bull 一定會有達不到的機會
風險越高 報酬越高
bull 損失的可能性很大
風險的本質
不確定性(Uncertainty)
與預期不符
ex顧客之信任與否
危險(Hazard)
不利事件之發生
ex營運中斷
機會(Opportunity)
之開發與利用
ex新科技之使用
管理階層對於風險看法之轉變
過去hellip
bull 風險監督是內部稽核之責任
bull 風險只是須加以控管之負面因素
bull 風險管理係依組織架構執行
bull 風險管理係較低階層之責任
bull 風險衡量係主觀的
bull 未結構化及分歧的風險管理功能
現在hellip
bull 風險監督是管理當局之責任
bull 危機即是轉機
bull 風險管理是整合性且適用於企業整體
bull 風險管理係為高階層及各執行單位之責任
bull 以數量化衡量風險
bull 風險管理機制建置於各企業管理系統上
6
17
想想如果要完整得到貴機關風險項目需要誰一起參與
機關目標
內部流程 人員 系統
風險風險
控制 控制
單位目標
願景使命
監督
風險風險
控制 控制
單位目標
風險風險
控制 控制
單位目標
ISO 27001本文--4組織全景
41 瞭解組織及其全景
組織應決定與其目的有關且影響達成其資訊安全管理系統預期成果能力者之內部及外部議題
備考決定此等議題係指建立於 ISO 31000[5] 53 中所考量之組織內部及外部全景
42 瞭解關注方之需要及期望組織應決定下列事項
(a) 與資訊安全管理系統有關之關注各方
(b) 此等關注方對資訊安全之要求事項
備考關注方之要求事項可能包括法律及法規要求以及契約義務
18
ISO 31000 ndash53建立前後環節(14)
531 一般
532 建立外部前後環節
外部前後環節可包括但不侷限於下列
無論是國際國家區域抑或地方其社會與文化政治法令規章財務技術經濟自然及競爭環境
對組織的目標具有衝擊之主要推動者與趨勢及與外部利害相關者的關係以及外部利害相關者之感知與價值
19
ISO 31000 ndash53建立前後環節(24)
533 建立內部前後環節瞭解內部前後環節係必要的此可包括但不侷限於下列 治理組織的結構角色及責任 政策目標以及恰當可達成的策略 由資源與知識 (如資金時間人員過程系統及技術 )的觀點所瞭解的能力
與內部利害相關者的關係以及內部利害相關者之感知與價值
組織的文化 資訊系統資訊流及決策過程 (正式與非正式兩者 )
組織所採納的標準指導綱要及模式及 合約關係之形式與範圍
20
ISO 31000 ndash53建立前後環節(34)
534 建立風險管理過程之前後環節風險管理過程之前後環節將依據組織需求而改變此可包括但不侷限於下列 界定風險管理活動之目的與目標 界定風險管理過程與範圍內之責任 界定適用範圍以及風險管理活動進行的深度與幅度包含特定涵括事項與排除事項
界定以時間與地點為觀點之活動過程功能專案計畫產品服務或資產
界定特定專案過程或活動與組織其他專案過程或活動間之關係
界定風險評鑑方法論 界定風險管理的績效與有效性評估之方式 鑑別與詳述經作成的決策及 鑑別限定或設計所需之研究其範圍與目標及此類研究所需的資源
21
ISO 31000 ndash53建立前後環節(44)
535 界定風險準則當界定風險準則時須包括下列考量的因素 緣由之本質與型式及可能產生的結果
(後果 )以及如何量測 可能性將如何界定 可能性及 或結果 (後果 )之時間組合 風險等級如何決定 利害相關者之意見 風險成為可接受或可忍受之等級及 是否須考量合併多個風險及如是時如何與何項合併須予以考量
22
ISO 27001本文--6規劃(611)
23
61 因應風險及機會之行動611 一般要求於規劃資訊安全管理系統時組織應考量 41 所提及之議題及 42 所提及之要求事項並決定需因應之風險及機會以達成下列事項
(a) 確保資訊安全管理系統達成其預期成果(b) 預防或減少非所欲之影響(c) 達成持續改善組織應規劃下列事項(d) 因應此等風險及機會之行動(e) 執行下列事項之方法
(1) 將各項行動整合及實作於其資訊安全管理系統過程之中(2) 評估此等行動之有效性
ISO 27005標準之結構
24
本標準包含資訊安全風險管理過程及其活動之描述
第 5 節提供背景資訊 第 6 節為資訊安全風險管理過程之概觀 第 6 節中所提及的所有資訊安全風險管理活動依序描述於下列節次中
- 第 7 節全景建立 - 第 8 節風險評鑑 - 第 9 節風險處理 - 第 10 節風險接受 - 第 11 節風險溝通 - 第 12 節風險監視及審查
ISO 27005bull 資訊安全風險管理宜為一持續之過程該過程使用風險處理計畫以實作建議
與決策宜建立內部與外部全景評估風險及處理風險風險管理於決定宜在何時做何事之前要先分析會發生何事及可能之後果以降低風險至可接受等級
bull 資訊安全風險管理宜對下列各項有所助益
- 識別風險
-依其對營運造成之後果與其發生之可能性以評鑑風險
- 溝通並瞭解此風險之可能性與後果
- 建立風險處理之優先序
- 降低風險發生措施之優先序
-在做風險管理決策時使利害相關者參與並將風險管理狀態告知
- 風險處理監視之有效性
- 定期監視及審查風險與風險管理過程
- 為改善風險管理作法所擷取之資訊
- 管理者及員工須受有關風險及減緩措施之教育訓練
bull 資訊安全風險管理過程能適用於整個組織組織任一個別部分 ( 例部門實體位置服務 ) 任一資訊系統現有或已規劃或特定控制之層面 ( 例營運持續規畫 )
25
資訊安全風險管理過程(ISO 27005)
26
27
維基百科
迭代是重複反饋過程的活動其目的通常是為了接近併到達所需的目標或結果每一次對過程的重複被稱為一次「迭代」而每一次迭代得到的結果會被用來作為下一次迭代的初始值
ISO27005
資訊安全風險管理過程包含建立全景(第 7 節 )風險評鑑 (第 8 節 )風險處理 (第 9節 )風險接受 (第 10 節 )風險溝通及諮詢 (第 11 節 )風險監視及審查 (第 12 節 )
ISO 31000目錄架構
28
1適用範圍 2用語及定義 3原則 4架構
41一般
42宣示與承諾
43管理風險之架構設計
44實施風險管理
45架構之監測與審查
46架構之持續改進
5過程
51一般
52溝通與諮商
53建立前後環節
54風險評鑑
55風險處理
56監測與審查
57紀錄風險管理過程
ISO 31000 風險管理原則架構及過程間的關係
29
ISO 31000 管理風險的架構組成間之關係
30
ISO 31000 管理風險過程
31
ISMS 與資訊安全風險管理過程之校準
32
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
33
34
風險評鑑流程-資產清查
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點
35
業務流程與資訊資產變更
關鍵活動輸入(需求說明)
產出(交付項目)
資源 紀錄
(可接受風險等級CIA)
規範
所有權 度量標準
(人員環境設備工具通訊等)
36
資訊縱深模型
人員
bull 骨幹網路網路服務網路服務
硬體設備
作業系統
應用程式
資料紀錄
bull 伺服器路由器防火牆
bull Windows XPLinux
bull IISOffice防毒軟體
bull 資料庫系統文件Log
bull 使用者作業員管理員
資訊載體
資訊本體
資訊
軟體
實體
服務
人員
資訊資產分類
資訊資產(六大類)
環境
資產
硬體
資產
軟體
資產
通訊
資產
資料
資產
人員
資產
7 March 201637
38
風險評鑑流程-資產價值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
鑑別資產價值資產盤點
何為資產的C I A
bull著重於資訊的暴露或洩露時是否會對組織造成傷害
機密性(C)
bull著重於資訊未經授權的修改或內容錯誤是否會對組織造成傷害
完整性(I)
bull合法使用者於被授權時間的可用性與迫切性需求
可用性(A)
39
7 March 201640
風險評鑑流程-威脅弱點分析
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
威脅弱點分析鑑別資產價值資產盤點
41
資產風險弱點風險關係圖
風險關聯圖
8
AssetsVV
V
VT
T
R
TRR
S
T威脅S保護措施V弱點
R風險RR剩餘風險
弱點威脅與風險之間的關係
低 中 高
高
中
低
威
脅
弱點
中度風險
高風險
低風險
44
威脅脆弱點鑑別
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
45
風險評鑑流程-評估風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 評估風險值威脅弱點分析
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))
X
(事件發生機率(等級)x 事件衝擊(等級))
46
47
風險評鑑流程-可接受風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 可接受風險值評估風險值
48
訂定可接受風險值
(原因理由) 對超過可接風險值之資訊資產提出對策與控制
ISO 27001本文--6規劃(612)
49
612 資訊安全風險評鑑組織應定義及應用資訊安全風險評鑑過程於下列事項中(a) 建立及維持包括下列準則之資訊安全風險準則
(1) 風險接受準則(2) 履行資訊安全風險評鑑之準則
(b) 確保重複之資訊安全風險評鑑產生一致有效及適於比較之結果(c) 識別資訊安全風險
(1) 應用資訊安全風險評鑑過程以識別資訊安全管理系統範圍內與漏失資訊之機密性完整性及可用性相關聯之風險(2) 識別風險擁有者
(d) 分析資訊安全風險(1) 評鑑若 612(c)(1) 中所識別之風險實現時可能導致之潛在後果(2) 評鑑 612(c)(1) 中所識別之風險發生的實際可能性(3) 決定風險等級
(e) 評估資訊安全風險(1) 以 612(a) 中所建立之風險準則比較風險分析結果(2) 訂定已分析風險之風險處理優先序
組織應保存關於資訊安全風險評鑑過程之文件化資訊
ISO 27001本文mdash8運作(82)
50
82 資訊安全風險評鑑組織應依規劃之期間或當提議或發生重大變更時考量 612(a) 所建立之準則執行資訊安全風險評鑑組織應保存資訊安全風險評鑑結果之文件化資訊
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
51
52
風險管理定義為有效管理可能發生的事件及其不利的影響所執行的步驟與過程基本架構包括辨識評估處理監控等程序
評估之後做甚麼
1辨識風險
2評估風險
3處理風險
4監視評估
- 53 -
資安措施規劃與執行(1)
- 54 -
資安措施規劃與執行(2)
- 55 -
控制措施作用示意
弱點
弱點
控制措施類型
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
ISO 270012013
標準架構(依據ISO指令)
SL9採用高階管理文件結構在管理體系採用同樣的核心術語及定義
SL9 High level structure identical core text
and common terms and core definitions for
use in Management Systems Standards
5
ISO directives Annex SL
0-介紹
1-範圍
2-引用標準
3-術語與定義
4-組織的全景
5-領導統御
6-規畫
7-支援
8-運作
9-績效評估
10-改善
ISO 27001架構
6
7
ISO 27001 本文結構
4組織全景
41瞭解組織及其全景
42理解關注芳枝需要及期望
43決定資訊安全管理系統之範圍
44資訊安全管理系統
5領導作為
51領導及承諾
52政策
53組織角色責任及權限
6規劃
61因應風險評及機會之行動
62資訊安全目標極其達成之規劃
7支援
71資源
72能力
73認知
74溝通或傳達
75文件化資訊
8運作
81運作之規劃及控制
82資訊安全風險評鑑
83資訊安全風險處理
9績效評估
91監督量測分析及評估
92內部稽核
93管理審查
10改善
101不符合項目及矯正措施
102持續改善
8
14個領域 114控制條款
9
ISO 27001
資訊技術-安全技術-資訊安全管理系統-要求事項
ISO 27005
資訊技術-安全技術-資訊安全風險管理
ISO 31000
風險管理-原則與指導綱要
10
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
11
組織應如何看待風險 ORCA (Object Risk Control Alignment)
7 March 201612
企業體 目標
風險
控制
企業目標
資訊科技目標
財務目標
業務目標
資訊安全目標
技術面 管理面
風險同時會帶來正面與負面的影響
7 March 201613
機會
風險
改變amp
創新
抓住機會及管控風險
採用新方案
因此hellip
風險是未來的不確定事件該事件會影響組織目標的達成包括策略作業財務或其他目標
所有的投資都有風險
bull 不一定賺得到您所想賺的錢
bull 一定會有達不到的機會
風險越高 報酬越高
bull 損失的可能性很大
風險的本質
不確定性(Uncertainty)
與預期不符
ex顧客之信任與否
危險(Hazard)
不利事件之發生
ex營運中斷
機會(Opportunity)
之開發與利用
ex新科技之使用
管理階層對於風險看法之轉變
過去hellip
bull 風險監督是內部稽核之責任
bull 風險只是須加以控管之負面因素
bull 風險管理係依組織架構執行
bull 風險管理係較低階層之責任
bull 風險衡量係主觀的
bull 未結構化及分歧的風險管理功能
現在hellip
bull 風險監督是管理當局之責任
bull 危機即是轉機
bull 風險管理是整合性且適用於企業整體
bull 風險管理係為高階層及各執行單位之責任
bull 以數量化衡量風險
bull 風險管理機制建置於各企業管理系統上
6
17
想想如果要完整得到貴機關風險項目需要誰一起參與
機關目標
內部流程 人員 系統
風險風險
控制 控制
單位目標
願景使命
監督
風險風險
控制 控制
單位目標
風險風險
控制 控制
單位目標
ISO 27001本文--4組織全景
41 瞭解組織及其全景
組織應決定與其目的有關且影響達成其資訊安全管理系統預期成果能力者之內部及外部議題
備考決定此等議題係指建立於 ISO 31000[5] 53 中所考量之組織內部及外部全景
42 瞭解關注方之需要及期望組織應決定下列事項
(a) 與資訊安全管理系統有關之關注各方
(b) 此等關注方對資訊安全之要求事項
備考關注方之要求事項可能包括法律及法規要求以及契約義務
18
ISO 31000 ndash53建立前後環節(14)
531 一般
532 建立外部前後環節
外部前後環節可包括但不侷限於下列
無論是國際國家區域抑或地方其社會與文化政治法令規章財務技術經濟自然及競爭環境
對組織的目標具有衝擊之主要推動者與趨勢及與外部利害相關者的關係以及外部利害相關者之感知與價值
19
ISO 31000 ndash53建立前後環節(24)
533 建立內部前後環節瞭解內部前後環節係必要的此可包括但不侷限於下列 治理組織的結構角色及責任 政策目標以及恰當可達成的策略 由資源與知識 (如資金時間人員過程系統及技術 )的觀點所瞭解的能力
與內部利害相關者的關係以及內部利害相關者之感知與價值
組織的文化 資訊系統資訊流及決策過程 (正式與非正式兩者 )
組織所採納的標準指導綱要及模式及 合約關係之形式與範圍
20
ISO 31000 ndash53建立前後環節(34)
534 建立風險管理過程之前後環節風險管理過程之前後環節將依據組織需求而改變此可包括但不侷限於下列 界定風險管理活動之目的與目標 界定風險管理過程與範圍內之責任 界定適用範圍以及風險管理活動進行的深度與幅度包含特定涵括事項與排除事項
界定以時間與地點為觀點之活動過程功能專案計畫產品服務或資產
界定特定專案過程或活動與組織其他專案過程或活動間之關係
界定風險評鑑方法論 界定風險管理的績效與有效性評估之方式 鑑別與詳述經作成的決策及 鑑別限定或設計所需之研究其範圍與目標及此類研究所需的資源
21
ISO 31000 ndash53建立前後環節(44)
535 界定風險準則當界定風險準則時須包括下列考量的因素 緣由之本質與型式及可能產生的結果
(後果 )以及如何量測 可能性將如何界定 可能性及 或結果 (後果 )之時間組合 風險等級如何決定 利害相關者之意見 風險成為可接受或可忍受之等級及 是否須考量合併多個風險及如是時如何與何項合併須予以考量
22
ISO 27001本文--6規劃(611)
23
61 因應風險及機會之行動611 一般要求於規劃資訊安全管理系統時組織應考量 41 所提及之議題及 42 所提及之要求事項並決定需因應之風險及機會以達成下列事項
(a) 確保資訊安全管理系統達成其預期成果(b) 預防或減少非所欲之影響(c) 達成持續改善組織應規劃下列事項(d) 因應此等風險及機會之行動(e) 執行下列事項之方法
(1) 將各項行動整合及實作於其資訊安全管理系統過程之中(2) 評估此等行動之有效性
ISO 27005標準之結構
24
本標準包含資訊安全風險管理過程及其活動之描述
第 5 節提供背景資訊 第 6 節為資訊安全風險管理過程之概觀 第 6 節中所提及的所有資訊安全風險管理活動依序描述於下列節次中
- 第 7 節全景建立 - 第 8 節風險評鑑 - 第 9 節風險處理 - 第 10 節風險接受 - 第 11 節風險溝通 - 第 12 節風險監視及審查
ISO 27005bull 資訊安全風險管理宜為一持續之過程該過程使用風險處理計畫以實作建議
與決策宜建立內部與外部全景評估風險及處理風險風險管理於決定宜在何時做何事之前要先分析會發生何事及可能之後果以降低風險至可接受等級
bull 資訊安全風險管理宜對下列各項有所助益
- 識別風險
-依其對營運造成之後果與其發生之可能性以評鑑風險
- 溝通並瞭解此風險之可能性與後果
- 建立風險處理之優先序
- 降低風險發生措施之優先序
-在做風險管理決策時使利害相關者參與並將風險管理狀態告知
- 風險處理監視之有效性
- 定期監視及審查風險與風險管理過程
- 為改善風險管理作法所擷取之資訊
- 管理者及員工須受有關風險及減緩措施之教育訓練
bull 資訊安全風險管理過程能適用於整個組織組織任一個別部分 ( 例部門實體位置服務 ) 任一資訊系統現有或已規劃或特定控制之層面 ( 例營運持續規畫 )
25
資訊安全風險管理過程(ISO 27005)
26
27
維基百科
迭代是重複反饋過程的活動其目的通常是為了接近併到達所需的目標或結果每一次對過程的重複被稱為一次「迭代」而每一次迭代得到的結果會被用來作為下一次迭代的初始值
ISO27005
資訊安全風險管理過程包含建立全景(第 7 節 )風險評鑑 (第 8 節 )風險處理 (第 9節 )風險接受 (第 10 節 )風險溝通及諮詢 (第 11 節 )風險監視及審查 (第 12 節 )
ISO 31000目錄架構
28
1適用範圍 2用語及定義 3原則 4架構
41一般
42宣示與承諾
43管理風險之架構設計
44實施風險管理
45架構之監測與審查
46架構之持續改進
5過程
51一般
52溝通與諮商
53建立前後環節
54風險評鑑
55風險處理
56監測與審查
57紀錄風險管理過程
ISO 31000 風險管理原則架構及過程間的關係
29
ISO 31000 管理風險的架構組成間之關係
30
ISO 31000 管理風險過程
31
ISMS 與資訊安全風險管理過程之校準
32
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
33
34
風險評鑑流程-資產清查
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點
35
業務流程與資訊資產變更
關鍵活動輸入(需求說明)
產出(交付項目)
資源 紀錄
(可接受風險等級CIA)
規範
所有權 度量標準
(人員環境設備工具通訊等)
36
資訊縱深模型
人員
bull 骨幹網路網路服務網路服務
硬體設備
作業系統
應用程式
資料紀錄
bull 伺服器路由器防火牆
bull Windows XPLinux
bull IISOffice防毒軟體
bull 資料庫系統文件Log
bull 使用者作業員管理員
資訊載體
資訊本體
資訊
軟體
實體
服務
人員
資訊資產分類
資訊資產(六大類)
環境
資產
硬體
資產
軟體
資產
通訊
資產
資料
資產
人員
資產
7 March 201637
38
風險評鑑流程-資產價值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
鑑別資產價值資產盤點
何為資產的C I A
bull著重於資訊的暴露或洩露時是否會對組織造成傷害
機密性(C)
bull著重於資訊未經授權的修改或內容錯誤是否會對組織造成傷害
完整性(I)
bull合法使用者於被授權時間的可用性與迫切性需求
可用性(A)
39
7 March 201640
風險評鑑流程-威脅弱點分析
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
威脅弱點分析鑑別資產價值資產盤點
41
資產風險弱點風險關係圖
風險關聯圖
8
AssetsVV
V
VT
T
R
TRR
S
T威脅S保護措施V弱點
R風險RR剩餘風險
弱點威脅與風險之間的關係
低 中 高
高
中
低
威
脅
弱點
中度風險
高風險
低風險
44
威脅脆弱點鑑別
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
45
風險評鑑流程-評估風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 評估風險值威脅弱點分析
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))
X
(事件發生機率(等級)x 事件衝擊(等級))
46
47
風險評鑑流程-可接受風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 可接受風險值評估風險值
48
訂定可接受風險值
(原因理由) 對超過可接風險值之資訊資產提出對策與控制
ISO 27001本文--6規劃(612)
49
612 資訊安全風險評鑑組織應定義及應用資訊安全風險評鑑過程於下列事項中(a) 建立及維持包括下列準則之資訊安全風險準則
(1) 風險接受準則(2) 履行資訊安全風險評鑑之準則
(b) 確保重複之資訊安全風險評鑑產生一致有效及適於比較之結果(c) 識別資訊安全風險
(1) 應用資訊安全風險評鑑過程以識別資訊安全管理系統範圍內與漏失資訊之機密性完整性及可用性相關聯之風險(2) 識別風險擁有者
(d) 分析資訊安全風險(1) 評鑑若 612(c)(1) 中所識別之風險實現時可能導致之潛在後果(2) 評鑑 612(c)(1) 中所識別之風險發生的實際可能性(3) 決定風險等級
(e) 評估資訊安全風險(1) 以 612(a) 中所建立之風險準則比較風險分析結果(2) 訂定已分析風險之風險處理優先序
組織應保存關於資訊安全風險評鑑過程之文件化資訊
ISO 27001本文mdash8運作(82)
50
82 資訊安全風險評鑑組織應依規劃之期間或當提議或發生重大變更時考量 612(a) 所建立之準則執行資訊安全風險評鑑組織應保存資訊安全風險評鑑結果之文件化資訊
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
51
52
風險管理定義為有效管理可能發生的事件及其不利的影響所執行的步驟與過程基本架構包括辨識評估處理監控等程序
評估之後做甚麼
1辨識風險
2評估風險
3處理風險
4監視評估
- 53 -
資安措施規劃與執行(1)
- 54 -
資安措施規劃與執行(2)
- 55 -
控制措施作用示意
弱點
弱點
控制措施類型
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
ISO 27001架構
6
7
ISO 27001 本文結構
4組織全景
41瞭解組織及其全景
42理解關注芳枝需要及期望
43決定資訊安全管理系統之範圍
44資訊安全管理系統
5領導作為
51領導及承諾
52政策
53組織角色責任及權限
6規劃
61因應風險評及機會之行動
62資訊安全目標極其達成之規劃
7支援
71資源
72能力
73認知
74溝通或傳達
75文件化資訊
8運作
81運作之規劃及控制
82資訊安全風險評鑑
83資訊安全風險處理
9績效評估
91監督量測分析及評估
92內部稽核
93管理審查
10改善
101不符合項目及矯正措施
102持續改善
8
14個領域 114控制條款
9
ISO 27001
資訊技術-安全技術-資訊安全管理系統-要求事項
ISO 27005
資訊技術-安全技術-資訊安全風險管理
ISO 31000
風險管理-原則與指導綱要
10
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
11
組織應如何看待風險 ORCA (Object Risk Control Alignment)
7 March 201612
企業體 目標
風險
控制
企業目標
資訊科技目標
財務目標
業務目標
資訊安全目標
技術面 管理面
風險同時會帶來正面與負面的影響
7 March 201613
機會
風險
改變amp
創新
抓住機會及管控風險
採用新方案
因此hellip
風險是未來的不確定事件該事件會影響組織目標的達成包括策略作業財務或其他目標
所有的投資都有風險
bull 不一定賺得到您所想賺的錢
bull 一定會有達不到的機會
風險越高 報酬越高
bull 損失的可能性很大
風險的本質
不確定性(Uncertainty)
與預期不符
ex顧客之信任與否
危險(Hazard)
不利事件之發生
ex營運中斷
機會(Opportunity)
之開發與利用
ex新科技之使用
管理階層對於風險看法之轉變
過去hellip
bull 風險監督是內部稽核之責任
bull 風險只是須加以控管之負面因素
bull 風險管理係依組織架構執行
bull 風險管理係較低階層之責任
bull 風險衡量係主觀的
bull 未結構化及分歧的風險管理功能
現在hellip
bull 風險監督是管理當局之責任
bull 危機即是轉機
bull 風險管理是整合性且適用於企業整體
bull 風險管理係為高階層及各執行單位之責任
bull 以數量化衡量風險
bull 風險管理機制建置於各企業管理系統上
6
17
想想如果要完整得到貴機關風險項目需要誰一起參與
機關目標
內部流程 人員 系統
風險風險
控制 控制
單位目標
願景使命
監督
風險風險
控制 控制
單位目標
風險風險
控制 控制
單位目標
ISO 27001本文--4組織全景
41 瞭解組織及其全景
組織應決定與其目的有關且影響達成其資訊安全管理系統預期成果能力者之內部及外部議題
備考決定此等議題係指建立於 ISO 31000[5] 53 中所考量之組織內部及外部全景
42 瞭解關注方之需要及期望組織應決定下列事項
(a) 與資訊安全管理系統有關之關注各方
(b) 此等關注方對資訊安全之要求事項
備考關注方之要求事項可能包括法律及法規要求以及契約義務
18
ISO 31000 ndash53建立前後環節(14)
531 一般
532 建立外部前後環節
外部前後環節可包括但不侷限於下列
無論是國際國家區域抑或地方其社會與文化政治法令規章財務技術經濟自然及競爭環境
對組織的目標具有衝擊之主要推動者與趨勢及與外部利害相關者的關係以及外部利害相關者之感知與價值
19
ISO 31000 ndash53建立前後環節(24)
533 建立內部前後環節瞭解內部前後環節係必要的此可包括但不侷限於下列 治理組織的結構角色及責任 政策目標以及恰當可達成的策略 由資源與知識 (如資金時間人員過程系統及技術 )的觀點所瞭解的能力
與內部利害相關者的關係以及內部利害相關者之感知與價值
組織的文化 資訊系統資訊流及決策過程 (正式與非正式兩者 )
組織所採納的標準指導綱要及模式及 合約關係之形式與範圍
20
ISO 31000 ndash53建立前後環節(34)
534 建立風險管理過程之前後環節風險管理過程之前後環節將依據組織需求而改變此可包括但不侷限於下列 界定風險管理活動之目的與目標 界定風險管理過程與範圍內之責任 界定適用範圍以及風險管理活動進行的深度與幅度包含特定涵括事項與排除事項
界定以時間與地點為觀點之活動過程功能專案計畫產品服務或資產
界定特定專案過程或活動與組織其他專案過程或活動間之關係
界定風險評鑑方法論 界定風險管理的績效與有效性評估之方式 鑑別與詳述經作成的決策及 鑑別限定或設計所需之研究其範圍與目標及此類研究所需的資源
21
ISO 31000 ndash53建立前後環節(44)
535 界定風險準則當界定風險準則時須包括下列考量的因素 緣由之本質與型式及可能產生的結果
(後果 )以及如何量測 可能性將如何界定 可能性及 或結果 (後果 )之時間組合 風險等級如何決定 利害相關者之意見 風險成為可接受或可忍受之等級及 是否須考量合併多個風險及如是時如何與何項合併須予以考量
22
ISO 27001本文--6規劃(611)
23
61 因應風險及機會之行動611 一般要求於規劃資訊安全管理系統時組織應考量 41 所提及之議題及 42 所提及之要求事項並決定需因應之風險及機會以達成下列事項
(a) 確保資訊安全管理系統達成其預期成果(b) 預防或減少非所欲之影響(c) 達成持續改善組織應規劃下列事項(d) 因應此等風險及機會之行動(e) 執行下列事項之方法
(1) 將各項行動整合及實作於其資訊安全管理系統過程之中(2) 評估此等行動之有效性
ISO 27005標準之結構
24
本標準包含資訊安全風險管理過程及其活動之描述
第 5 節提供背景資訊 第 6 節為資訊安全風險管理過程之概觀 第 6 節中所提及的所有資訊安全風險管理活動依序描述於下列節次中
- 第 7 節全景建立 - 第 8 節風險評鑑 - 第 9 節風險處理 - 第 10 節風險接受 - 第 11 節風險溝通 - 第 12 節風險監視及審查
ISO 27005bull 資訊安全風險管理宜為一持續之過程該過程使用風險處理計畫以實作建議
與決策宜建立內部與外部全景評估風險及處理風險風險管理於決定宜在何時做何事之前要先分析會發生何事及可能之後果以降低風險至可接受等級
bull 資訊安全風險管理宜對下列各項有所助益
- 識別風險
-依其對營運造成之後果與其發生之可能性以評鑑風險
- 溝通並瞭解此風險之可能性與後果
- 建立風險處理之優先序
- 降低風險發生措施之優先序
-在做風險管理決策時使利害相關者參與並將風險管理狀態告知
- 風險處理監視之有效性
- 定期監視及審查風險與風險管理過程
- 為改善風險管理作法所擷取之資訊
- 管理者及員工須受有關風險及減緩措施之教育訓練
bull 資訊安全風險管理過程能適用於整個組織組織任一個別部分 ( 例部門實體位置服務 ) 任一資訊系統現有或已規劃或特定控制之層面 ( 例營運持續規畫 )
25
資訊安全風險管理過程(ISO 27005)
26
27
維基百科
迭代是重複反饋過程的活動其目的通常是為了接近併到達所需的目標或結果每一次對過程的重複被稱為一次「迭代」而每一次迭代得到的結果會被用來作為下一次迭代的初始值
ISO27005
資訊安全風險管理過程包含建立全景(第 7 節 )風險評鑑 (第 8 節 )風險處理 (第 9節 )風險接受 (第 10 節 )風險溝通及諮詢 (第 11 節 )風險監視及審查 (第 12 節 )
ISO 31000目錄架構
28
1適用範圍 2用語及定義 3原則 4架構
41一般
42宣示與承諾
43管理風險之架構設計
44實施風險管理
45架構之監測與審查
46架構之持續改進
5過程
51一般
52溝通與諮商
53建立前後環節
54風險評鑑
55風險處理
56監測與審查
57紀錄風險管理過程
ISO 31000 風險管理原則架構及過程間的關係
29
ISO 31000 管理風險的架構組成間之關係
30
ISO 31000 管理風險過程
31
ISMS 與資訊安全風險管理過程之校準
32
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
33
34
風險評鑑流程-資產清查
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點
35
業務流程與資訊資產變更
關鍵活動輸入(需求說明)
產出(交付項目)
資源 紀錄
(可接受風險等級CIA)
規範
所有權 度量標準
(人員環境設備工具通訊等)
36
資訊縱深模型
人員
bull 骨幹網路網路服務網路服務
硬體設備
作業系統
應用程式
資料紀錄
bull 伺服器路由器防火牆
bull Windows XPLinux
bull IISOffice防毒軟體
bull 資料庫系統文件Log
bull 使用者作業員管理員
資訊載體
資訊本體
資訊
軟體
實體
服務
人員
資訊資產分類
資訊資產(六大類)
環境
資產
硬體
資產
軟體
資產
通訊
資產
資料
資產
人員
資產
7 March 201637
38
風險評鑑流程-資產價值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
鑑別資產價值資產盤點
何為資產的C I A
bull著重於資訊的暴露或洩露時是否會對組織造成傷害
機密性(C)
bull著重於資訊未經授權的修改或內容錯誤是否會對組織造成傷害
完整性(I)
bull合法使用者於被授權時間的可用性與迫切性需求
可用性(A)
39
7 March 201640
風險評鑑流程-威脅弱點分析
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
威脅弱點分析鑑別資產價值資產盤點
41
資產風險弱點風險關係圖
風險關聯圖
8
AssetsVV
V
VT
T
R
TRR
S
T威脅S保護措施V弱點
R風險RR剩餘風險
弱點威脅與風險之間的關係
低 中 高
高
中
低
威
脅
弱點
中度風險
高風險
低風險
44
威脅脆弱點鑑別
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
45
風險評鑑流程-評估風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 評估風險值威脅弱點分析
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))
X
(事件發生機率(等級)x 事件衝擊(等級))
46
47
風險評鑑流程-可接受風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 可接受風險值評估風險值
48
訂定可接受風險值
(原因理由) 對超過可接風險值之資訊資產提出對策與控制
ISO 27001本文--6規劃(612)
49
612 資訊安全風險評鑑組織應定義及應用資訊安全風險評鑑過程於下列事項中(a) 建立及維持包括下列準則之資訊安全風險準則
(1) 風險接受準則(2) 履行資訊安全風險評鑑之準則
(b) 確保重複之資訊安全風險評鑑產生一致有效及適於比較之結果(c) 識別資訊安全風險
(1) 應用資訊安全風險評鑑過程以識別資訊安全管理系統範圍內與漏失資訊之機密性完整性及可用性相關聯之風險(2) 識別風險擁有者
(d) 分析資訊安全風險(1) 評鑑若 612(c)(1) 中所識別之風險實現時可能導致之潛在後果(2) 評鑑 612(c)(1) 中所識別之風險發生的實際可能性(3) 決定風險等級
(e) 評估資訊安全風險(1) 以 612(a) 中所建立之風險準則比較風險分析結果(2) 訂定已分析風險之風險處理優先序
組織應保存關於資訊安全風險評鑑過程之文件化資訊
ISO 27001本文mdash8運作(82)
50
82 資訊安全風險評鑑組織應依規劃之期間或當提議或發生重大變更時考量 612(a) 所建立之準則執行資訊安全風險評鑑組織應保存資訊安全風險評鑑結果之文件化資訊
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
51
52
風險管理定義為有效管理可能發生的事件及其不利的影響所執行的步驟與過程基本架構包括辨識評估處理監控等程序
評估之後做甚麼
1辨識風險
2評估風險
3處理風險
4監視評估
- 53 -
資安措施規劃與執行(1)
- 54 -
資安措施規劃與執行(2)
- 55 -
控制措施作用示意
弱點
弱點
控制措施類型
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
7
ISO 27001 本文結構
4組織全景
41瞭解組織及其全景
42理解關注芳枝需要及期望
43決定資訊安全管理系統之範圍
44資訊安全管理系統
5領導作為
51領導及承諾
52政策
53組織角色責任及權限
6規劃
61因應風險評及機會之行動
62資訊安全目標極其達成之規劃
7支援
71資源
72能力
73認知
74溝通或傳達
75文件化資訊
8運作
81運作之規劃及控制
82資訊安全風險評鑑
83資訊安全風險處理
9績效評估
91監督量測分析及評估
92內部稽核
93管理審查
10改善
101不符合項目及矯正措施
102持續改善
8
14個領域 114控制條款
9
ISO 27001
資訊技術-安全技術-資訊安全管理系統-要求事項
ISO 27005
資訊技術-安全技術-資訊安全風險管理
ISO 31000
風險管理-原則與指導綱要
10
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
11
組織應如何看待風險 ORCA (Object Risk Control Alignment)
7 March 201612
企業體 目標
風險
控制
企業目標
資訊科技目標
財務目標
業務目標
資訊安全目標
技術面 管理面
風險同時會帶來正面與負面的影響
7 March 201613
機會
風險
改變amp
創新
抓住機會及管控風險
採用新方案
因此hellip
風險是未來的不確定事件該事件會影響組織目標的達成包括策略作業財務或其他目標
所有的投資都有風險
bull 不一定賺得到您所想賺的錢
bull 一定會有達不到的機會
風險越高 報酬越高
bull 損失的可能性很大
風險的本質
不確定性(Uncertainty)
與預期不符
ex顧客之信任與否
危險(Hazard)
不利事件之發生
ex營運中斷
機會(Opportunity)
之開發與利用
ex新科技之使用
管理階層對於風險看法之轉變
過去hellip
bull 風險監督是內部稽核之責任
bull 風險只是須加以控管之負面因素
bull 風險管理係依組織架構執行
bull 風險管理係較低階層之責任
bull 風險衡量係主觀的
bull 未結構化及分歧的風險管理功能
現在hellip
bull 風險監督是管理當局之責任
bull 危機即是轉機
bull 風險管理是整合性且適用於企業整體
bull 風險管理係為高階層及各執行單位之責任
bull 以數量化衡量風險
bull 風險管理機制建置於各企業管理系統上
6
17
想想如果要完整得到貴機關風險項目需要誰一起參與
機關目標
內部流程 人員 系統
風險風險
控制 控制
單位目標
願景使命
監督
風險風險
控制 控制
單位目標
風險風險
控制 控制
單位目標
ISO 27001本文--4組織全景
41 瞭解組織及其全景
組織應決定與其目的有關且影響達成其資訊安全管理系統預期成果能力者之內部及外部議題
備考決定此等議題係指建立於 ISO 31000[5] 53 中所考量之組織內部及外部全景
42 瞭解關注方之需要及期望組織應決定下列事項
(a) 與資訊安全管理系統有關之關注各方
(b) 此等關注方對資訊安全之要求事項
備考關注方之要求事項可能包括法律及法規要求以及契約義務
18
ISO 31000 ndash53建立前後環節(14)
531 一般
532 建立外部前後環節
外部前後環節可包括但不侷限於下列
無論是國際國家區域抑或地方其社會與文化政治法令規章財務技術經濟自然及競爭環境
對組織的目標具有衝擊之主要推動者與趨勢及與外部利害相關者的關係以及外部利害相關者之感知與價值
19
ISO 31000 ndash53建立前後環節(24)
533 建立內部前後環節瞭解內部前後環節係必要的此可包括但不侷限於下列 治理組織的結構角色及責任 政策目標以及恰當可達成的策略 由資源與知識 (如資金時間人員過程系統及技術 )的觀點所瞭解的能力
與內部利害相關者的關係以及內部利害相關者之感知與價值
組織的文化 資訊系統資訊流及決策過程 (正式與非正式兩者 )
組織所採納的標準指導綱要及模式及 合約關係之形式與範圍
20
ISO 31000 ndash53建立前後環節(34)
534 建立風險管理過程之前後環節風險管理過程之前後環節將依據組織需求而改變此可包括但不侷限於下列 界定風險管理活動之目的與目標 界定風險管理過程與範圍內之責任 界定適用範圍以及風險管理活動進行的深度與幅度包含特定涵括事項與排除事項
界定以時間與地點為觀點之活動過程功能專案計畫產品服務或資產
界定特定專案過程或活動與組織其他專案過程或活動間之關係
界定風險評鑑方法論 界定風險管理的績效與有效性評估之方式 鑑別與詳述經作成的決策及 鑑別限定或設計所需之研究其範圍與目標及此類研究所需的資源
21
ISO 31000 ndash53建立前後環節(44)
535 界定風險準則當界定風險準則時須包括下列考量的因素 緣由之本質與型式及可能產生的結果
(後果 )以及如何量測 可能性將如何界定 可能性及 或結果 (後果 )之時間組合 風險等級如何決定 利害相關者之意見 風險成為可接受或可忍受之等級及 是否須考量合併多個風險及如是時如何與何項合併須予以考量
22
ISO 27001本文--6規劃(611)
23
61 因應風險及機會之行動611 一般要求於規劃資訊安全管理系統時組織應考量 41 所提及之議題及 42 所提及之要求事項並決定需因應之風險及機會以達成下列事項
(a) 確保資訊安全管理系統達成其預期成果(b) 預防或減少非所欲之影響(c) 達成持續改善組織應規劃下列事項(d) 因應此等風險及機會之行動(e) 執行下列事項之方法
(1) 將各項行動整合及實作於其資訊安全管理系統過程之中(2) 評估此等行動之有效性
ISO 27005標準之結構
24
本標準包含資訊安全風險管理過程及其活動之描述
第 5 節提供背景資訊 第 6 節為資訊安全風險管理過程之概觀 第 6 節中所提及的所有資訊安全風險管理活動依序描述於下列節次中
- 第 7 節全景建立 - 第 8 節風險評鑑 - 第 9 節風險處理 - 第 10 節風險接受 - 第 11 節風險溝通 - 第 12 節風險監視及審查
ISO 27005bull 資訊安全風險管理宜為一持續之過程該過程使用風險處理計畫以實作建議
與決策宜建立內部與外部全景評估風險及處理風險風險管理於決定宜在何時做何事之前要先分析會發生何事及可能之後果以降低風險至可接受等級
bull 資訊安全風險管理宜對下列各項有所助益
- 識別風險
-依其對營運造成之後果與其發生之可能性以評鑑風險
- 溝通並瞭解此風險之可能性與後果
- 建立風險處理之優先序
- 降低風險發生措施之優先序
-在做風險管理決策時使利害相關者參與並將風險管理狀態告知
- 風險處理監視之有效性
- 定期監視及審查風險與風險管理過程
- 為改善風險管理作法所擷取之資訊
- 管理者及員工須受有關風險及減緩措施之教育訓練
bull 資訊安全風險管理過程能適用於整個組織組織任一個別部分 ( 例部門實體位置服務 ) 任一資訊系統現有或已規劃或特定控制之層面 ( 例營運持續規畫 )
25
資訊安全風險管理過程(ISO 27005)
26
27
維基百科
迭代是重複反饋過程的活動其目的通常是為了接近併到達所需的目標或結果每一次對過程的重複被稱為一次「迭代」而每一次迭代得到的結果會被用來作為下一次迭代的初始值
ISO27005
資訊安全風險管理過程包含建立全景(第 7 節 )風險評鑑 (第 8 節 )風險處理 (第 9節 )風險接受 (第 10 節 )風險溝通及諮詢 (第 11 節 )風險監視及審查 (第 12 節 )
ISO 31000目錄架構
28
1適用範圍 2用語及定義 3原則 4架構
41一般
42宣示與承諾
43管理風險之架構設計
44實施風險管理
45架構之監測與審查
46架構之持續改進
5過程
51一般
52溝通與諮商
53建立前後環節
54風險評鑑
55風險處理
56監測與審查
57紀錄風險管理過程
ISO 31000 風險管理原則架構及過程間的關係
29
ISO 31000 管理風險的架構組成間之關係
30
ISO 31000 管理風險過程
31
ISMS 與資訊安全風險管理過程之校準
32
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
33
34
風險評鑑流程-資產清查
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點
35
業務流程與資訊資產變更
關鍵活動輸入(需求說明)
產出(交付項目)
資源 紀錄
(可接受風險等級CIA)
規範
所有權 度量標準
(人員環境設備工具通訊等)
36
資訊縱深模型
人員
bull 骨幹網路網路服務網路服務
硬體設備
作業系統
應用程式
資料紀錄
bull 伺服器路由器防火牆
bull Windows XPLinux
bull IISOffice防毒軟體
bull 資料庫系統文件Log
bull 使用者作業員管理員
資訊載體
資訊本體
資訊
軟體
實體
服務
人員
資訊資產分類
資訊資產(六大類)
環境
資產
硬體
資產
軟體
資產
通訊
資產
資料
資產
人員
資產
7 March 201637
38
風險評鑑流程-資產價值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
鑑別資產價值資產盤點
何為資產的C I A
bull著重於資訊的暴露或洩露時是否會對組織造成傷害
機密性(C)
bull著重於資訊未經授權的修改或內容錯誤是否會對組織造成傷害
完整性(I)
bull合法使用者於被授權時間的可用性與迫切性需求
可用性(A)
39
7 March 201640
風險評鑑流程-威脅弱點分析
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
威脅弱點分析鑑別資產價值資產盤點
41
資產風險弱點風險關係圖
風險關聯圖
8
AssetsVV
V
VT
T
R
TRR
S
T威脅S保護措施V弱點
R風險RR剩餘風險
弱點威脅與風險之間的關係
低 中 高
高
中
低
威
脅
弱點
中度風險
高風險
低風險
44
威脅脆弱點鑑別
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
45
風險評鑑流程-評估風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 評估風險值威脅弱點分析
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))
X
(事件發生機率(等級)x 事件衝擊(等級))
46
47
風險評鑑流程-可接受風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 可接受風險值評估風險值
48
訂定可接受風險值
(原因理由) 對超過可接風險值之資訊資產提出對策與控制
ISO 27001本文--6規劃(612)
49
612 資訊安全風險評鑑組織應定義及應用資訊安全風險評鑑過程於下列事項中(a) 建立及維持包括下列準則之資訊安全風險準則
(1) 風險接受準則(2) 履行資訊安全風險評鑑之準則
(b) 確保重複之資訊安全風險評鑑產生一致有效及適於比較之結果(c) 識別資訊安全風險
(1) 應用資訊安全風險評鑑過程以識別資訊安全管理系統範圍內與漏失資訊之機密性完整性及可用性相關聯之風險(2) 識別風險擁有者
(d) 分析資訊安全風險(1) 評鑑若 612(c)(1) 中所識別之風險實現時可能導致之潛在後果(2) 評鑑 612(c)(1) 中所識別之風險發生的實際可能性(3) 決定風險等級
(e) 評估資訊安全風險(1) 以 612(a) 中所建立之風險準則比較風險分析結果(2) 訂定已分析風險之風險處理優先序
組織應保存關於資訊安全風險評鑑過程之文件化資訊
ISO 27001本文mdash8運作(82)
50
82 資訊安全風險評鑑組織應依規劃之期間或當提議或發生重大變更時考量 612(a) 所建立之準則執行資訊安全風險評鑑組織應保存資訊安全風險評鑑結果之文件化資訊
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
51
52
風險管理定義為有效管理可能發生的事件及其不利的影響所執行的步驟與過程基本架構包括辨識評估處理監控等程序
評估之後做甚麼
1辨識風險
2評估風險
3處理風險
4監視評估
- 53 -
資安措施規劃與執行(1)
- 54 -
資安措施規劃與執行(2)
- 55 -
控制措施作用示意
弱點
弱點
控制措施類型
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
ISO 27001 本文結構
4組織全景
41瞭解組織及其全景
42理解關注芳枝需要及期望
43決定資訊安全管理系統之範圍
44資訊安全管理系統
5領導作為
51領導及承諾
52政策
53組織角色責任及權限
6規劃
61因應風險評及機會之行動
62資訊安全目標極其達成之規劃
7支援
71資源
72能力
73認知
74溝通或傳達
75文件化資訊
8運作
81運作之規劃及控制
82資訊安全風險評鑑
83資訊安全風險處理
9績效評估
91監督量測分析及評估
92內部稽核
93管理審查
10改善
101不符合項目及矯正措施
102持續改善
8
14個領域 114控制條款
9
ISO 27001
資訊技術-安全技術-資訊安全管理系統-要求事項
ISO 27005
資訊技術-安全技術-資訊安全風險管理
ISO 31000
風險管理-原則與指導綱要
10
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
11
組織應如何看待風險 ORCA (Object Risk Control Alignment)
7 March 201612
企業體 目標
風險
控制
企業目標
資訊科技目標
財務目標
業務目標
資訊安全目標
技術面 管理面
風險同時會帶來正面與負面的影響
7 March 201613
機會
風險
改變amp
創新
抓住機會及管控風險
採用新方案
因此hellip
風險是未來的不確定事件該事件會影響組織目標的達成包括策略作業財務或其他目標
所有的投資都有風險
bull 不一定賺得到您所想賺的錢
bull 一定會有達不到的機會
風險越高 報酬越高
bull 損失的可能性很大
風險的本質
不確定性(Uncertainty)
與預期不符
ex顧客之信任與否
危險(Hazard)
不利事件之發生
ex營運中斷
機會(Opportunity)
之開發與利用
ex新科技之使用
管理階層對於風險看法之轉變
過去hellip
bull 風險監督是內部稽核之責任
bull 風險只是須加以控管之負面因素
bull 風險管理係依組織架構執行
bull 風險管理係較低階層之責任
bull 風險衡量係主觀的
bull 未結構化及分歧的風險管理功能
現在hellip
bull 風險監督是管理當局之責任
bull 危機即是轉機
bull 風險管理是整合性且適用於企業整體
bull 風險管理係為高階層及各執行單位之責任
bull 以數量化衡量風險
bull 風險管理機制建置於各企業管理系統上
6
17
想想如果要完整得到貴機關風險項目需要誰一起參與
機關目標
內部流程 人員 系統
風險風險
控制 控制
單位目標
願景使命
監督
風險風險
控制 控制
單位目標
風險風險
控制 控制
單位目標
ISO 27001本文--4組織全景
41 瞭解組織及其全景
組織應決定與其目的有關且影響達成其資訊安全管理系統預期成果能力者之內部及外部議題
備考決定此等議題係指建立於 ISO 31000[5] 53 中所考量之組織內部及外部全景
42 瞭解關注方之需要及期望組織應決定下列事項
(a) 與資訊安全管理系統有關之關注各方
(b) 此等關注方對資訊安全之要求事項
備考關注方之要求事項可能包括法律及法規要求以及契約義務
18
ISO 31000 ndash53建立前後環節(14)
531 一般
532 建立外部前後環節
外部前後環節可包括但不侷限於下列
無論是國際國家區域抑或地方其社會與文化政治法令規章財務技術經濟自然及競爭環境
對組織的目標具有衝擊之主要推動者與趨勢及與外部利害相關者的關係以及外部利害相關者之感知與價值
19
ISO 31000 ndash53建立前後環節(24)
533 建立內部前後環節瞭解內部前後環節係必要的此可包括但不侷限於下列 治理組織的結構角色及責任 政策目標以及恰當可達成的策略 由資源與知識 (如資金時間人員過程系統及技術 )的觀點所瞭解的能力
與內部利害相關者的關係以及內部利害相關者之感知與價值
組織的文化 資訊系統資訊流及決策過程 (正式與非正式兩者 )
組織所採納的標準指導綱要及模式及 合約關係之形式與範圍
20
ISO 31000 ndash53建立前後環節(34)
534 建立風險管理過程之前後環節風險管理過程之前後環節將依據組織需求而改變此可包括但不侷限於下列 界定風險管理活動之目的與目標 界定風險管理過程與範圍內之責任 界定適用範圍以及風險管理活動進行的深度與幅度包含特定涵括事項與排除事項
界定以時間與地點為觀點之活動過程功能專案計畫產品服務或資產
界定特定專案過程或活動與組織其他專案過程或活動間之關係
界定風險評鑑方法論 界定風險管理的績效與有效性評估之方式 鑑別與詳述經作成的決策及 鑑別限定或設計所需之研究其範圍與目標及此類研究所需的資源
21
ISO 31000 ndash53建立前後環節(44)
535 界定風險準則當界定風險準則時須包括下列考量的因素 緣由之本質與型式及可能產生的結果
(後果 )以及如何量測 可能性將如何界定 可能性及 或結果 (後果 )之時間組合 風險等級如何決定 利害相關者之意見 風險成為可接受或可忍受之等級及 是否須考量合併多個風險及如是時如何與何項合併須予以考量
22
ISO 27001本文--6規劃(611)
23
61 因應風險及機會之行動611 一般要求於規劃資訊安全管理系統時組織應考量 41 所提及之議題及 42 所提及之要求事項並決定需因應之風險及機會以達成下列事項
(a) 確保資訊安全管理系統達成其預期成果(b) 預防或減少非所欲之影響(c) 達成持續改善組織應規劃下列事項(d) 因應此等風險及機會之行動(e) 執行下列事項之方法
(1) 將各項行動整合及實作於其資訊安全管理系統過程之中(2) 評估此等行動之有效性
ISO 27005標準之結構
24
本標準包含資訊安全風險管理過程及其活動之描述
第 5 節提供背景資訊 第 6 節為資訊安全風險管理過程之概觀 第 6 節中所提及的所有資訊安全風險管理活動依序描述於下列節次中
- 第 7 節全景建立 - 第 8 節風險評鑑 - 第 9 節風險處理 - 第 10 節風險接受 - 第 11 節風險溝通 - 第 12 節風險監視及審查
ISO 27005bull 資訊安全風險管理宜為一持續之過程該過程使用風險處理計畫以實作建議
與決策宜建立內部與外部全景評估風險及處理風險風險管理於決定宜在何時做何事之前要先分析會發生何事及可能之後果以降低風險至可接受等級
bull 資訊安全風險管理宜對下列各項有所助益
- 識別風險
-依其對營運造成之後果與其發生之可能性以評鑑風險
- 溝通並瞭解此風險之可能性與後果
- 建立風險處理之優先序
- 降低風險發生措施之優先序
-在做風險管理決策時使利害相關者參與並將風險管理狀態告知
- 風險處理監視之有效性
- 定期監視及審查風險與風險管理過程
- 為改善風險管理作法所擷取之資訊
- 管理者及員工須受有關風險及減緩措施之教育訓練
bull 資訊安全風險管理過程能適用於整個組織組織任一個別部分 ( 例部門實體位置服務 ) 任一資訊系統現有或已規劃或特定控制之層面 ( 例營運持續規畫 )
25
資訊安全風險管理過程(ISO 27005)
26
27
維基百科
迭代是重複反饋過程的活動其目的通常是為了接近併到達所需的目標或結果每一次對過程的重複被稱為一次「迭代」而每一次迭代得到的結果會被用來作為下一次迭代的初始值
ISO27005
資訊安全風險管理過程包含建立全景(第 7 節 )風險評鑑 (第 8 節 )風險處理 (第 9節 )風險接受 (第 10 節 )風險溝通及諮詢 (第 11 節 )風險監視及審查 (第 12 節 )
ISO 31000目錄架構
28
1適用範圍 2用語及定義 3原則 4架構
41一般
42宣示與承諾
43管理風險之架構設計
44實施風險管理
45架構之監測與審查
46架構之持續改進
5過程
51一般
52溝通與諮商
53建立前後環節
54風險評鑑
55風險處理
56監測與審查
57紀錄風險管理過程
ISO 31000 風險管理原則架構及過程間的關係
29
ISO 31000 管理風險的架構組成間之關係
30
ISO 31000 管理風險過程
31
ISMS 與資訊安全風險管理過程之校準
32
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
33
34
風險評鑑流程-資產清查
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點
35
業務流程與資訊資產變更
關鍵活動輸入(需求說明)
產出(交付項目)
資源 紀錄
(可接受風險等級CIA)
規範
所有權 度量標準
(人員環境設備工具通訊等)
36
資訊縱深模型
人員
bull 骨幹網路網路服務網路服務
硬體設備
作業系統
應用程式
資料紀錄
bull 伺服器路由器防火牆
bull Windows XPLinux
bull IISOffice防毒軟體
bull 資料庫系統文件Log
bull 使用者作業員管理員
資訊載體
資訊本體
資訊
軟體
實體
服務
人員
資訊資產分類
資訊資產(六大類)
環境
資產
硬體
資產
軟體
資產
通訊
資產
資料
資產
人員
資產
7 March 201637
38
風險評鑑流程-資產價值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
鑑別資產價值資產盤點
何為資產的C I A
bull著重於資訊的暴露或洩露時是否會對組織造成傷害
機密性(C)
bull著重於資訊未經授權的修改或內容錯誤是否會對組織造成傷害
完整性(I)
bull合法使用者於被授權時間的可用性與迫切性需求
可用性(A)
39
7 March 201640
風險評鑑流程-威脅弱點分析
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
威脅弱點分析鑑別資產價值資產盤點
41
資產風險弱點風險關係圖
風險關聯圖
8
AssetsVV
V
VT
T
R
TRR
S
T威脅S保護措施V弱點
R風險RR剩餘風險
弱點威脅與風險之間的關係
低 中 高
高
中
低
威
脅
弱點
中度風險
高風險
低風險
44
威脅脆弱點鑑別
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
45
風險評鑑流程-評估風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 評估風險值威脅弱點分析
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))
X
(事件發生機率(等級)x 事件衝擊(等級))
46
47
風險評鑑流程-可接受風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 可接受風險值評估風險值
48
訂定可接受風險值
(原因理由) 對超過可接風險值之資訊資產提出對策與控制
ISO 27001本文--6規劃(612)
49
612 資訊安全風險評鑑組織應定義及應用資訊安全風險評鑑過程於下列事項中(a) 建立及維持包括下列準則之資訊安全風險準則
(1) 風險接受準則(2) 履行資訊安全風險評鑑之準則
(b) 確保重複之資訊安全風險評鑑產生一致有效及適於比較之結果(c) 識別資訊安全風險
(1) 應用資訊安全風險評鑑過程以識別資訊安全管理系統範圍內與漏失資訊之機密性完整性及可用性相關聯之風險(2) 識別風險擁有者
(d) 分析資訊安全風險(1) 評鑑若 612(c)(1) 中所識別之風險實現時可能導致之潛在後果(2) 評鑑 612(c)(1) 中所識別之風險發生的實際可能性(3) 決定風險等級
(e) 評估資訊安全風險(1) 以 612(a) 中所建立之風險準則比較風險分析結果(2) 訂定已分析風險之風險處理優先序
組織應保存關於資訊安全風險評鑑過程之文件化資訊
ISO 27001本文mdash8運作(82)
50
82 資訊安全風險評鑑組織應依規劃之期間或當提議或發生重大變更時考量 612(a) 所建立之準則執行資訊安全風險評鑑組織應保存資訊安全風險評鑑結果之文件化資訊
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
51
52
風險管理定義為有效管理可能發生的事件及其不利的影響所執行的步驟與過程基本架構包括辨識評估處理監控等程序
評估之後做甚麼
1辨識風險
2評估風險
3處理風險
4監視評估
- 53 -
資安措施規劃與執行(1)
- 54 -
資安措施規劃與執行(2)
- 55 -
控制措施作用示意
弱點
弱點
控制措施類型
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
14個領域 114控制條款
9
ISO 27001
資訊技術-安全技術-資訊安全管理系統-要求事項
ISO 27005
資訊技術-安全技術-資訊安全風險管理
ISO 31000
風險管理-原則與指導綱要
10
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
11
組織應如何看待風險 ORCA (Object Risk Control Alignment)
7 March 201612
企業體 目標
風險
控制
企業目標
資訊科技目標
財務目標
業務目標
資訊安全目標
技術面 管理面
風險同時會帶來正面與負面的影響
7 March 201613
機會
風險
改變amp
創新
抓住機會及管控風險
採用新方案
因此hellip
風險是未來的不確定事件該事件會影響組織目標的達成包括策略作業財務或其他目標
所有的投資都有風險
bull 不一定賺得到您所想賺的錢
bull 一定會有達不到的機會
風險越高 報酬越高
bull 損失的可能性很大
風險的本質
不確定性(Uncertainty)
與預期不符
ex顧客之信任與否
危險(Hazard)
不利事件之發生
ex營運中斷
機會(Opportunity)
之開發與利用
ex新科技之使用
管理階層對於風險看法之轉變
過去hellip
bull 風險監督是內部稽核之責任
bull 風險只是須加以控管之負面因素
bull 風險管理係依組織架構執行
bull 風險管理係較低階層之責任
bull 風險衡量係主觀的
bull 未結構化及分歧的風險管理功能
現在hellip
bull 風險監督是管理當局之責任
bull 危機即是轉機
bull 風險管理是整合性且適用於企業整體
bull 風險管理係為高階層及各執行單位之責任
bull 以數量化衡量風險
bull 風險管理機制建置於各企業管理系統上
6
17
想想如果要完整得到貴機關風險項目需要誰一起參與
機關目標
內部流程 人員 系統
風險風險
控制 控制
單位目標
願景使命
監督
風險風險
控制 控制
單位目標
風險風險
控制 控制
單位目標
ISO 27001本文--4組織全景
41 瞭解組織及其全景
組織應決定與其目的有關且影響達成其資訊安全管理系統預期成果能力者之內部及外部議題
備考決定此等議題係指建立於 ISO 31000[5] 53 中所考量之組織內部及外部全景
42 瞭解關注方之需要及期望組織應決定下列事項
(a) 與資訊安全管理系統有關之關注各方
(b) 此等關注方對資訊安全之要求事項
備考關注方之要求事項可能包括法律及法規要求以及契約義務
18
ISO 31000 ndash53建立前後環節(14)
531 一般
532 建立外部前後環節
外部前後環節可包括但不侷限於下列
無論是國際國家區域抑或地方其社會與文化政治法令規章財務技術經濟自然及競爭環境
對組織的目標具有衝擊之主要推動者與趨勢及與外部利害相關者的關係以及外部利害相關者之感知與價值
19
ISO 31000 ndash53建立前後環節(24)
533 建立內部前後環節瞭解內部前後環節係必要的此可包括但不侷限於下列 治理組織的結構角色及責任 政策目標以及恰當可達成的策略 由資源與知識 (如資金時間人員過程系統及技術 )的觀點所瞭解的能力
與內部利害相關者的關係以及內部利害相關者之感知與價值
組織的文化 資訊系統資訊流及決策過程 (正式與非正式兩者 )
組織所採納的標準指導綱要及模式及 合約關係之形式與範圍
20
ISO 31000 ndash53建立前後環節(34)
534 建立風險管理過程之前後環節風險管理過程之前後環節將依據組織需求而改變此可包括但不侷限於下列 界定風險管理活動之目的與目標 界定風險管理過程與範圍內之責任 界定適用範圍以及風險管理活動進行的深度與幅度包含特定涵括事項與排除事項
界定以時間與地點為觀點之活動過程功能專案計畫產品服務或資產
界定特定專案過程或活動與組織其他專案過程或活動間之關係
界定風險評鑑方法論 界定風險管理的績效與有效性評估之方式 鑑別與詳述經作成的決策及 鑑別限定或設計所需之研究其範圍與目標及此類研究所需的資源
21
ISO 31000 ndash53建立前後環節(44)
535 界定風險準則當界定風險準則時須包括下列考量的因素 緣由之本質與型式及可能產生的結果
(後果 )以及如何量測 可能性將如何界定 可能性及 或結果 (後果 )之時間組合 風險等級如何決定 利害相關者之意見 風險成為可接受或可忍受之等級及 是否須考量合併多個風險及如是時如何與何項合併須予以考量
22
ISO 27001本文--6規劃(611)
23
61 因應風險及機會之行動611 一般要求於規劃資訊安全管理系統時組織應考量 41 所提及之議題及 42 所提及之要求事項並決定需因應之風險及機會以達成下列事項
(a) 確保資訊安全管理系統達成其預期成果(b) 預防或減少非所欲之影響(c) 達成持續改善組織應規劃下列事項(d) 因應此等風險及機會之行動(e) 執行下列事項之方法
(1) 將各項行動整合及實作於其資訊安全管理系統過程之中(2) 評估此等行動之有效性
ISO 27005標準之結構
24
本標準包含資訊安全風險管理過程及其活動之描述
第 5 節提供背景資訊 第 6 節為資訊安全風險管理過程之概觀 第 6 節中所提及的所有資訊安全風險管理活動依序描述於下列節次中
- 第 7 節全景建立 - 第 8 節風險評鑑 - 第 9 節風險處理 - 第 10 節風險接受 - 第 11 節風險溝通 - 第 12 節風險監視及審查
ISO 27005bull 資訊安全風險管理宜為一持續之過程該過程使用風險處理計畫以實作建議
與決策宜建立內部與外部全景評估風險及處理風險風險管理於決定宜在何時做何事之前要先分析會發生何事及可能之後果以降低風險至可接受等級
bull 資訊安全風險管理宜對下列各項有所助益
- 識別風險
-依其對營運造成之後果與其發生之可能性以評鑑風險
- 溝通並瞭解此風險之可能性與後果
- 建立風險處理之優先序
- 降低風險發生措施之優先序
-在做風險管理決策時使利害相關者參與並將風險管理狀態告知
- 風險處理監視之有效性
- 定期監視及審查風險與風險管理過程
- 為改善風險管理作法所擷取之資訊
- 管理者及員工須受有關風險及減緩措施之教育訓練
bull 資訊安全風險管理過程能適用於整個組織組織任一個別部分 ( 例部門實體位置服務 ) 任一資訊系統現有或已規劃或特定控制之層面 ( 例營運持續規畫 )
25
資訊安全風險管理過程(ISO 27005)
26
27
維基百科
迭代是重複反饋過程的活動其目的通常是為了接近併到達所需的目標或結果每一次對過程的重複被稱為一次「迭代」而每一次迭代得到的結果會被用來作為下一次迭代的初始值
ISO27005
資訊安全風險管理過程包含建立全景(第 7 節 )風險評鑑 (第 8 節 )風險處理 (第 9節 )風險接受 (第 10 節 )風險溝通及諮詢 (第 11 節 )風險監視及審查 (第 12 節 )
ISO 31000目錄架構
28
1適用範圍 2用語及定義 3原則 4架構
41一般
42宣示與承諾
43管理風險之架構設計
44實施風險管理
45架構之監測與審查
46架構之持續改進
5過程
51一般
52溝通與諮商
53建立前後環節
54風險評鑑
55風險處理
56監測與審查
57紀錄風險管理過程
ISO 31000 風險管理原則架構及過程間的關係
29
ISO 31000 管理風險的架構組成間之關係
30
ISO 31000 管理風險過程
31
ISMS 與資訊安全風險管理過程之校準
32
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
33
34
風險評鑑流程-資產清查
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點
35
業務流程與資訊資產變更
關鍵活動輸入(需求說明)
產出(交付項目)
資源 紀錄
(可接受風險等級CIA)
規範
所有權 度量標準
(人員環境設備工具通訊等)
36
資訊縱深模型
人員
bull 骨幹網路網路服務網路服務
硬體設備
作業系統
應用程式
資料紀錄
bull 伺服器路由器防火牆
bull Windows XPLinux
bull IISOffice防毒軟體
bull 資料庫系統文件Log
bull 使用者作業員管理員
資訊載體
資訊本體
資訊
軟體
實體
服務
人員
資訊資產分類
資訊資產(六大類)
環境
資產
硬體
資產
軟體
資產
通訊
資產
資料
資產
人員
資產
7 March 201637
38
風險評鑑流程-資產價值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
鑑別資產價值資產盤點
何為資產的C I A
bull著重於資訊的暴露或洩露時是否會對組織造成傷害
機密性(C)
bull著重於資訊未經授權的修改或內容錯誤是否會對組織造成傷害
完整性(I)
bull合法使用者於被授權時間的可用性與迫切性需求
可用性(A)
39
7 March 201640
風險評鑑流程-威脅弱點分析
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
威脅弱點分析鑑別資產價值資產盤點
41
資產風險弱點風險關係圖
風險關聯圖
8
AssetsVV
V
VT
T
R
TRR
S
T威脅S保護措施V弱點
R風險RR剩餘風險
弱點威脅與風險之間的關係
低 中 高
高
中
低
威
脅
弱點
中度風險
高風險
低風險
44
威脅脆弱點鑑別
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
45
風險評鑑流程-評估風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 評估風險值威脅弱點分析
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))
X
(事件發生機率(等級)x 事件衝擊(等級))
46
47
風險評鑑流程-可接受風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 可接受風險值評估風險值
48
訂定可接受風險值
(原因理由) 對超過可接風險值之資訊資產提出對策與控制
ISO 27001本文--6規劃(612)
49
612 資訊安全風險評鑑組織應定義及應用資訊安全風險評鑑過程於下列事項中(a) 建立及維持包括下列準則之資訊安全風險準則
(1) 風險接受準則(2) 履行資訊安全風險評鑑之準則
(b) 確保重複之資訊安全風險評鑑產生一致有效及適於比較之結果(c) 識別資訊安全風險
(1) 應用資訊安全風險評鑑過程以識別資訊安全管理系統範圍內與漏失資訊之機密性完整性及可用性相關聯之風險(2) 識別風險擁有者
(d) 分析資訊安全風險(1) 評鑑若 612(c)(1) 中所識別之風險實現時可能導致之潛在後果(2) 評鑑 612(c)(1) 中所識別之風險發生的實際可能性(3) 決定風險等級
(e) 評估資訊安全風險(1) 以 612(a) 中所建立之風險準則比較風險分析結果(2) 訂定已分析風險之風險處理優先序
組織應保存關於資訊安全風險評鑑過程之文件化資訊
ISO 27001本文mdash8運作(82)
50
82 資訊安全風險評鑑組織應依規劃之期間或當提議或發生重大變更時考量 612(a) 所建立之準則執行資訊安全風險評鑑組織應保存資訊安全風險評鑑結果之文件化資訊
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
51
52
風險管理定義為有效管理可能發生的事件及其不利的影響所執行的步驟與過程基本架構包括辨識評估處理監控等程序
評估之後做甚麼
1辨識風險
2評估風險
3處理風險
4監視評估
- 53 -
資安措施規劃與執行(1)
- 54 -
資安措施規劃與執行(2)
- 55 -
控制措施作用示意
弱點
弱點
控制措施類型
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
ISO 27001
資訊技術-安全技術-資訊安全管理系統-要求事項
ISO 27005
資訊技術-安全技術-資訊安全風險管理
ISO 31000
風險管理-原則與指導綱要
10
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
11
組織應如何看待風險 ORCA (Object Risk Control Alignment)
7 March 201612
企業體 目標
風險
控制
企業目標
資訊科技目標
財務目標
業務目標
資訊安全目標
技術面 管理面
風險同時會帶來正面與負面的影響
7 March 201613
機會
風險
改變amp
創新
抓住機會及管控風險
採用新方案
因此hellip
風險是未來的不確定事件該事件會影響組織目標的達成包括策略作業財務或其他目標
所有的投資都有風險
bull 不一定賺得到您所想賺的錢
bull 一定會有達不到的機會
風險越高 報酬越高
bull 損失的可能性很大
風險的本質
不確定性(Uncertainty)
與預期不符
ex顧客之信任與否
危險(Hazard)
不利事件之發生
ex營運中斷
機會(Opportunity)
之開發與利用
ex新科技之使用
管理階層對於風險看法之轉變
過去hellip
bull 風險監督是內部稽核之責任
bull 風險只是須加以控管之負面因素
bull 風險管理係依組織架構執行
bull 風險管理係較低階層之責任
bull 風險衡量係主觀的
bull 未結構化及分歧的風險管理功能
現在hellip
bull 風險監督是管理當局之責任
bull 危機即是轉機
bull 風險管理是整合性且適用於企業整體
bull 風險管理係為高階層及各執行單位之責任
bull 以數量化衡量風險
bull 風險管理機制建置於各企業管理系統上
6
17
想想如果要完整得到貴機關風險項目需要誰一起參與
機關目標
內部流程 人員 系統
風險風險
控制 控制
單位目標
願景使命
監督
風險風險
控制 控制
單位目標
風險風險
控制 控制
單位目標
ISO 27001本文--4組織全景
41 瞭解組織及其全景
組織應決定與其目的有關且影響達成其資訊安全管理系統預期成果能力者之內部及外部議題
備考決定此等議題係指建立於 ISO 31000[5] 53 中所考量之組織內部及外部全景
42 瞭解關注方之需要及期望組織應決定下列事項
(a) 與資訊安全管理系統有關之關注各方
(b) 此等關注方對資訊安全之要求事項
備考關注方之要求事項可能包括法律及法規要求以及契約義務
18
ISO 31000 ndash53建立前後環節(14)
531 一般
532 建立外部前後環節
外部前後環節可包括但不侷限於下列
無論是國際國家區域抑或地方其社會與文化政治法令規章財務技術經濟自然及競爭環境
對組織的目標具有衝擊之主要推動者與趨勢及與外部利害相關者的關係以及外部利害相關者之感知與價值
19
ISO 31000 ndash53建立前後環節(24)
533 建立內部前後環節瞭解內部前後環節係必要的此可包括但不侷限於下列 治理組織的結構角色及責任 政策目標以及恰當可達成的策略 由資源與知識 (如資金時間人員過程系統及技術 )的觀點所瞭解的能力
與內部利害相關者的關係以及內部利害相關者之感知與價值
組織的文化 資訊系統資訊流及決策過程 (正式與非正式兩者 )
組織所採納的標準指導綱要及模式及 合約關係之形式與範圍
20
ISO 31000 ndash53建立前後環節(34)
534 建立風險管理過程之前後環節風險管理過程之前後環節將依據組織需求而改變此可包括但不侷限於下列 界定風險管理活動之目的與目標 界定風險管理過程與範圍內之責任 界定適用範圍以及風險管理活動進行的深度與幅度包含特定涵括事項與排除事項
界定以時間與地點為觀點之活動過程功能專案計畫產品服務或資產
界定特定專案過程或活動與組織其他專案過程或活動間之關係
界定風險評鑑方法論 界定風險管理的績效與有效性評估之方式 鑑別與詳述經作成的決策及 鑑別限定或設計所需之研究其範圍與目標及此類研究所需的資源
21
ISO 31000 ndash53建立前後環節(44)
535 界定風險準則當界定風險準則時須包括下列考量的因素 緣由之本質與型式及可能產生的結果
(後果 )以及如何量測 可能性將如何界定 可能性及 或結果 (後果 )之時間組合 風險等級如何決定 利害相關者之意見 風險成為可接受或可忍受之等級及 是否須考量合併多個風險及如是時如何與何項合併須予以考量
22
ISO 27001本文--6規劃(611)
23
61 因應風險及機會之行動611 一般要求於規劃資訊安全管理系統時組織應考量 41 所提及之議題及 42 所提及之要求事項並決定需因應之風險及機會以達成下列事項
(a) 確保資訊安全管理系統達成其預期成果(b) 預防或減少非所欲之影響(c) 達成持續改善組織應規劃下列事項(d) 因應此等風險及機會之行動(e) 執行下列事項之方法
(1) 將各項行動整合及實作於其資訊安全管理系統過程之中(2) 評估此等行動之有效性
ISO 27005標準之結構
24
本標準包含資訊安全風險管理過程及其活動之描述
第 5 節提供背景資訊 第 6 節為資訊安全風險管理過程之概觀 第 6 節中所提及的所有資訊安全風險管理活動依序描述於下列節次中
- 第 7 節全景建立 - 第 8 節風險評鑑 - 第 9 節風險處理 - 第 10 節風險接受 - 第 11 節風險溝通 - 第 12 節風險監視及審查
ISO 27005bull 資訊安全風險管理宜為一持續之過程該過程使用風險處理計畫以實作建議
與決策宜建立內部與外部全景評估風險及處理風險風險管理於決定宜在何時做何事之前要先分析會發生何事及可能之後果以降低風險至可接受等級
bull 資訊安全風險管理宜對下列各項有所助益
- 識別風險
-依其對營運造成之後果與其發生之可能性以評鑑風險
- 溝通並瞭解此風險之可能性與後果
- 建立風險處理之優先序
- 降低風險發生措施之優先序
-在做風險管理決策時使利害相關者參與並將風險管理狀態告知
- 風險處理監視之有效性
- 定期監視及審查風險與風險管理過程
- 為改善風險管理作法所擷取之資訊
- 管理者及員工須受有關風險及減緩措施之教育訓練
bull 資訊安全風險管理過程能適用於整個組織組織任一個別部分 ( 例部門實體位置服務 ) 任一資訊系統現有或已規劃或特定控制之層面 ( 例營運持續規畫 )
25
資訊安全風險管理過程(ISO 27005)
26
27
維基百科
迭代是重複反饋過程的活動其目的通常是為了接近併到達所需的目標或結果每一次對過程的重複被稱為一次「迭代」而每一次迭代得到的結果會被用來作為下一次迭代的初始值
ISO27005
資訊安全風險管理過程包含建立全景(第 7 節 )風險評鑑 (第 8 節 )風險處理 (第 9節 )風險接受 (第 10 節 )風險溝通及諮詢 (第 11 節 )風險監視及審查 (第 12 節 )
ISO 31000目錄架構
28
1適用範圍 2用語及定義 3原則 4架構
41一般
42宣示與承諾
43管理風險之架構設計
44實施風險管理
45架構之監測與審查
46架構之持續改進
5過程
51一般
52溝通與諮商
53建立前後環節
54風險評鑑
55風險處理
56監測與審查
57紀錄風險管理過程
ISO 31000 風險管理原則架構及過程間的關係
29
ISO 31000 管理風險的架構組成間之關係
30
ISO 31000 管理風險過程
31
ISMS 與資訊安全風險管理過程之校準
32
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
33
34
風險評鑑流程-資產清查
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點
35
業務流程與資訊資產變更
關鍵活動輸入(需求說明)
產出(交付項目)
資源 紀錄
(可接受風險等級CIA)
規範
所有權 度量標準
(人員環境設備工具通訊等)
36
資訊縱深模型
人員
bull 骨幹網路網路服務網路服務
硬體設備
作業系統
應用程式
資料紀錄
bull 伺服器路由器防火牆
bull Windows XPLinux
bull IISOffice防毒軟體
bull 資料庫系統文件Log
bull 使用者作業員管理員
資訊載體
資訊本體
資訊
軟體
實體
服務
人員
資訊資產分類
資訊資產(六大類)
環境
資產
硬體
資產
軟體
資產
通訊
資產
資料
資產
人員
資產
7 March 201637
38
風險評鑑流程-資產價值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
鑑別資產價值資產盤點
何為資產的C I A
bull著重於資訊的暴露或洩露時是否會對組織造成傷害
機密性(C)
bull著重於資訊未經授權的修改或內容錯誤是否會對組織造成傷害
完整性(I)
bull合法使用者於被授權時間的可用性與迫切性需求
可用性(A)
39
7 March 201640
風險評鑑流程-威脅弱點分析
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
威脅弱點分析鑑別資產價值資產盤點
41
資產風險弱點風險關係圖
風險關聯圖
8
AssetsVV
V
VT
T
R
TRR
S
T威脅S保護措施V弱點
R風險RR剩餘風險
弱點威脅與風險之間的關係
低 中 高
高
中
低
威
脅
弱點
中度風險
高風險
低風險
44
威脅脆弱點鑑別
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
45
風險評鑑流程-評估風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 評估風險值威脅弱點分析
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))
X
(事件發生機率(等級)x 事件衝擊(等級))
46
47
風險評鑑流程-可接受風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 可接受風險值評估風險值
48
訂定可接受風險值
(原因理由) 對超過可接風險值之資訊資產提出對策與控制
ISO 27001本文--6規劃(612)
49
612 資訊安全風險評鑑組織應定義及應用資訊安全風險評鑑過程於下列事項中(a) 建立及維持包括下列準則之資訊安全風險準則
(1) 風險接受準則(2) 履行資訊安全風險評鑑之準則
(b) 確保重複之資訊安全風險評鑑產生一致有效及適於比較之結果(c) 識別資訊安全風險
(1) 應用資訊安全風險評鑑過程以識別資訊安全管理系統範圍內與漏失資訊之機密性完整性及可用性相關聯之風險(2) 識別風險擁有者
(d) 分析資訊安全風險(1) 評鑑若 612(c)(1) 中所識別之風險實現時可能導致之潛在後果(2) 評鑑 612(c)(1) 中所識別之風險發生的實際可能性(3) 決定風險等級
(e) 評估資訊安全風險(1) 以 612(a) 中所建立之風險準則比較風險分析結果(2) 訂定已分析風險之風險處理優先序
組織應保存關於資訊安全風險評鑑過程之文件化資訊
ISO 27001本文mdash8運作(82)
50
82 資訊安全風險評鑑組織應依規劃之期間或當提議或發生重大變更時考量 612(a) 所建立之準則執行資訊安全風險評鑑組織應保存資訊安全風險評鑑結果之文件化資訊
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
51
52
風險管理定義為有效管理可能發生的事件及其不利的影響所執行的步驟與過程基本架構包括辨識評估處理監控等程序
評估之後做甚麼
1辨識風險
2評估風險
3處理風險
4監視評估
- 53 -
資安措施規劃與執行(1)
- 54 -
資安措施規劃與執行(2)
- 55 -
控制措施作用示意
弱點
弱點
控制措施類型
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
11
組織應如何看待風險 ORCA (Object Risk Control Alignment)
7 March 201612
企業體 目標
風險
控制
企業目標
資訊科技目標
財務目標
業務目標
資訊安全目標
技術面 管理面
風險同時會帶來正面與負面的影響
7 March 201613
機會
風險
改變amp
創新
抓住機會及管控風險
採用新方案
因此hellip
風險是未來的不確定事件該事件會影響組織目標的達成包括策略作業財務或其他目標
所有的投資都有風險
bull 不一定賺得到您所想賺的錢
bull 一定會有達不到的機會
風險越高 報酬越高
bull 損失的可能性很大
風險的本質
不確定性(Uncertainty)
與預期不符
ex顧客之信任與否
危險(Hazard)
不利事件之發生
ex營運中斷
機會(Opportunity)
之開發與利用
ex新科技之使用
管理階層對於風險看法之轉變
過去hellip
bull 風險監督是內部稽核之責任
bull 風險只是須加以控管之負面因素
bull 風險管理係依組織架構執行
bull 風險管理係較低階層之責任
bull 風險衡量係主觀的
bull 未結構化及分歧的風險管理功能
現在hellip
bull 風險監督是管理當局之責任
bull 危機即是轉機
bull 風險管理是整合性且適用於企業整體
bull 風險管理係為高階層及各執行單位之責任
bull 以數量化衡量風險
bull 風險管理機制建置於各企業管理系統上
6
17
想想如果要完整得到貴機關風險項目需要誰一起參與
機關目標
內部流程 人員 系統
風險風險
控制 控制
單位目標
願景使命
監督
風險風險
控制 控制
單位目標
風險風險
控制 控制
單位目標
ISO 27001本文--4組織全景
41 瞭解組織及其全景
組織應決定與其目的有關且影響達成其資訊安全管理系統預期成果能力者之內部及外部議題
備考決定此等議題係指建立於 ISO 31000[5] 53 中所考量之組織內部及外部全景
42 瞭解關注方之需要及期望組織應決定下列事項
(a) 與資訊安全管理系統有關之關注各方
(b) 此等關注方對資訊安全之要求事項
備考關注方之要求事項可能包括法律及法規要求以及契約義務
18
ISO 31000 ndash53建立前後環節(14)
531 一般
532 建立外部前後環節
外部前後環節可包括但不侷限於下列
無論是國際國家區域抑或地方其社會與文化政治法令規章財務技術經濟自然及競爭環境
對組織的目標具有衝擊之主要推動者與趨勢及與外部利害相關者的關係以及外部利害相關者之感知與價值
19
ISO 31000 ndash53建立前後環節(24)
533 建立內部前後環節瞭解內部前後環節係必要的此可包括但不侷限於下列 治理組織的結構角色及責任 政策目標以及恰當可達成的策略 由資源與知識 (如資金時間人員過程系統及技術 )的觀點所瞭解的能力
與內部利害相關者的關係以及內部利害相關者之感知與價值
組織的文化 資訊系統資訊流及決策過程 (正式與非正式兩者 )
組織所採納的標準指導綱要及模式及 合約關係之形式與範圍
20
ISO 31000 ndash53建立前後環節(34)
534 建立風險管理過程之前後環節風險管理過程之前後環節將依據組織需求而改變此可包括但不侷限於下列 界定風險管理活動之目的與目標 界定風險管理過程與範圍內之責任 界定適用範圍以及風險管理活動進行的深度與幅度包含特定涵括事項與排除事項
界定以時間與地點為觀點之活動過程功能專案計畫產品服務或資產
界定特定專案過程或活動與組織其他專案過程或活動間之關係
界定風險評鑑方法論 界定風險管理的績效與有效性評估之方式 鑑別與詳述經作成的決策及 鑑別限定或設計所需之研究其範圍與目標及此類研究所需的資源
21
ISO 31000 ndash53建立前後環節(44)
535 界定風險準則當界定風險準則時須包括下列考量的因素 緣由之本質與型式及可能產生的結果
(後果 )以及如何量測 可能性將如何界定 可能性及 或結果 (後果 )之時間組合 風險等級如何決定 利害相關者之意見 風險成為可接受或可忍受之等級及 是否須考量合併多個風險及如是時如何與何項合併須予以考量
22
ISO 27001本文--6規劃(611)
23
61 因應風險及機會之行動611 一般要求於規劃資訊安全管理系統時組織應考量 41 所提及之議題及 42 所提及之要求事項並決定需因應之風險及機會以達成下列事項
(a) 確保資訊安全管理系統達成其預期成果(b) 預防或減少非所欲之影響(c) 達成持續改善組織應規劃下列事項(d) 因應此等風險及機會之行動(e) 執行下列事項之方法
(1) 將各項行動整合及實作於其資訊安全管理系統過程之中(2) 評估此等行動之有效性
ISO 27005標準之結構
24
本標準包含資訊安全風險管理過程及其活動之描述
第 5 節提供背景資訊 第 6 節為資訊安全風險管理過程之概觀 第 6 節中所提及的所有資訊安全風險管理活動依序描述於下列節次中
- 第 7 節全景建立 - 第 8 節風險評鑑 - 第 9 節風險處理 - 第 10 節風險接受 - 第 11 節風險溝通 - 第 12 節風險監視及審查
ISO 27005bull 資訊安全風險管理宜為一持續之過程該過程使用風險處理計畫以實作建議
與決策宜建立內部與外部全景評估風險及處理風險風險管理於決定宜在何時做何事之前要先分析會發生何事及可能之後果以降低風險至可接受等級
bull 資訊安全風險管理宜對下列各項有所助益
- 識別風險
-依其對營運造成之後果與其發生之可能性以評鑑風險
- 溝通並瞭解此風險之可能性與後果
- 建立風險處理之優先序
- 降低風險發生措施之優先序
-在做風險管理決策時使利害相關者參與並將風險管理狀態告知
- 風險處理監視之有效性
- 定期監視及審查風險與風險管理過程
- 為改善風險管理作法所擷取之資訊
- 管理者及員工須受有關風險及減緩措施之教育訓練
bull 資訊安全風險管理過程能適用於整個組織組織任一個別部分 ( 例部門實體位置服務 ) 任一資訊系統現有或已規劃或特定控制之層面 ( 例營運持續規畫 )
25
資訊安全風險管理過程(ISO 27005)
26
27
維基百科
迭代是重複反饋過程的活動其目的通常是為了接近併到達所需的目標或結果每一次對過程的重複被稱為一次「迭代」而每一次迭代得到的結果會被用來作為下一次迭代的初始值
ISO27005
資訊安全風險管理過程包含建立全景(第 7 節 )風險評鑑 (第 8 節 )風險處理 (第 9節 )風險接受 (第 10 節 )風險溝通及諮詢 (第 11 節 )風險監視及審查 (第 12 節 )
ISO 31000目錄架構
28
1適用範圍 2用語及定義 3原則 4架構
41一般
42宣示與承諾
43管理風險之架構設計
44實施風險管理
45架構之監測與審查
46架構之持續改進
5過程
51一般
52溝通與諮商
53建立前後環節
54風險評鑑
55風險處理
56監測與審查
57紀錄風險管理過程
ISO 31000 風險管理原則架構及過程間的關係
29
ISO 31000 管理風險的架構組成間之關係
30
ISO 31000 管理風險過程
31
ISMS 與資訊安全風險管理過程之校準
32
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
33
34
風險評鑑流程-資產清查
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點
35
業務流程與資訊資產變更
關鍵活動輸入(需求說明)
產出(交付項目)
資源 紀錄
(可接受風險等級CIA)
規範
所有權 度量標準
(人員環境設備工具通訊等)
36
資訊縱深模型
人員
bull 骨幹網路網路服務網路服務
硬體設備
作業系統
應用程式
資料紀錄
bull 伺服器路由器防火牆
bull Windows XPLinux
bull IISOffice防毒軟體
bull 資料庫系統文件Log
bull 使用者作業員管理員
資訊載體
資訊本體
資訊
軟體
實體
服務
人員
資訊資產分類
資訊資產(六大類)
環境
資產
硬體
資產
軟體
資產
通訊
資產
資料
資產
人員
資產
7 March 201637
38
風險評鑑流程-資產價值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
鑑別資產價值資產盤點
何為資產的C I A
bull著重於資訊的暴露或洩露時是否會對組織造成傷害
機密性(C)
bull著重於資訊未經授權的修改或內容錯誤是否會對組織造成傷害
完整性(I)
bull合法使用者於被授權時間的可用性與迫切性需求
可用性(A)
39
7 March 201640
風險評鑑流程-威脅弱點分析
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
威脅弱點分析鑑別資產價值資產盤點
41
資產風險弱點風險關係圖
風險關聯圖
8
AssetsVV
V
VT
T
R
TRR
S
T威脅S保護措施V弱點
R風險RR剩餘風險
弱點威脅與風險之間的關係
低 中 高
高
中
低
威
脅
弱點
中度風險
高風險
低風險
44
威脅脆弱點鑑別
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
45
風險評鑑流程-評估風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 評估風險值威脅弱點分析
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))
X
(事件發生機率(等級)x 事件衝擊(等級))
46
47
風險評鑑流程-可接受風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 可接受風險值評估風險值
48
訂定可接受風險值
(原因理由) 對超過可接風險值之資訊資產提出對策與控制
ISO 27001本文--6規劃(612)
49
612 資訊安全風險評鑑組織應定義及應用資訊安全風險評鑑過程於下列事項中(a) 建立及維持包括下列準則之資訊安全風險準則
(1) 風險接受準則(2) 履行資訊安全風險評鑑之準則
(b) 確保重複之資訊安全風險評鑑產生一致有效及適於比較之結果(c) 識別資訊安全風險
(1) 應用資訊安全風險評鑑過程以識別資訊安全管理系統範圍內與漏失資訊之機密性完整性及可用性相關聯之風險(2) 識別風險擁有者
(d) 分析資訊安全風險(1) 評鑑若 612(c)(1) 中所識別之風險實現時可能導致之潛在後果(2) 評鑑 612(c)(1) 中所識別之風險發生的實際可能性(3) 決定風險等級
(e) 評估資訊安全風險(1) 以 612(a) 中所建立之風險準則比較風險分析結果(2) 訂定已分析風險之風險處理優先序
組織應保存關於資訊安全風險評鑑過程之文件化資訊
ISO 27001本文mdash8運作(82)
50
82 資訊安全風險評鑑組織應依規劃之期間或當提議或發生重大變更時考量 612(a) 所建立之準則執行資訊安全風險評鑑組織應保存資訊安全風險評鑑結果之文件化資訊
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
51
52
風險管理定義為有效管理可能發生的事件及其不利的影響所執行的步驟與過程基本架構包括辨識評估處理監控等程序
評估之後做甚麼
1辨識風險
2評估風險
3處理風險
4監視評估
- 53 -
資安措施規劃與執行(1)
- 54 -
資安措施規劃與執行(2)
- 55 -
控制措施作用示意
弱點
弱點
控制措施類型
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
組織應如何看待風險 ORCA (Object Risk Control Alignment)
7 March 201612
企業體 目標
風險
控制
企業目標
資訊科技目標
財務目標
業務目標
資訊安全目標
技術面 管理面
風險同時會帶來正面與負面的影響
7 March 201613
機會
風險
改變amp
創新
抓住機會及管控風險
採用新方案
因此hellip
風險是未來的不確定事件該事件會影響組織目標的達成包括策略作業財務或其他目標
所有的投資都有風險
bull 不一定賺得到您所想賺的錢
bull 一定會有達不到的機會
風險越高 報酬越高
bull 損失的可能性很大
風險的本質
不確定性(Uncertainty)
與預期不符
ex顧客之信任與否
危險(Hazard)
不利事件之發生
ex營運中斷
機會(Opportunity)
之開發與利用
ex新科技之使用
管理階層對於風險看法之轉變
過去hellip
bull 風險監督是內部稽核之責任
bull 風險只是須加以控管之負面因素
bull 風險管理係依組織架構執行
bull 風險管理係較低階層之責任
bull 風險衡量係主觀的
bull 未結構化及分歧的風險管理功能
現在hellip
bull 風險監督是管理當局之責任
bull 危機即是轉機
bull 風險管理是整合性且適用於企業整體
bull 風險管理係為高階層及各執行單位之責任
bull 以數量化衡量風險
bull 風險管理機制建置於各企業管理系統上
6
17
想想如果要完整得到貴機關風險項目需要誰一起參與
機關目標
內部流程 人員 系統
風險風險
控制 控制
單位目標
願景使命
監督
風險風險
控制 控制
單位目標
風險風險
控制 控制
單位目標
ISO 27001本文--4組織全景
41 瞭解組織及其全景
組織應決定與其目的有關且影響達成其資訊安全管理系統預期成果能力者之內部及外部議題
備考決定此等議題係指建立於 ISO 31000[5] 53 中所考量之組織內部及外部全景
42 瞭解關注方之需要及期望組織應決定下列事項
(a) 與資訊安全管理系統有關之關注各方
(b) 此等關注方對資訊安全之要求事項
備考關注方之要求事項可能包括法律及法規要求以及契約義務
18
ISO 31000 ndash53建立前後環節(14)
531 一般
532 建立外部前後環節
外部前後環節可包括但不侷限於下列
無論是國際國家區域抑或地方其社會與文化政治法令規章財務技術經濟自然及競爭環境
對組織的目標具有衝擊之主要推動者與趨勢及與外部利害相關者的關係以及外部利害相關者之感知與價值
19
ISO 31000 ndash53建立前後環節(24)
533 建立內部前後環節瞭解內部前後環節係必要的此可包括但不侷限於下列 治理組織的結構角色及責任 政策目標以及恰當可達成的策略 由資源與知識 (如資金時間人員過程系統及技術 )的觀點所瞭解的能力
與內部利害相關者的關係以及內部利害相關者之感知與價值
組織的文化 資訊系統資訊流及決策過程 (正式與非正式兩者 )
組織所採納的標準指導綱要及模式及 合約關係之形式與範圍
20
ISO 31000 ndash53建立前後環節(34)
534 建立風險管理過程之前後環節風險管理過程之前後環節將依據組織需求而改變此可包括但不侷限於下列 界定風險管理活動之目的與目標 界定風險管理過程與範圍內之責任 界定適用範圍以及風險管理活動進行的深度與幅度包含特定涵括事項與排除事項
界定以時間與地點為觀點之活動過程功能專案計畫產品服務或資產
界定特定專案過程或活動與組織其他專案過程或活動間之關係
界定風險評鑑方法論 界定風險管理的績效與有效性評估之方式 鑑別與詳述經作成的決策及 鑑別限定或設計所需之研究其範圍與目標及此類研究所需的資源
21
ISO 31000 ndash53建立前後環節(44)
535 界定風險準則當界定風險準則時須包括下列考量的因素 緣由之本質與型式及可能產生的結果
(後果 )以及如何量測 可能性將如何界定 可能性及 或結果 (後果 )之時間組合 風險等級如何決定 利害相關者之意見 風險成為可接受或可忍受之等級及 是否須考量合併多個風險及如是時如何與何項合併須予以考量
22
ISO 27001本文--6規劃(611)
23
61 因應風險及機會之行動611 一般要求於規劃資訊安全管理系統時組織應考量 41 所提及之議題及 42 所提及之要求事項並決定需因應之風險及機會以達成下列事項
(a) 確保資訊安全管理系統達成其預期成果(b) 預防或減少非所欲之影響(c) 達成持續改善組織應規劃下列事項(d) 因應此等風險及機會之行動(e) 執行下列事項之方法
(1) 將各項行動整合及實作於其資訊安全管理系統過程之中(2) 評估此等行動之有效性
ISO 27005標準之結構
24
本標準包含資訊安全風險管理過程及其活動之描述
第 5 節提供背景資訊 第 6 節為資訊安全風險管理過程之概觀 第 6 節中所提及的所有資訊安全風險管理活動依序描述於下列節次中
- 第 7 節全景建立 - 第 8 節風險評鑑 - 第 9 節風險處理 - 第 10 節風險接受 - 第 11 節風險溝通 - 第 12 節風險監視及審查
ISO 27005bull 資訊安全風險管理宜為一持續之過程該過程使用風險處理計畫以實作建議
與決策宜建立內部與外部全景評估風險及處理風險風險管理於決定宜在何時做何事之前要先分析會發生何事及可能之後果以降低風險至可接受等級
bull 資訊安全風險管理宜對下列各項有所助益
- 識別風險
-依其對營運造成之後果與其發生之可能性以評鑑風險
- 溝通並瞭解此風險之可能性與後果
- 建立風險處理之優先序
- 降低風險發生措施之優先序
-在做風險管理決策時使利害相關者參與並將風險管理狀態告知
- 風險處理監視之有效性
- 定期監視及審查風險與風險管理過程
- 為改善風險管理作法所擷取之資訊
- 管理者及員工須受有關風險及減緩措施之教育訓練
bull 資訊安全風險管理過程能適用於整個組織組織任一個別部分 ( 例部門實體位置服務 ) 任一資訊系統現有或已規劃或特定控制之層面 ( 例營運持續規畫 )
25
資訊安全風險管理過程(ISO 27005)
26
27
維基百科
迭代是重複反饋過程的活動其目的通常是為了接近併到達所需的目標或結果每一次對過程的重複被稱為一次「迭代」而每一次迭代得到的結果會被用來作為下一次迭代的初始值
ISO27005
資訊安全風險管理過程包含建立全景(第 7 節 )風險評鑑 (第 8 節 )風險處理 (第 9節 )風險接受 (第 10 節 )風險溝通及諮詢 (第 11 節 )風險監視及審查 (第 12 節 )
ISO 31000目錄架構
28
1適用範圍 2用語及定義 3原則 4架構
41一般
42宣示與承諾
43管理風險之架構設計
44實施風險管理
45架構之監測與審查
46架構之持續改進
5過程
51一般
52溝通與諮商
53建立前後環節
54風險評鑑
55風險處理
56監測與審查
57紀錄風險管理過程
ISO 31000 風險管理原則架構及過程間的關係
29
ISO 31000 管理風險的架構組成間之關係
30
ISO 31000 管理風險過程
31
ISMS 與資訊安全風險管理過程之校準
32
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
33
34
風險評鑑流程-資產清查
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點
35
業務流程與資訊資產變更
關鍵活動輸入(需求說明)
產出(交付項目)
資源 紀錄
(可接受風險等級CIA)
規範
所有權 度量標準
(人員環境設備工具通訊等)
36
資訊縱深模型
人員
bull 骨幹網路網路服務網路服務
硬體設備
作業系統
應用程式
資料紀錄
bull 伺服器路由器防火牆
bull Windows XPLinux
bull IISOffice防毒軟體
bull 資料庫系統文件Log
bull 使用者作業員管理員
資訊載體
資訊本體
資訊
軟體
實體
服務
人員
資訊資產分類
資訊資產(六大類)
環境
資產
硬體
資產
軟體
資產
通訊
資產
資料
資產
人員
資產
7 March 201637
38
風險評鑑流程-資產價值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
鑑別資產價值資產盤點
何為資產的C I A
bull著重於資訊的暴露或洩露時是否會對組織造成傷害
機密性(C)
bull著重於資訊未經授權的修改或內容錯誤是否會對組織造成傷害
完整性(I)
bull合法使用者於被授權時間的可用性與迫切性需求
可用性(A)
39
7 March 201640
風險評鑑流程-威脅弱點分析
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
威脅弱點分析鑑別資產價值資產盤點
41
資產風險弱點風險關係圖
風險關聯圖
8
AssetsVV
V
VT
T
R
TRR
S
T威脅S保護措施V弱點
R風險RR剩餘風險
弱點威脅與風險之間的關係
低 中 高
高
中
低
威
脅
弱點
中度風險
高風險
低風險
44
威脅脆弱點鑑別
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
45
風險評鑑流程-評估風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 評估風險值威脅弱點分析
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))
X
(事件發生機率(等級)x 事件衝擊(等級))
46
47
風險評鑑流程-可接受風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 可接受風險值評估風險值
48
訂定可接受風險值
(原因理由) 對超過可接風險值之資訊資產提出對策與控制
ISO 27001本文--6規劃(612)
49
612 資訊安全風險評鑑組織應定義及應用資訊安全風險評鑑過程於下列事項中(a) 建立及維持包括下列準則之資訊安全風險準則
(1) 風險接受準則(2) 履行資訊安全風險評鑑之準則
(b) 確保重複之資訊安全風險評鑑產生一致有效及適於比較之結果(c) 識別資訊安全風險
(1) 應用資訊安全風險評鑑過程以識別資訊安全管理系統範圍內與漏失資訊之機密性完整性及可用性相關聯之風險(2) 識別風險擁有者
(d) 分析資訊安全風險(1) 評鑑若 612(c)(1) 中所識別之風險實現時可能導致之潛在後果(2) 評鑑 612(c)(1) 中所識別之風險發生的實際可能性(3) 決定風險等級
(e) 評估資訊安全風險(1) 以 612(a) 中所建立之風險準則比較風險分析結果(2) 訂定已分析風險之風險處理優先序
組織應保存關於資訊安全風險評鑑過程之文件化資訊
ISO 27001本文mdash8運作(82)
50
82 資訊安全風險評鑑組織應依規劃之期間或當提議或發生重大變更時考量 612(a) 所建立之準則執行資訊安全風險評鑑組織應保存資訊安全風險評鑑結果之文件化資訊
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
51
52
風險管理定義為有效管理可能發生的事件及其不利的影響所執行的步驟與過程基本架構包括辨識評估處理監控等程序
評估之後做甚麼
1辨識風險
2評估風險
3處理風險
4監視評估
- 53 -
資安措施規劃與執行(1)
- 54 -
資安措施規劃與執行(2)
- 55 -
控制措施作用示意
弱點
弱點
控制措施類型
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
風險同時會帶來正面與負面的影響
7 March 201613
機會
風險
改變amp
創新
抓住機會及管控風險
採用新方案
因此hellip
風險是未來的不確定事件該事件會影響組織目標的達成包括策略作業財務或其他目標
所有的投資都有風險
bull 不一定賺得到您所想賺的錢
bull 一定會有達不到的機會
風險越高 報酬越高
bull 損失的可能性很大
風險的本質
不確定性(Uncertainty)
與預期不符
ex顧客之信任與否
危險(Hazard)
不利事件之發生
ex營運中斷
機會(Opportunity)
之開發與利用
ex新科技之使用
管理階層對於風險看法之轉變
過去hellip
bull 風險監督是內部稽核之責任
bull 風險只是須加以控管之負面因素
bull 風險管理係依組織架構執行
bull 風險管理係較低階層之責任
bull 風險衡量係主觀的
bull 未結構化及分歧的風險管理功能
現在hellip
bull 風險監督是管理當局之責任
bull 危機即是轉機
bull 風險管理是整合性且適用於企業整體
bull 風險管理係為高階層及各執行單位之責任
bull 以數量化衡量風險
bull 風險管理機制建置於各企業管理系統上
6
17
想想如果要完整得到貴機關風險項目需要誰一起參與
機關目標
內部流程 人員 系統
風險風險
控制 控制
單位目標
願景使命
監督
風險風險
控制 控制
單位目標
風險風險
控制 控制
單位目標
ISO 27001本文--4組織全景
41 瞭解組織及其全景
組織應決定與其目的有關且影響達成其資訊安全管理系統預期成果能力者之內部及外部議題
備考決定此等議題係指建立於 ISO 31000[5] 53 中所考量之組織內部及外部全景
42 瞭解關注方之需要及期望組織應決定下列事項
(a) 與資訊安全管理系統有關之關注各方
(b) 此等關注方對資訊安全之要求事項
備考關注方之要求事項可能包括法律及法規要求以及契約義務
18
ISO 31000 ndash53建立前後環節(14)
531 一般
532 建立外部前後環節
外部前後環節可包括但不侷限於下列
無論是國際國家區域抑或地方其社會與文化政治法令規章財務技術經濟自然及競爭環境
對組織的目標具有衝擊之主要推動者與趨勢及與外部利害相關者的關係以及外部利害相關者之感知與價值
19
ISO 31000 ndash53建立前後環節(24)
533 建立內部前後環節瞭解內部前後環節係必要的此可包括但不侷限於下列 治理組織的結構角色及責任 政策目標以及恰當可達成的策略 由資源與知識 (如資金時間人員過程系統及技術 )的觀點所瞭解的能力
與內部利害相關者的關係以及內部利害相關者之感知與價值
組織的文化 資訊系統資訊流及決策過程 (正式與非正式兩者 )
組織所採納的標準指導綱要及模式及 合約關係之形式與範圍
20
ISO 31000 ndash53建立前後環節(34)
534 建立風險管理過程之前後環節風險管理過程之前後環節將依據組織需求而改變此可包括但不侷限於下列 界定風險管理活動之目的與目標 界定風險管理過程與範圍內之責任 界定適用範圍以及風險管理活動進行的深度與幅度包含特定涵括事項與排除事項
界定以時間與地點為觀點之活動過程功能專案計畫產品服務或資產
界定特定專案過程或活動與組織其他專案過程或活動間之關係
界定風險評鑑方法論 界定風險管理的績效與有效性評估之方式 鑑別與詳述經作成的決策及 鑑別限定或設計所需之研究其範圍與目標及此類研究所需的資源
21
ISO 31000 ndash53建立前後環節(44)
535 界定風險準則當界定風險準則時須包括下列考量的因素 緣由之本質與型式及可能產生的結果
(後果 )以及如何量測 可能性將如何界定 可能性及 或結果 (後果 )之時間組合 風險等級如何決定 利害相關者之意見 風險成為可接受或可忍受之等級及 是否須考量合併多個風險及如是時如何與何項合併須予以考量
22
ISO 27001本文--6規劃(611)
23
61 因應風險及機會之行動611 一般要求於規劃資訊安全管理系統時組織應考量 41 所提及之議題及 42 所提及之要求事項並決定需因應之風險及機會以達成下列事項
(a) 確保資訊安全管理系統達成其預期成果(b) 預防或減少非所欲之影響(c) 達成持續改善組織應規劃下列事項(d) 因應此等風險及機會之行動(e) 執行下列事項之方法
(1) 將各項行動整合及實作於其資訊安全管理系統過程之中(2) 評估此等行動之有效性
ISO 27005標準之結構
24
本標準包含資訊安全風險管理過程及其活動之描述
第 5 節提供背景資訊 第 6 節為資訊安全風險管理過程之概觀 第 6 節中所提及的所有資訊安全風險管理活動依序描述於下列節次中
- 第 7 節全景建立 - 第 8 節風險評鑑 - 第 9 節風險處理 - 第 10 節風險接受 - 第 11 節風險溝通 - 第 12 節風險監視及審查
ISO 27005bull 資訊安全風險管理宜為一持續之過程該過程使用風險處理計畫以實作建議
與決策宜建立內部與外部全景評估風險及處理風險風險管理於決定宜在何時做何事之前要先分析會發生何事及可能之後果以降低風險至可接受等級
bull 資訊安全風險管理宜對下列各項有所助益
- 識別風險
-依其對營運造成之後果與其發生之可能性以評鑑風險
- 溝通並瞭解此風險之可能性與後果
- 建立風險處理之優先序
- 降低風險發生措施之優先序
-在做風險管理決策時使利害相關者參與並將風險管理狀態告知
- 風險處理監視之有效性
- 定期監視及審查風險與風險管理過程
- 為改善風險管理作法所擷取之資訊
- 管理者及員工須受有關風險及減緩措施之教育訓練
bull 資訊安全風險管理過程能適用於整個組織組織任一個別部分 ( 例部門實體位置服務 ) 任一資訊系統現有或已規劃或特定控制之層面 ( 例營運持續規畫 )
25
資訊安全風險管理過程(ISO 27005)
26
27
維基百科
迭代是重複反饋過程的活動其目的通常是為了接近併到達所需的目標或結果每一次對過程的重複被稱為一次「迭代」而每一次迭代得到的結果會被用來作為下一次迭代的初始值
ISO27005
資訊安全風險管理過程包含建立全景(第 7 節 )風險評鑑 (第 8 節 )風險處理 (第 9節 )風險接受 (第 10 節 )風險溝通及諮詢 (第 11 節 )風險監視及審查 (第 12 節 )
ISO 31000目錄架構
28
1適用範圍 2用語及定義 3原則 4架構
41一般
42宣示與承諾
43管理風險之架構設計
44實施風險管理
45架構之監測與審查
46架構之持續改進
5過程
51一般
52溝通與諮商
53建立前後環節
54風險評鑑
55風險處理
56監測與審查
57紀錄風險管理過程
ISO 31000 風險管理原則架構及過程間的關係
29
ISO 31000 管理風險的架構組成間之關係
30
ISO 31000 管理風險過程
31
ISMS 與資訊安全風險管理過程之校準
32
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
33
34
風險評鑑流程-資產清查
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點
35
業務流程與資訊資產變更
關鍵活動輸入(需求說明)
產出(交付項目)
資源 紀錄
(可接受風險等級CIA)
規範
所有權 度量標準
(人員環境設備工具通訊等)
36
資訊縱深模型
人員
bull 骨幹網路網路服務網路服務
硬體設備
作業系統
應用程式
資料紀錄
bull 伺服器路由器防火牆
bull Windows XPLinux
bull IISOffice防毒軟體
bull 資料庫系統文件Log
bull 使用者作業員管理員
資訊載體
資訊本體
資訊
軟體
實體
服務
人員
資訊資產分類
資訊資產(六大類)
環境
資產
硬體
資產
軟體
資產
通訊
資產
資料
資產
人員
資產
7 March 201637
38
風險評鑑流程-資產價值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
鑑別資產價值資產盤點
何為資產的C I A
bull著重於資訊的暴露或洩露時是否會對組織造成傷害
機密性(C)
bull著重於資訊未經授權的修改或內容錯誤是否會對組織造成傷害
完整性(I)
bull合法使用者於被授權時間的可用性與迫切性需求
可用性(A)
39
7 March 201640
風險評鑑流程-威脅弱點分析
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
威脅弱點分析鑑別資產價值資產盤點
41
資產風險弱點風險關係圖
風險關聯圖
8
AssetsVV
V
VT
T
R
TRR
S
T威脅S保護措施V弱點
R風險RR剩餘風險
弱點威脅與風險之間的關係
低 中 高
高
中
低
威
脅
弱點
中度風險
高風險
低風險
44
威脅脆弱點鑑別
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
45
風險評鑑流程-評估風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 評估風險值威脅弱點分析
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))
X
(事件發生機率(等級)x 事件衝擊(等級))
46
47
風險評鑑流程-可接受風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 可接受風險值評估風險值
48
訂定可接受風險值
(原因理由) 對超過可接風險值之資訊資產提出對策與控制
ISO 27001本文--6規劃(612)
49
612 資訊安全風險評鑑組織應定義及應用資訊安全風險評鑑過程於下列事項中(a) 建立及維持包括下列準則之資訊安全風險準則
(1) 風險接受準則(2) 履行資訊安全風險評鑑之準則
(b) 確保重複之資訊安全風險評鑑產生一致有效及適於比較之結果(c) 識別資訊安全風險
(1) 應用資訊安全風險評鑑過程以識別資訊安全管理系統範圍內與漏失資訊之機密性完整性及可用性相關聯之風險(2) 識別風險擁有者
(d) 分析資訊安全風險(1) 評鑑若 612(c)(1) 中所識別之風險實現時可能導致之潛在後果(2) 評鑑 612(c)(1) 中所識別之風險發生的實際可能性(3) 決定風險等級
(e) 評估資訊安全風險(1) 以 612(a) 中所建立之風險準則比較風險分析結果(2) 訂定已分析風險之風險處理優先序
組織應保存關於資訊安全風險評鑑過程之文件化資訊
ISO 27001本文mdash8運作(82)
50
82 資訊安全風險評鑑組織應依規劃之期間或當提議或發生重大變更時考量 612(a) 所建立之準則執行資訊安全風險評鑑組織應保存資訊安全風險評鑑結果之文件化資訊
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
51
52
風險管理定義為有效管理可能發生的事件及其不利的影響所執行的步驟與過程基本架構包括辨識評估處理監控等程序
評估之後做甚麼
1辨識風險
2評估風險
3處理風險
4監視評估
- 53 -
資安措施規劃與執行(1)
- 54 -
資安措施規劃與執行(2)
- 55 -
控制措施作用示意
弱點
弱點
控制措施類型
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
因此hellip
風險是未來的不確定事件該事件會影響組織目標的達成包括策略作業財務或其他目標
所有的投資都有風險
bull 不一定賺得到您所想賺的錢
bull 一定會有達不到的機會
風險越高 報酬越高
bull 損失的可能性很大
風險的本質
不確定性(Uncertainty)
與預期不符
ex顧客之信任與否
危險(Hazard)
不利事件之發生
ex營運中斷
機會(Opportunity)
之開發與利用
ex新科技之使用
管理階層對於風險看法之轉變
過去hellip
bull 風險監督是內部稽核之責任
bull 風險只是須加以控管之負面因素
bull 風險管理係依組織架構執行
bull 風險管理係較低階層之責任
bull 風險衡量係主觀的
bull 未結構化及分歧的風險管理功能
現在hellip
bull 風險監督是管理當局之責任
bull 危機即是轉機
bull 風險管理是整合性且適用於企業整體
bull 風險管理係為高階層及各執行單位之責任
bull 以數量化衡量風險
bull 風險管理機制建置於各企業管理系統上
6
17
想想如果要完整得到貴機關風險項目需要誰一起參與
機關目標
內部流程 人員 系統
風險風險
控制 控制
單位目標
願景使命
監督
風險風險
控制 控制
單位目標
風險風險
控制 控制
單位目標
ISO 27001本文--4組織全景
41 瞭解組織及其全景
組織應決定與其目的有關且影響達成其資訊安全管理系統預期成果能力者之內部及外部議題
備考決定此等議題係指建立於 ISO 31000[5] 53 中所考量之組織內部及外部全景
42 瞭解關注方之需要及期望組織應決定下列事項
(a) 與資訊安全管理系統有關之關注各方
(b) 此等關注方對資訊安全之要求事項
備考關注方之要求事項可能包括法律及法規要求以及契約義務
18
ISO 31000 ndash53建立前後環節(14)
531 一般
532 建立外部前後環節
外部前後環節可包括但不侷限於下列
無論是國際國家區域抑或地方其社會與文化政治法令規章財務技術經濟自然及競爭環境
對組織的目標具有衝擊之主要推動者與趨勢及與外部利害相關者的關係以及外部利害相關者之感知與價值
19
ISO 31000 ndash53建立前後環節(24)
533 建立內部前後環節瞭解內部前後環節係必要的此可包括但不侷限於下列 治理組織的結構角色及責任 政策目標以及恰當可達成的策略 由資源與知識 (如資金時間人員過程系統及技術 )的觀點所瞭解的能力
與內部利害相關者的關係以及內部利害相關者之感知與價值
組織的文化 資訊系統資訊流及決策過程 (正式與非正式兩者 )
組織所採納的標準指導綱要及模式及 合約關係之形式與範圍
20
ISO 31000 ndash53建立前後環節(34)
534 建立風險管理過程之前後環節風險管理過程之前後環節將依據組織需求而改變此可包括但不侷限於下列 界定風險管理活動之目的與目標 界定風險管理過程與範圍內之責任 界定適用範圍以及風險管理活動進行的深度與幅度包含特定涵括事項與排除事項
界定以時間與地點為觀點之活動過程功能專案計畫產品服務或資產
界定特定專案過程或活動與組織其他專案過程或活動間之關係
界定風險評鑑方法論 界定風險管理的績效與有效性評估之方式 鑑別與詳述經作成的決策及 鑑別限定或設計所需之研究其範圍與目標及此類研究所需的資源
21
ISO 31000 ndash53建立前後環節(44)
535 界定風險準則當界定風險準則時須包括下列考量的因素 緣由之本質與型式及可能產生的結果
(後果 )以及如何量測 可能性將如何界定 可能性及 或結果 (後果 )之時間組合 風險等級如何決定 利害相關者之意見 風險成為可接受或可忍受之等級及 是否須考量合併多個風險及如是時如何與何項合併須予以考量
22
ISO 27001本文--6規劃(611)
23
61 因應風險及機會之行動611 一般要求於規劃資訊安全管理系統時組織應考量 41 所提及之議題及 42 所提及之要求事項並決定需因應之風險及機會以達成下列事項
(a) 確保資訊安全管理系統達成其預期成果(b) 預防或減少非所欲之影響(c) 達成持續改善組織應規劃下列事項(d) 因應此等風險及機會之行動(e) 執行下列事項之方法
(1) 將各項行動整合及實作於其資訊安全管理系統過程之中(2) 評估此等行動之有效性
ISO 27005標準之結構
24
本標準包含資訊安全風險管理過程及其活動之描述
第 5 節提供背景資訊 第 6 節為資訊安全風險管理過程之概觀 第 6 節中所提及的所有資訊安全風險管理活動依序描述於下列節次中
- 第 7 節全景建立 - 第 8 節風險評鑑 - 第 9 節風險處理 - 第 10 節風險接受 - 第 11 節風險溝通 - 第 12 節風險監視及審查
ISO 27005bull 資訊安全風險管理宜為一持續之過程該過程使用風險處理計畫以實作建議
與決策宜建立內部與外部全景評估風險及處理風險風險管理於決定宜在何時做何事之前要先分析會發生何事及可能之後果以降低風險至可接受等級
bull 資訊安全風險管理宜對下列各項有所助益
- 識別風險
-依其對營運造成之後果與其發生之可能性以評鑑風險
- 溝通並瞭解此風險之可能性與後果
- 建立風險處理之優先序
- 降低風險發生措施之優先序
-在做風險管理決策時使利害相關者參與並將風險管理狀態告知
- 風險處理監視之有效性
- 定期監視及審查風險與風險管理過程
- 為改善風險管理作法所擷取之資訊
- 管理者及員工須受有關風險及減緩措施之教育訓練
bull 資訊安全風險管理過程能適用於整個組織組織任一個別部分 ( 例部門實體位置服務 ) 任一資訊系統現有或已規劃或特定控制之層面 ( 例營運持續規畫 )
25
資訊安全風險管理過程(ISO 27005)
26
27
維基百科
迭代是重複反饋過程的活動其目的通常是為了接近併到達所需的目標或結果每一次對過程的重複被稱為一次「迭代」而每一次迭代得到的結果會被用來作為下一次迭代的初始值
ISO27005
資訊安全風險管理過程包含建立全景(第 7 節 )風險評鑑 (第 8 節 )風險處理 (第 9節 )風險接受 (第 10 節 )風險溝通及諮詢 (第 11 節 )風險監視及審查 (第 12 節 )
ISO 31000目錄架構
28
1適用範圍 2用語及定義 3原則 4架構
41一般
42宣示與承諾
43管理風險之架構設計
44實施風險管理
45架構之監測與審查
46架構之持續改進
5過程
51一般
52溝通與諮商
53建立前後環節
54風險評鑑
55風險處理
56監測與審查
57紀錄風險管理過程
ISO 31000 風險管理原則架構及過程間的關係
29
ISO 31000 管理風險的架構組成間之關係
30
ISO 31000 管理風險過程
31
ISMS 與資訊安全風險管理過程之校準
32
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
33
34
風險評鑑流程-資產清查
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點
35
業務流程與資訊資產變更
關鍵活動輸入(需求說明)
產出(交付項目)
資源 紀錄
(可接受風險等級CIA)
規範
所有權 度量標準
(人員環境設備工具通訊等)
36
資訊縱深模型
人員
bull 骨幹網路網路服務網路服務
硬體設備
作業系統
應用程式
資料紀錄
bull 伺服器路由器防火牆
bull Windows XPLinux
bull IISOffice防毒軟體
bull 資料庫系統文件Log
bull 使用者作業員管理員
資訊載體
資訊本體
資訊
軟體
實體
服務
人員
資訊資產分類
資訊資產(六大類)
環境
資產
硬體
資產
軟體
資產
通訊
資產
資料
資產
人員
資產
7 March 201637
38
風險評鑑流程-資產價值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
鑑別資產價值資產盤點
何為資產的C I A
bull著重於資訊的暴露或洩露時是否會對組織造成傷害
機密性(C)
bull著重於資訊未經授權的修改或內容錯誤是否會對組織造成傷害
完整性(I)
bull合法使用者於被授權時間的可用性與迫切性需求
可用性(A)
39
7 March 201640
風險評鑑流程-威脅弱點分析
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
威脅弱點分析鑑別資產價值資產盤點
41
資產風險弱點風險關係圖
風險關聯圖
8
AssetsVV
V
VT
T
R
TRR
S
T威脅S保護措施V弱點
R風險RR剩餘風險
弱點威脅與風險之間的關係
低 中 高
高
中
低
威
脅
弱點
中度風險
高風險
低風險
44
威脅脆弱點鑑別
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
45
風險評鑑流程-評估風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 評估風險值威脅弱點分析
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))
X
(事件發生機率(等級)x 事件衝擊(等級))
46
47
風險評鑑流程-可接受風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 可接受風險值評估風險值
48
訂定可接受風險值
(原因理由) 對超過可接風險值之資訊資產提出對策與控制
ISO 27001本文--6規劃(612)
49
612 資訊安全風險評鑑組織應定義及應用資訊安全風險評鑑過程於下列事項中(a) 建立及維持包括下列準則之資訊安全風險準則
(1) 風險接受準則(2) 履行資訊安全風險評鑑之準則
(b) 確保重複之資訊安全風險評鑑產生一致有效及適於比較之結果(c) 識別資訊安全風險
(1) 應用資訊安全風險評鑑過程以識別資訊安全管理系統範圍內與漏失資訊之機密性完整性及可用性相關聯之風險(2) 識別風險擁有者
(d) 分析資訊安全風險(1) 評鑑若 612(c)(1) 中所識別之風險實現時可能導致之潛在後果(2) 評鑑 612(c)(1) 中所識別之風險發生的實際可能性(3) 決定風險等級
(e) 評估資訊安全風險(1) 以 612(a) 中所建立之風險準則比較風險分析結果(2) 訂定已分析風險之風險處理優先序
組織應保存關於資訊安全風險評鑑過程之文件化資訊
ISO 27001本文mdash8運作(82)
50
82 資訊安全風險評鑑組織應依規劃之期間或當提議或發生重大變更時考量 612(a) 所建立之準則執行資訊安全風險評鑑組織應保存資訊安全風險評鑑結果之文件化資訊
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
51
52
風險管理定義為有效管理可能發生的事件及其不利的影響所執行的步驟與過程基本架構包括辨識評估處理監控等程序
評估之後做甚麼
1辨識風險
2評估風險
3處理風險
4監視評估
- 53 -
資安措施規劃與執行(1)
- 54 -
資安措施規劃與執行(2)
- 55 -
控制措施作用示意
弱點
弱點
控制措施類型
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
風險的本質
不確定性(Uncertainty)
與預期不符
ex顧客之信任與否
危險(Hazard)
不利事件之發生
ex營運中斷
機會(Opportunity)
之開發與利用
ex新科技之使用
管理階層對於風險看法之轉變
過去hellip
bull 風險監督是內部稽核之責任
bull 風險只是須加以控管之負面因素
bull 風險管理係依組織架構執行
bull 風險管理係較低階層之責任
bull 風險衡量係主觀的
bull 未結構化及分歧的風險管理功能
現在hellip
bull 風險監督是管理當局之責任
bull 危機即是轉機
bull 風險管理是整合性且適用於企業整體
bull 風險管理係為高階層及各執行單位之責任
bull 以數量化衡量風險
bull 風險管理機制建置於各企業管理系統上
6
17
想想如果要完整得到貴機關風險項目需要誰一起參與
機關目標
內部流程 人員 系統
風險風險
控制 控制
單位目標
願景使命
監督
風險風險
控制 控制
單位目標
風險風險
控制 控制
單位目標
ISO 27001本文--4組織全景
41 瞭解組織及其全景
組織應決定與其目的有關且影響達成其資訊安全管理系統預期成果能力者之內部及外部議題
備考決定此等議題係指建立於 ISO 31000[5] 53 中所考量之組織內部及外部全景
42 瞭解關注方之需要及期望組織應決定下列事項
(a) 與資訊安全管理系統有關之關注各方
(b) 此等關注方對資訊安全之要求事項
備考關注方之要求事項可能包括法律及法規要求以及契約義務
18
ISO 31000 ndash53建立前後環節(14)
531 一般
532 建立外部前後環節
外部前後環節可包括但不侷限於下列
無論是國際國家區域抑或地方其社會與文化政治法令規章財務技術經濟自然及競爭環境
對組織的目標具有衝擊之主要推動者與趨勢及與外部利害相關者的關係以及外部利害相關者之感知與價值
19
ISO 31000 ndash53建立前後環節(24)
533 建立內部前後環節瞭解內部前後環節係必要的此可包括但不侷限於下列 治理組織的結構角色及責任 政策目標以及恰當可達成的策略 由資源與知識 (如資金時間人員過程系統及技術 )的觀點所瞭解的能力
與內部利害相關者的關係以及內部利害相關者之感知與價值
組織的文化 資訊系統資訊流及決策過程 (正式與非正式兩者 )
組織所採納的標準指導綱要及模式及 合約關係之形式與範圍
20
ISO 31000 ndash53建立前後環節(34)
534 建立風險管理過程之前後環節風險管理過程之前後環節將依據組織需求而改變此可包括但不侷限於下列 界定風險管理活動之目的與目標 界定風險管理過程與範圍內之責任 界定適用範圍以及風險管理活動進行的深度與幅度包含特定涵括事項與排除事項
界定以時間與地點為觀點之活動過程功能專案計畫產品服務或資產
界定特定專案過程或活動與組織其他專案過程或活動間之關係
界定風險評鑑方法論 界定風險管理的績效與有效性評估之方式 鑑別與詳述經作成的決策及 鑑別限定或設計所需之研究其範圍與目標及此類研究所需的資源
21
ISO 31000 ndash53建立前後環節(44)
535 界定風險準則當界定風險準則時須包括下列考量的因素 緣由之本質與型式及可能產生的結果
(後果 )以及如何量測 可能性將如何界定 可能性及 或結果 (後果 )之時間組合 風險等級如何決定 利害相關者之意見 風險成為可接受或可忍受之等級及 是否須考量合併多個風險及如是時如何與何項合併須予以考量
22
ISO 27001本文--6規劃(611)
23
61 因應風險及機會之行動611 一般要求於規劃資訊安全管理系統時組織應考量 41 所提及之議題及 42 所提及之要求事項並決定需因應之風險及機會以達成下列事項
(a) 確保資訊安全管理系統達成其預期成果(b) 預防或減少非所欲之影響(c) 達成持續改善組織應規劃下列事項(d) 因應此等風險及機會之行動(e) 執行下列事項之方法
(1) 將各項行動整合及實作於其資訊安全管理系統過程之中(2) 評估此等行動之有效性
ISO 27005標準之結構
24
本標準包含資訊安全風險管理過程及其活動之描述
第 5 節提供背景資訊 第 6 節為資訊安全風險管理過程之概觀 第 6 節中所提及的所有資訊安全風險管理活動依序描述於下列節次中
- 第 7 節全景建立 - 第 8 節風險評鑑 - 第 9 節風險處理 - 第 10 節風險接受 - 第 11 節風險溝通 - 第 12 節風險監視及審查
ISO 27005bull 資訊安全風險管理宜為一持續之過程該過程使用風險處理計畫以實作建議
與決策宜建立內部與外部全景評估風險及處理風險風險管理於決定宜在何時做何事之前要先分析會發生何事及可能之後果以降低風險至可接受等級
bull 資訊安全風險管理宜對下列各項有所助益
- 識別風險
-依其對營運造成之後果與其發生之可能性以評鑑風險
- 溝通並瞭解此風險之可能性與後果
- 建立風險處理之優先序
- 降低風險發生措施之優先序
-在做風險管理決策時使利害相關者參與並將風險管理狀態告知
- 風險處理監視之有效性
- 定期監視及審查風險與風險管理過程
- 為改善風險管理作法所擷取之資訊
- 管理者及員工須受有關風險及減緩措施之教育訓練
bull 資訊安全風險管理過程能適用於整個組織組織任一個別部分 ( 例部門實體位置服務 ) 任一資訊系統現有或已規劃或特定控制之層面 ( 例營運持續規畫 )
25
資訊安全風險管理過程(ISO 27005)
26
27
維基百科
迭代是重複反饋過程的活動其目的通常是為了接近併到達所需的目標或結果每一次對過程的重複被稱為一次「迭代」而每一次迭代得到的結果會被用來作為下一次迭代的初始值
ISO27005
資訊安全風險管理過程包含建立全景(第 7 節 )風險評鑑 (第 8 節 )風險處理 (第 9節 )風險接受 (第 10 節 )風險溝通及諮詢 (第 11 節 )風險監視及審查 (第 12 節 )
ISO 31000目錄架構
28
1適用範圍 2用語及定義 3原則 4架構
41一般
42宣示與承諾
43管理風險之架構設計
44實施風險管理
45架構之監測與審查
46架構之持續改進
5過程
51一般
52溝通與諮商
53建立前後環節
54風險評鑑
55風險處理
56監測與審查
57紀錄風險管理過程
ISO 31000 風險管理原則架構及過程間的關係
29
ISO 31000 管理風險的架構組成間之關係
30
ISO 31000 管理風險過程
31
ISMS 與資訊安全風險管理過程之校準
32
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
33
34
風險評鑑流程-資產清查
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點
35
業務流程與資訊資產變更
關鍵活動輸入(需求說明)
產出(交付項目)
資源 紀錄
(可接受風險等級CIA)
規範
所有權 度量標準
(人員環境設備工具通訊等)
36
資訊縱深模型
人員
bull 骨幹網路網路服務網路服務
硬體設備
作業系統
應用程式
資料紀錄
bull 伺服器路由器防火牆
bull Windows XPLinux
bull IISOffice防毒軟體
bull 資料庫系統文件Log
bull 使用者作業員管理員
資訊載體
資訊本體
資訊
軟體
實體
服務
人員
資訊資產分類
資訊資產(六大類)
環境
資產
硬體
資產
軟體
資產
通訊
資產
資料
資產
人員
資產
7 March 201637
38
風險評鑑流程-資產價值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
鑑別資產價值資產盤點
何為資產的C I A
bull著重於資訊的暴露或洩露時是否會對組織造成傷害
機密性(C)
bull著重於資訊未經授權的修改或內容錯誤是否會對組織造成傷害
完整性(I)
bull合法使用者於被授權時間的可用性與迫切性需求
可用性(A)
39
7 March 201640
風險評鑑流程-威脅弱點分析
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
威脅弱點分析鑑別資產價值資產盤點
41
資產風險弱點風險關係圖
風險關聯圖
8
AssetsVV
V
VT
T
R
TRR
S
T威脅S保護措施V弱點
R風險RR剩餘風險
弱點威脅與風險之間的關係
低 中 高
高
中
低
威
脅
弱點
中度風險
高風險
低風險
44
威脅脆弱點鑑別
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
45
風險評鑑流程-評估風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 評估風險值威脅弱點分析
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))
X
(事件發生機率(等級)x 事件衝擊(等級))
46
47
風險評鑑流程-可接受風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 可接受風險值評估風險值
48
訂定可接受風險值
(原因理由) 對超過可接風險值之資訊資產提出對策與控制
ISO 27001本文--6規劃(612)
49
612 資訊安全風險評鑑組織應定義及應用資訊安全風險評鑑過程於下列事項中(a) 建立及維持包括下列準則之資訊安全風險準則
(1) 風險接受準則(2) 履行資訊安全風險評鑑之準則
(b) 確保重複之資訊安全風險評鑑產生一致有效及適於比較之結果(c) 識別資訊安全風險
(1) 應用資訊安全風險評鑑過程以識別資訊安全管理系統範圍內與漏失資訊之機密性完整性及可用性相關聯之風險(2) 識別風險擁有者
(d) 分析資訊安全風險(1) 評鑑若 612(c)(1) 中所識別之風險實現時可能導致之潛在後果(2) 評鑑 612(c)(1) 中所識別之風險發生的實際可能性(3) 決定風險等級
(e) 評估資訊安全風險(1) 以 612(a) 中所建立之風險準則比較風險分析結果(2) 訂定已分析風險之風險處理優先序
組織應保存關於資訊安全風險評鑑過程之文件化資訊
ISO 27001本文mdash8運作(82)
50
82 資訊安全風險評鑑組織應依規劃之期間或當提議或發生重大變更時考量 612(a) 所建立之準則執行資訊安全風險評鑑組織應保存資訊安全風險評鑑結果之文件化資訊
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
51
52
風險管理定義為有效管理可能發生的事件及其不利的影響所執行的步驟與過程基本架構包括辨識評估處理監控等程序
評估之後做甚麼
1辨識風險
2評估風險
3處理風險
4監視評估
- 53 -
資安措施規劃與執行(1)
- 54 -
資安措施規劃與執行(2)
- 55 -
控制措施作用示意
弱點
弱點
控制措施類型
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
管理階層對於風險看法之轉變
過去hellip
bull 風險監督是內部稽核之責任
bull 風險只是須加以控管之負面因素
bull 風險管理係依組織架構執行
bull 風險管理係較低階層之責任
bull 風險衡量係主觀的
bull 未結構化及分歧的風險管理功能
現在hellip
bull 風險監督是管理當局之責任
bull 危機即是轉機
bull 風險管理是整合性且適用於企業整體
bull 風險管理係為高階層及各執行單位之責任
bull 以數量化衡量風險
bull 風險管理機制建置於各企業管理系統上
6
17
想想如果要完整得到貴機關風險項目需要誰一起參與
機關目標
內部流程 人員 系統
風險風險
控制 控制
單位目標
願景使命
監督
風險風險
控制 控制
單位目標
風險風險
控制 控制
單位目標
ISO 27001本文--4組織全景
41 瞭解組織及其全景
組織應決定與其目的有關且影響達成其資訊安全管理系統預期成果能力者之內部及外部議題
備考決定此等議題係指建立於 ISO 31000[5] 53 中所考量之組織內部及外部全景
42 瞭解關注方之需要及期望組織應決定下列事項
(a) 與資訊安全管理系統有關之關注各方
(b) 此等關注方對資訊安全之要求事項
備考關注方之要求事項可能包括法律及法規要求以及契約義務
18
ISO 31000 ndash53建立前後環節(14)
531 一般
532 建立外部前後環節
外部前後環節可包括但不侷限於下列
無論是國際國家區域抑或地方其社會與文化政治法令規章財務技術經濟自然及競爭環境
對組織的目標具有衝擊之主要推動者與趨勢及與外部利害相關者的關係以及外部利害相關者之感知與價值
19
ISO 31000 ndash53建立前後環節(24)
533 建立內部前後環節瞭解內部前後環節係必要的此可包括但不侷限於下列 治理組織的結構角色及責任 政策目標以及恰當可達成的策略 由資源與知識 (如資金時間人員過程系統及技術 )的觀點所瞭解的能力
與內部利害相關者的關係以及內部利害相關者之感知與價值
組織的文化 資訊系統資訊流及決策過程 (正式與非正式兩者 )
組織所採納的標準指導綱要及模式及 合約關係之形式與範圍
20
ISO 31000 ndash53建立前後環節(34)
534 建立風險管理過程之前後環節風險管理過程之前後環節將依據組織需求而改變此可包括但不侷限於下列 界定風險管理活動之目的與目標 界定風險管理過程與範圍內之責任 界定適用範圍以及風險管理活動進行的深度與幅度包含特定涵括事項與排除事項
界定以時間與地點為觀點之活動過程功能專案計畫產品服務或資產
界定特定專案過程或活動與組織其他專案過程或活動間之關係
界定風險評鑑方法論 界定風險管理的績效與有效性評估之方式 鑑別與詳述經作成的決策及 鑑別限定或設計所需之研究其範圍與目標及此類研究所需的資源
21
ISO 31000 ndash53建立前後環節(44)
535 界定風險準則當界定風險準則時須包括下列考量的因素 緣由之本質與型式及可能產生的結果
(後果 )以及如何量測 可能性將如何界定 可能性及 或結果 (後果 )之時間組合 風險等級如何決定 利害相關者之意見 風險成為可接受或可忍受之等級及 是否須考量合併多個風險及如是時如何與何項合併須予以考量
22
ISO 27001本文--6規劃(611)
23
61 因應風險及機會之行動611 一般要求於規劃資訊安全管理系統時組織應考量 41 所提及之議題及 42 所提及之要求事項並決定需因應之風險及機會以達成下列事項
(a) 確保資訊安全管理系統達成其預期成果(b) 預防或減少非所欲之影響(c) 達成持續改善組織應規劃下列事項(d) 因應此等風險及機會之行動(e) 執行下列事項之方法
(1) 將各項行動整合及實作於其資訊安全管理系統過程之中(2) 評估此等行動之有效性
ISO 27005標準之結構
24
本標準包含資訊安全風險管理過程及其活動之描述
第 5 節提供背景資訊 第 6 節為資訊安全風險管理過程之概觀 第 6 節中所提及的所有資訊安全風險管理活動依序描述於下列節次中
- 第 7 節全景建立 - 第 8 節風險評鑑 - 第 9 節風險處理 - 第 10 節風險接受 - 第 11 節風險溝通 - 第 12 節風險監視及審查
ISO 27005bull 資訊安全風險管理宜為一持續之過程該過程使用風險處理計畫以實作建議
與決策宜建立內部與外部全景評估風險及處理風險風險管理於決定宜在何時做何事之前要先分析會發生何事及可能之後果以降低風險至可接受等級
bull 資訊安全風險管理宜對下列各項有所助益
- 識別風險
-依其對營運造成之後果與其發生之可能性以評鑑風險
- 溝通並瞭解此風險之可能性與後果
- 建立風險處理之優先序
- 降低風險發生措施之優先序
-在做風險管理決策時使利害相關者參與並將風險管理狀態告知
- 風險處理監視之有效性
- 定期監視及審查風險與風險管理過程
- 為改善風險管理作法所擷取之資訊
- 管理者及員工須受有關風險及減緩措施之教育訓練
bull 資訊安全風險管理過程能適用於整個組織組織任一個別部分 ( 例部門實體位置服務 ) 任一資訊系統現有或已規劃或特定控制之層面 ( 例營運持續規畫 )
25
資訊安全風險管理過程(ISO 27005)
26
27
維基百科
迭代是重複反饋過程的活動其目的通常是為了接近併到達所需的目標或結果每一次對過程的重複被稱為一次「迭代」而每一次迭代得到的結果會被用來作為下一次迭代的初始值
ISO27005
資訊安全風險管理過程包含建立全景(第 7 節 )風險評鑑 (第 8 節 )風險處理 (第 9節 )風險接受 (第 10 節 )風險溝通及諮詢 (第 11 節 )風險監視及審查 (第 12 節 )
ISO 31000目錄架構
28
1適用範圍 2用語及定義 3原則 4架構
41一般
42宣示與承諾
43管理風險之架構設計
44實施風險管理
45架構之監測與審查
46架構之持續改進
5過程
51一般
52溝通與諮商
53建立前後環節
54風險評鑑
55風險處理
56監測與審查
57紀錄風險管理過程
ISO 31000 風險管理原則架構及過程間的關係
29
ISO 31000 管理風險的架構組成間之關係
30
ISO 31000 管理風險過程
31
ISMS 與資訊安全風險管理過程之校準
32
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
33
34
風險評鑑流程-資產清查
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點
35
業務流程與資訊資產變更
關鍵活動輸入(需求說明)
產出(交付項目)
資源 紀錄
(可接受風險等級CIA)
規範
所有權 度量標準
(人員環境設備工具通訊等)
36
資訊縱深模型
人員
bull 骨幹網路網路服務網路服務
硬體設備
作業系統
應用程式
資料紀錄
bull 伺服器路由器防火牆
bull Windows XPLinux
bull IISOffice防毒軟體
bull 資料庫系統文件Log
bull 使用者作業員管理員
資訊載體
資訊本體
資訊
軟體
實體
服務
人員
資訊資產分類
資訊資產(六大類)
環境
資產
硬體
資產
軟體
資產
通訊
資產
資料
資產
人員
資產
7 March 201637
38
風險評鑑流程-資產價值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
鑑別資產價值資產盤點
何為資產的C I A
bull著重於資訊的暴露或洩露時是否會對組織造成傷害
機密性(C)
bull著重於資訊未經授權的修改或內容錯誤是否會對組織造成傷害
完整性(I)
bull合法使用者於被授權時間的可用性與迫切性需求
可用性(A)
39
7 March 201640
風險評鑑流程-威脅弱點分析
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
威脅弱點分析鑑別資產價值資產盤點
41
資產風險弱點風險關係圖
風險關聯圖
8
AssetsVV
V
VT
T
R
TRR
S
T威脅S保護措施V弱點
R風險RR剩餘風險
弱點威脅與風險之間的關係
低 中 高
高
中
低
威
脅
弱點
中度風險
高風險
低風險
44
威脅脆弱點鑑別
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
45
風險評鑑流程-評估風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 評估風險值威脅弱點分析
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))
X
(事件發生機率(等級)x 事件衝擊(等級))
46
47
風險評鑑流程-可接受風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 可接受風險值評估風險值
48
訂定可接受風險值
(原因理由) 對超過可接風險值之資訊資產提出對策與控制
ISO 27001本文--6規劃(612)
49
612 資訊安全風險評鑑組織應定義及應用資訊安全風險評鑑過程於下列事項中(a) 建立及維持包括下列準則之資訊安全風險準則
(1) 風險接受準則(2) 履行資訊安全風險評鑑之準則
(b) 確保重複之資訊安全風險評鑑產生一致有效及適於比較之結果(c) 識別資訊安全風險
(1) 應用資訊安全風險評鑑過程以識別資訊安全管理系統範圍內與漏失資訊之機密性完整性及可用性相關聯之風險(2) 識別風險擁有者
(d) 分析資訊安全風險(1) 評鑑若 612(c)(1) 中所識別之風險實現時可能導致之潛在後果(2) 評鑑 612(c)(1) 中所識別之風險發生的實際可能性(3) 決定風險等級
(e) 評估資訊安全風險(1) 以 612(a) 中所建立之風險準則比較風險分析結果(2) 訂定已分析風險之風險處理優先序
組織應保存關於資訊安全風險評鑑過程之文件化資訊
ISO 27001本文mdash8運作(82)
50
82 資訊安全風險評鑑組織應依規劃之期間或當提議或發生重大變更時考量 612(a) 所建立之準則執行資訊安全風險評鑑組織應保存資訊安全風險評鑑結果之文件化資訊
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
51
52
風險管理定義為有效管理可能發生的事件及其不利的影響所執行的步驟與過程基本架構包括辨識評估處理監控等程序
評估之後做甚麼
1辨識風險
2評估風險
3處理風險
4監視評估
- 53 -
資安措施規劃與執行(1)
- 54 -
資安措施規劃與執行(2)
- 55 -
控制措施作用示意
弱點
弱點
控制措施類型
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
17
想想如果要完整得到貴機關風險項目需要誰一起參與
機關目標
內部流程 人員 系統
風險風險
控制 控制
單位目標
願景使命
監督
風險風險
控制 控制
單位目標
風險風險
控制 控制
單位目標
ISO 27001本文--4組織全景
41 瞭解組織及其全景
組織應決定與其目的有關且影響達成其資訊安全管理系統預期成果能力者之內部及外部議題
備考決定此等議題係指建立於 ISO 31000[5] 53 中所考量之組織內部及外部全景
42 瞭解關注方之需要及期望組織應決定下列事項
(a) 與資訊安全管理系統有關之關注各方
(b) 此等關注方對資訊安全之要求事項
備考關注方之要求事項可能包括法律及法規要求以及契約義務
18
ISO 31000 ndash53建立前後環節(14)
531 一般
532 建立外部前後環節
外部前後環節可包括但不侷限於下列
無論是國際國家區域抑或地方其社會與文化政治法令規章財務技術經濟自然及競爭環境
對組織的目標具有衝擊之主要推動者與趨勢及與外部利害相關者的關係以及外部利害相關者之感知與價值
19
ISO 31000 ndash53建立前後環節(24)
533 建立內部前後環節瞭解內部前後環節係必要的此可包括但不侷限於下列 治理組織的結構角色及責任 政策目標以及恰當可達成的策略 由資源與知識 (如資金時間人員過程系統及技術 )的觀點所瞭解的能力
與內部利害相關者的關係以及內部利害相關者之感知與價值
組織的文化 資訊系統資訊流及決策過程 (正式與非正式兩者 )
組織所採納的標準指導綱要及模式及 合約關係之形式與範圍
20
ISO 31000 ndash53建立前後環節(34)
534 建立風險管理過程之前後環節風險管理過程之前後環節將依據組織需求而改變此可包括但不侷限於下列 界定風險管理活動之目的與目標 界定風險管理過程與範圍內之責任 界定適用範圍以及風險管理活動進行的深度與幅度包含特定涵括事項與排除事項
界定以時間與地點為觀點之活動過程功能專案計畫產品服務或資產
界定特定專案過程或活動與組織其他專案過程或活動間之關係
界定風險評鑑方法論 界定風險管理的績效與有效性評估之方式 鑑別與詳述經作成的決策及 鑑別限定或設計所需之研究其範圍與目標及此類研究所需的資源
21
ISO 31000 ndash53建立前後環節(44)
535 界定風險準則當界定風險準則時須包括下列考量的因素 緣由之本質與型式及可能產生的結果
(後果 )以及如何量測 可能性將如何界定 可能性及 或結果 (後果 )之時間組合 風險等級如何決定 利害相關者之意見 風險成為可接受或可忍受之等級及 是否須考量合併多個風險及如是時如何與何項合併須予以考量
22
ISO 27001本文--6規劃(611)
23
61 因應風險及機會之行動611 一般要求於規劃資訊安全管理系統時組織應考量 41 所提及之議題及 42 所提及之要求事項並決定需因應之風險及機會以達成下列事項
(a) 確保資訊安全管理系統達成其預期成果(b) 預防或減少非所欲之影響(c) 達成持續改善組織應規劃下列事項(d) 因應此等風險及機會之行動(e) 執行下列事項之方法
(1) 將各項行動整合及實作於其資訊安全管理系統過程之中(2) 評估此等行動之有效性
ISO 27005標準之結構
24
本標準包含資訊安全風險管理過程及其活動之描述
第 5 節提供背景資訊 第 6 節為資訊安全風險管理過程之概觀 第 6 節中所提及的所有資訊安全風險管理活動依序描述於下列節次中
- 第 7 節全景建立 - 第 8 節風險評鑑 - 第 9 節風險處理 - 第 10 節風險接受 - 第 11 節風險溝通 - 第 12 節風險監視及審查
ISO 27005bull 資訊安全風險管理宜為一持續之過程該過程使用風險處理計畫以實作建議
與決策宜建立內部與外部全景評估風險及處理風險風險管理於決定宜在何時做何事之前要先分析會發生何事及可能之後果以降低風險至可接受等級
bull 資訊安全風險管理宜對下列各項有所助益
- 識別風險
-依其對營運造成之後果與其發生之可能性以評鑑風險
- 溝通並瞭解此風險之可能性與後果
- 建立風險處理之優先序
- 降低風險發生措施之優先序
-在做風險管理決策時使利害相關者參與並將風險管理狀態告知
- 風險處理監視之有效性
- 定期監視及審查風險與風險管理過程
- 為改善風險管理作法所擷取之資訊
- 管理者及員工須受有關風險及減緩措施之教育訓練
bull 資訊安全風險管理過程能適用於整個組織組織任一個別部分 ( 例部門實體位置服務 ) 任一資訊系統現有或已規劃或特定控制之層面 ( 例營運持續規畫 )
25
資訊安全風險管理過程(ISO 27005)
26
27
維基百科
迭代是重複反饋過程的活動其目的通常是為了接近併到達所需的目標或結果每一次對過程的重複被稱為一次「迭代」而每一次迭代得到的結果會被用來作為下一次迭代的初始值
ISO27005
資訊安全風險管理過程包含建立全景(第 7 節 )風險評鑑 (第 8 節 )風險處理 (第 9節 )風險接受 (第 10 節 )風險溝通及諮詢 (第 11 節 )風險監視及審查 (第 12 節 )
ISO 31000目錄架構
28
1適用範圍 2用語及定義 3原則 4架構
41一般
42宣示與承諾
43管理風險之架構設計
44實施風險管理
45架構之監測與審查
46架構之持續改進
5過程
51一般
52溝通與諮商
53建立前後環節
54風險評鑑
55風險處理
56監測與審查
57紀錄風險管理過程
ISO 31000 風險管理原則架構及過程間的關係
29
ISO 31000 管理風險的架構組成間之關係
30
ISO 31000 管理風險過程
31
ISMS 與資訊安全風險管理過程之校準
32
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
33
34
風險評鑑流程-資產清查
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點
35
業務流程與資訊資產變更
關鍵活動輸入(需求說明)
產出(交付項目)
資源 紀錄
(可接受風險等級CIA)
規範
所有權 度量標準
(人員環境設備工具通訊等)
36
資訊縱深模型
人員
bull 骨幹網路網路服務網路服務
硬體設備
作業系統
應用程式
資料紀錄
bull 伺服器路由器防火牆
bull Windows XPLinux
bull IISOffice防毒軟體
bull 資料庫系統文件Log
bull 使用者作業員管理員
資訊載體
資訊本體
資訊
軟體
實體
服務
人員
資訊資產分類
資訊資產(六大類)
環境
資產
硬體
資產
軟體
資產
通訊
資產
資料
資產
人員
資產
7 March 201637
38
風險評鑑流程-資產價值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
鑑別資產價值資產盤點
何為資產的C I A
bull著重於資訊的暴露或洩露時是否會對組織造成傷害
機密性(C)
bull著重於資訊未經授權的修改或內容錯誤是否會對組織造成傷害
完整性(I)
bull合法使用者於被授權時間的可用性與迫切性需求
可用性(A)
39
7 March 201640
風險評鑑流程-威脅弱點分析
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
威脅弱點分析鑑別資產價值資產盤點
41
資產風險弱點風險關係圖
風險關聯圖
8
AssetsVV
V
VT
T
R
TRR
S
T威脅S保護措施V弱點
R風險RR剩餘風險
弱點威脅與風險之間的關係
低 中 高
高
中
低
威
脅
弱點
中度風險
高風險
低風險
44
威脅脆弱點鑑別
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
45
風險評鑑流程-評估風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 評估風險值威脅弱點分析
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))
X
(事件發生機率(等級)x 事件衝擊(等級))
46
47
風險評鑑流程-可接受風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 可接受風險值評估風險值
48
訂定可接受風險值
(原因理由) 對超過可接風險值之資訊資產提出對策與控制
ISO 27001本文--6規劃(612)
49
612 資訊安全風險評鑑組織應定義及應用資訊安全風險評鑑過程於下列事項中(a) 建立及維持包括下列準則之資訊安全風險準則
(1) 風險接受準則(2) 履行資訊安全風險評鑑之準則
(b) 確保重複之資訊安全風險評鑑產生一致有效及適於比較之結果(c) 識別資訊安全風險
(1) 應用資訊安全風險評鑑過程以識別資訊安全管理系統範圍內與漏失資訊之機密性完整性及可用性相關聯之風險(2) 識別風險擁有者
(d) 分析資訊安全風險(1) 評鑑若 612(c)(1) 中所識別之風險實現時可能導致之潛在後果(2) 評鑑 612(c)(1) 中所識別之風險發生的實際可能性(3) 決定風險等級
(e) 評估資訊安全風險(1) 以 612(a) 中所建立之風險準則比較風險分析結果(2) 訂定已分析風險之風險處理優先序
組織應保存關於資訊安全風險評鑑過程之文件化資訊
ISO 27001本文mdash8運作(82)
50
82 資訊安全風險評鑑組織應依規劃之期間或當提議或發生重大變更時考量 612(a) 所建立之準則執行資訊安全風險評鑑組織應保存資訊安全風險評鑑結果之文件化資訊
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
51
52
風險管理定義為有效管理可能發生的事件及其不利的影響所執行的步驟與過程基本架構包括辨識評估處理監控等程序
評估之後做甚麼
1辨識風險
2評估風險
3處理風險
4監視評估
- 53 -
資安措施規劃與執行(1)
- 54 -
資安措施規劃與執行(2)
- 55 -
控制措施作用示意
弱點
弱點
控制措施類型
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
ISO 27001本文--4組織全景
41 瞭解組織及其全景
組織應決定與其目的有關且影響達成其資訊安全管理系統預期成果能力者之內部及外部議題
備考決定此等議題係指建立於 ISO 31000[5] 53 中所考量之組織內部及外部全景
42 瞭解關注方之需要及期望組織應決定下列事項
(a) 與資訊安全管理系統有關之關注各方
(b) 此等關注方對資訊安全之要求事項
備考關注方之要求事項可能包括法律及法規要求以及契約義務
18
ISO 31000 ndash53建立前後環節(14)
531 一般
532 建立外部前後環節
外部前後環節可包括但不侷限於下列
無論是國際國家區域抑或地方其社會與文化政治法令規章財務技術經濟自然及競爭環境
對組織的目標具有衝擊之主要推動者與趨勢及與外部利害相關者的關係以及外部利害相關者之感知與價值
19
ISO 31000 ndash53建立前後環節(24)
533 建立內部前後環節瞭解內部前後環節係必要的此可包括但不侷限於下列 治理組織的結構角色及責任 政策目標以及恰當可達成的策略 由資源與知識 (如資金時間人員過程系統及技術 )的觀點所瞭解的能力
與內部利害相關者的關係以及內部利害相關者之感知與價值
組織的文化 資訊系統資訊流及決策過程 (正式與非正式兩者 )
組織所採納的標準指導綱要及模式及 合約關係之形式與範圍
20
ISO 31000 ndash53建立前後環節(34)
534 建立風險管理過程之前後環節風險管理過程之前後環節將依據組織需求而改變此可包括但不侷限於下列 界定風險管理活動之目的與目標 界定風險管理過程與範圍內之責任 界定適用範圍以及風險管理活動進行的深度與幅度包含特定涵括事項與排除事項
界定以時間與地點為觀點之活動過程功能專案計畫產品服務或資產
界定特定專案過程或活動與組織其他專案過程或活動間之關係
界定風險評鑑方法論 界定風險管理的績效與有效性評估之方式 鑑別與詳述經作成的決策及 鑑別限定或設計所需之研究其範圍與目標及此類研究所需的資源
21
ISO 31000 ndash53建立前後環節(44)
535 界定風險準則當界定風險準則時須包括下列考量的因素 緣由之本質與型式及可能產生的結果
(後果 )以及如何量測 可能性將如何界定 可能性及 或結果 (後果 )之時間組合 風險等級如何決定 利害相關者之意見 風險成為可接受或可忍受之等級及 是否須考量合併多個風險及如是時如何與何項合併須予以考量
22
ISO 27001本文--6規劃(611)
23
61 因應風險及機會之行動611 一般要求於規劃資訊安全管理系統時組織應考量 41 所提及之議題及 42 所提及之要求事項並決定需因應之風險及機會以達成下列事項
(a) 確保資訊安全管理系統達成其預期成果(b) 預防或減少非所欲之影響(c) 達成持續改善組織應規劃下列事項(d) 因應此等風險及機會之行動(e) 執行下列事項之方法
(1) 將各項行動整合及實作於其資訊安全管理系統過程之中(2) 評估此等行動之有效性
ISO 27005標準之結構
24
本標準包含資訊安全風險管理過程及其活動之描述
第 5 節提供背景資訊 第 6 節為資訊安全風險管理過程之概觀 第 6 節中所提及的所有資訊安全風險管理活動依序描述於下列節次中
- 第 7 節全景建立 - 第 8 節風險評鑑 - 第 9 節風險處理 - 第 10 節風險接受 - 第 11 節風險溝通 - 第 12 節風險監視及審查
ISO 27005bull 資訊安全風險管理宜為一持續之過程該過程使用風險處理計畫以實作建議
與決策宜建立內部與外部全景評估風險及處理風險風險管理於決定宜在何時做何事之前要先分析會發生何事及可能之後果以降低風險至可接受等級
bull 資訊安全風險管理宜對下列各項有所助益
- 識別風險
-依其對營運造成之後果與其發生之可能性以評鑑風險
- 溝通並瞭解此風險之可能性與後果
- 建立風險處理之優先序
- 降低風險發生措施之優先序
-在做風險管理決策時使利害相關者參與並將風險管理狀態告知
- 風險處理監視之有效性
- 定期監視及審查風險與風險管理過程
- 為改善風險管理作法所擷取之資訊
- 管理者及員工須受有關風險及減緩措施之教育訓練
bull 資訊安全風險管理過程能適用於整個組織組織任一個別部分 ( 例部門實體位置服務 ) 任一資訊系統現有或已規劃或特定控制之層面 ( 例營運持續規畫 )
25
資訊安全風險管理過程(ISO 27005)
26
27
維基百科
迭代是重複反饋過程的活動其目的通常是為了接近併到達所需的目標或結果每一次對過程的重複被稱為一次「迭代」而每一次迭代得到的結果會被用來作為下一次迭代的初始值
ISO27005
資訊安全風險管理過程包含建立全景(第 7 節 )風險評鑑 (第 8 節 )風險處理 (第 9節 )風險接受 (第 10 節 )風險溝通及諮詢 (第 11 節 )風險監視及審查 (第 12 節 )
ISO 31000目錄架構
28
1適用範圍 2用語及定義 3原則 4架構
41一般
42宣示與承諾
43管理風險之架構設計
44實施風險管理
45架構之監測與審查
46架構之持續改進
5過程
51一般
52溝通與諮商
53建立前後環節
54風險評鑑
55風險處理
56監測與審查
57紀錄風險管理過程
ISO 31000 風險管理原則架構及過程間的關係
29
ISO 31000 管理風險的架構組成間之關係
30
ISO 31000 管理風險過程
31
ISMS 與資訊安全風險管理過程之校準
32
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
33
34
風險評鑑流程-資產清查
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點
35
業務流程與資訊資產變更
關鍵活動輸入(需求說明)
產出(交付項目)
資源 紀錄
(可接受風險等級CIA)
規範
所有權 度量標準
(人員環境設備工具通訊等)
36
資訊縱深模型
人員
bull 骨幹網路網路服務網路服務
硬體設備
作業系統
應用程式
資料紀錄
bull 伺服器路由器防火牆
bull Windows XPLinux
bull IISOffice防毒軟體
bull 資料庫系統文件Log
bull 使用者作業員管理員
資訊載體
資訊本體
資訊
軟體
實體
服務
人員
資訊資產分類
資訊資產(六大類)
環境
資產
硬體
資產
軟體
資產
通訊
資產
資料
資產
人員
資產
7 March 201637
38
風險評鑑流程-資產價值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
鑑別資產價值資產盤點
何為資產的C I A
bull著重於資訊的暴露或洩露時是否會對組織造成傷害
機密性(C)
bull著重於資訊未經授權的修改或內容錯誤是否會對組織造成傷害
完整性(I)
bull合法使用者於被授權時間的可用性與迫切性需求
可用性(A)
39
7 March 201640
風險評鑑流程-威脅弱點分析
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
威脅弱點分析鑑別資產價值資產盤點
41
資產風險弱點風險關係圖
風險關聯圖
8
AssetsVV
V
VT
T
R
TRR
S
T威脅S保護措施V弱點
R風險RR剩餘風險
弱點威脅與風險之間的關係
低 中 高
高
中
低
威
脅
弱點
中度風險
高風險
低風險
44
威脅脆弱點鑑別
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
45
風險評鑑流程-評估風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 評估風險值威脅弱點分析
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))
X
(事件發生機率(等級)x 事件衝擊(等級))
46
47
風險評鑑流程-可接受風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 可接受風險值評估風險值
48
訂定可接受風險值
(原因理由) 對超過可接風險值之資訊資產提出對策與控制
ISO 27001本文--6規劃(612)
49
612 資訊安全風險評鑑組織應定義及應用資訊安全風險評鑑過程於下列事項中(a) 建立及維持包括下列準則之資訊安全風險準則
(1) 風險接受準則(2) 履行資訊安全風險評鑑之準則
(b) 確保重複之資訊安全風險評鑑產生一致有效及適於比較之結果(c) 識別資訊安全風險
(1) 應用資訊安全風險評鑑過程以識別資訊安全管理系統範圍內與漏失資訊之機密性完整性及可用性相關聯之風險(2) 識別風險擁有者
(d) 分析資訊安全風險(1) 評鑑若 612(c)(1) 中所識別之風險實現時可能導致之潛在後果(2) 評鑑 612(c)(1) 中所識別之風險發生的實際可能性(3) 決定風險等級
(e) 評估資訊安全風險(1) 以 612(a) 中所建立之風險準則比較風險分析結果(2) 訂定已分析風險之風險處理優先序
組織應保存關於資訊安全風險評鑑過程之文件化資訊
ISO 27001本文mdash8運作(82)
50
82 資訊安全風險評鑑組織應依規劃之期間或當提議或發生重大變更時考量 612(a) 所建立之準則執行資訊安全風險評鑑組織應保存資訊安全風險評鑑結果之文件化資訊
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
51
52
風險管理定義為有效管理可能發生的事件及其不利的影響所執行的步驟與過程基本架構包括辨識評估處理監控等程序
評估之後做甚麼
1辨識風險
2評估風險
3處理風險
4監視評估
- 53 -
資安措施規劃與執行(1)
- 54 -
資安措施規劃與執行(2)
- 55 -
控制措施作用示意
弱點
弱點
控制措施類型
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
ISO 31000 ndash53建立前後環節(14)
531 一般
532 建立外部前後環節
外部前後環節可包括但不侷限於下列
無論是國際國家區域抑或地方其社會與文化政治法令規章財務技術經濟自然及競爭環境
對組織的目標具有衝擊之主要推動者與趨勢及與外部利害相關者的關係以及外部利害相關者之感知與價值
19
ISO 31000 ndash53建立前後環節(24)
533 建立內部前後環節瞭解內部前後環節係必要的此可包括但不侷限於下列 治理組織的結構角色及責任 政策目標以及恰當可達成的策略 由資源與知識 (如資金時間人員過程系統及技術 )的觀點所瞭解的能力
與內部利害相關者的關係以及內部利害相關者之感知與價值
組織的文化 資訊系統資訊流及決策過程 (正式與非正式兩者 )
組織所採納的標準指導綱要及模式及 合約關係之形式與範圍
20
ISO 31000 ndash53建立前後環節(34)
534 建立風險管理過程之前後環節風險管理過程之前後環節將依據組織需求而改變此可包括但不侷限於下列 界定風險管理活動之目的與目標 界定風險管理過程與範圍內之責任 界定適用範圍以及風險管理活動進行的深度與幅度包含特定涵括事項與排除事項
界定以時間與地點為觀點之活動過程功能專案計畫產品服務或資產
界定特定專案過程或活動與組織其他專案過程或活動間之關係
界定風險評鑑方法論 界定風險管理的績效與有效性評估之方式 鑑別與詳述經作成的決策及 鑑別限定或設計所需之研究其範圍與目標及此類研究所需的資源
21
ISO 31000 ndash53建立前後環節(44)
535 界定風險準則當界定風險準則時須包括下列考量的因素 緣由之本質與型式及可能產生的結果
(後果 )以及如何量測 可能性將如何界定 可能性及 或結果 (後果 )之時間組合 風險等級如何決定 利害相關者之意見 風險成為可接受或可忍受之等級及 是否須考量合併多個風險及如是時如何與何項合併須予以考量
22
ISO 27001本文--6規劃(611)
23
61 因應風險及機會之行動611 一般要求於規劃資訊安全管理系統時組織應考量 41 所提及之議題及 42 所提及之要求事項並決定需因應之風險及機會以達成下列事項
(a) 確保資訊安全管理系統達成其預期成果(b) 預防或減少非所欲之影響(c) 達成持續改善組織應規劃下列事項(d) 因應此等風險及機會之行動(e) 執行下列事項之方法
(1) 將各項行動整合及實作於其資訊安全管理系統過程之中(2) 評估此等行動之有效性
ISO 27005標準之結構
24
本標準包含資訊安全風險管理過程及其活動之描述
第 5 節提供背景資訊 第 6 節為資訊安全風險管理過程之概觀 第 6 節中所提及的所有資訊安全風險管理活動依序描述於下列節次中
- 第 7 節全景建立 - 第 8 節風險評鑑 - 第 9 節風險處理 - 第 10 節風險接受 - 第 11 節風險溝通 - 第 12 節風險監視及審查
ISO 27005bull 資訊安全風險管理宜為一持續之過程該過程使用風險處理計畫以實作建議
與決策宜建立內部與外部全景評估風險及處理風險風險管理於決定宜在何時做何事之前要先分析會發生何事及可能之後果以降低風險至可接受等級
bull 資訊安全風險管理宜對下列各項有所助益
- 識別風險
-依其對營運造成之後果與其發生之可能性以評鑑風險
- 溝通並瞭解此風險之可能性與後果
- 建立風險處理之優先序
- 降低風險發生措施之優先序
-在做風險管理決策時使利害相關者參與並將風險管理狀態告知
- 風險處理監視之有效性
- 定期監視及審查風險與風險管理過程
- 為改善風險管理作法所擷取之資訊
- 管理者及員工須受有關風險及減緩措施之教育訓練
bull 資訊安全風險管理過程能適用於整個組織組織任一個別部分 ( 例部門實體位置服務 ) 任一資訊系統現有或已規劃或特定控制之層面 ( 例營運持續規畫 )
25
資訊安全風險管理過程(ISO 27005)
26
27
維基百科
迭代是重複反饋過程的活動其目的通常是為了接近併到達所需的目標或結果每一次對過程的重複被稱為一次「迭代」而每一次迭代得到的結果會被用來作為下一次迭代的初始值
ISO27005
資訊安全風險管理過程包含建立全景(第 7 節 )風險評鑑 (第 8 節 )風險處理 (第 9節 )風險接受 (第 10 節 )風險溝通及諮詢 (第 11 節 )風險監視及審查 (第 12 節 )
ISO 31000目錄架構
28
1適用範圍 2用語及定義 3原則 4架構
41一般
42宣示與承諾
43管理風險之架構設計
44實施風險管理
45架構之監測與審查
46架構之持續改進
5過程
51一般
52溝通與諮商
53建立前後環節
54風險評鑑
55風險處理
56監測與審查
57紀錄風險管理過程
ISO 31000 風險管理原則架構及過程間的關係
29
ISO 31000 管理風險的架構組成間之關係
30
ISO 31000 管理風險過程
31
ISMS 與資訊安全風險管理過程之校準
32
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
33
34
風險評鑑流程-資產清查
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點
35
業務流程與資訊資產變更
關鍵活動輸入(需求說明)
產出(交付項目)
資源 紀錄
(可接受風險等級CIA)
規範
所有權 度量標準
(人員環境設備工具通訊等)
36
資訊縱深模型
人員
bull 骨幹網路網路服務網路服務
硬體設備
作業系統
應用程式
資料紀錄
bull 伺服器路由器防火牆
bull Windows XPLinux
bull IISOffice防毒軟體
bull 資料庫系統文件Log
bull 使用者作業員管理員
資訊載體
資訊本體
資訊
軟體
實體
服務
人員
資訊資產分類
資訊資產(六大類)
環境
資產
硬體
資產
軟體
資產
通訊
資產
資料
資產
人員
資產
7 March 201637
38
風險評鑑流程-資產價值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
鑑別資產價值資產盤點
何為資產的C I A
bull著重於資訊的暴露或洩露時是否會對組織造成傷害
機密性(C)
bull著重於資訊未經授權的修改或內容錯誤是否會對組織造成傷害
完整性(I)
bull合法使用者於被授權時間的可用性與迫切性需求
可用性(A)
39
7 March 201640
風險評鑑流程-威脅弱點分析
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
威脅弱點分析鑑別資產價值資產盤點
41
資產風險弱點風險關係圖
風險關聯圖
8
AssetsVV
V
VT
T
R
TRR
S
T威脅S保護措施V弱點
R風險RR剩餘風險
弱點威脅與風險之間的關係
低 中 高
高
中
低
威
脅
弱點
中度風險
高風險
低風險
44
威脅脆弱點鑑別
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
45
風險評鑑流程-評估風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 評估風險值威脅弱點分析
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))
X
(事件發生機率(等級)x 事件衝擊(等級))
46
47
風險評鑑流程-可接受風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 可接受風險值評估風險值
48
訂定可接受風險值
(原因理由) 對超過可接風險值之資訊資產提出對策與控制
ISO 27001本文--6規劃(612)
49
612 資訊安全風險評鑑組織應定義及應用資訊安全風險評鑑過程於下列事項中(a) 建立及維持包括下列準則之資訊安全風險準則
(1) 風險接受準則(2) 履行資訊安全風險評鑑之準則
(b) 確保重複之資訊安全風險評鑑產生一致有效及適於比較之結果(c) 識別資訊安全風險
(1) 應用資訊安全風險評鑑過程以識別資訊安全管理系統範圍內與漏失資訊之機密性完整性及可用性相關聯之風險(2) 識別風險擁有者
(d) 分析資訊安全風險(1) 評鑑若 612(c)(1) 中所識別之風險實現時可能導致之潛在後果(2) 評鑑 612(c)(1) 中所識別之風險發生的實際可能性(3) 決定風險等級
(e) 評估資訊安全風險(1) 以 612(a) 中所建立之風險準則比較風險分析結果(2) 訂定已分析風險之風險處理優先序
組織應保存關於資訊安全風險評鑑過程之文件化資訊
ISO 27001本文mdash8運作(82)
50
82 資訊安全風險評鑑組織應依規劃之期間或當提議或發生重大變更時考量 612(a) 所建立之準則執行資訊安全風險評鑑組織應保存資訊安全風險評鑑結果之文件化資訊
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
51
52
風險管理定義為有效管理可能發生的事件及其不利的影響所執行的步驟與過程基本架構包括辨識評估處理監控等程序
評估之後做甚麼
1辨識風險
2評估風險
3處理風險
4監視評估
- 53 -
資安措施規劃與執行(1)
- 54 -
資安措施規劃與執行(2)
- 55 -
控制措施作用示意
弱點
弱點
控制措施類型
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
ISO 31000 ndash53建立前後環節(24)
533 建立內部前後環節瞭解內部前後環節係必要的此可包括但不侷限於下列 治理組織的結構角色及責任 政策目標以及恰當可達成的策略 由資源與知識 (如資金時間人員過程系統及技術 )的觀點所瞭解的能力
與內部利害相關者的關係以及內部利害相關者之感知與價值
組織的文化 資訊系統資訊流及決策過程 (正式與非正式兩者 )
組織所採納的標準指導綱要及模式及 合約關係之形式與範圍
20
ISO 31000 ndash53建立前後環節(34)
534 建立風險管理過程之前後環節風險管理過程之前後環節將依據組織需求而改變此可包括但不侷限於下列 界定風險管理活動之目的與目標 界定風險管理過程與範圍內之責任 界定適用範圍以及風險管理活動進行的深度與幅度包含特定涵括事項與排除事項
界定以時間與地點為觀點之活動過程功能專案計畫產品服務或資產
界定特定專案過程或活動與組織其他專案過程或活動間之關係
界定風險評鑑方法論 界定風險管理的績效與有效性評估之方式 鑑別與詳述經作成的決策及 鑑別限定或設計所需之研究其範圍與目標及此類研究所需的資源
21
ISO 31000 ndash53建立前後環節(44)
535 界定風險準則當界定風險準則時須包括下列考量的因素 緣由之本質與型式及可能產生的結果
(後果 )以及如何量測 可能性將如何界定 可能性及 或結果 (後果 )之時間組合 風險等級如何決定 利害相關者之意見 風險成為可接受或可忍受之等級及 是否須考量合併多個風險及如是時如何與何項合併須予以考量
22
ISO 27001本文--6規劃(611)
23
61 因應風險及機會之行動611 一般要求於規劃資訊安全管理系統時組織應考量 41 所提及之議題及 42 所提及之要求事項並決定需因應之風險及機會以達成下列事項
(a) 確保資訊安全管理系統達成其預期成果(b) 預防或減少非所欲之影響(c) 達成持續改善組織應規劃下列事項(d) 因應此等風險及機會之行動(e) 執行下列事項之方法
(1) 將各項行動整合及實作於其資訊安全管理系統過程之中(2) 評估此等行動之有效性
ISO 27005標準之結構
24
本標準包含資訊安全風險管理過程及其活動之描述
第 5 節提供背景資訊 第 6 節為資訊安全風險管理過程之概觀 第 6 節中所提及的所有資訊安全風險管理活動依序描述於下列節次中
- 第 7 節全景建立 - 第 8 節風險評鑑 - 第 9 節風險處理 - 第 10 節風險接受 - 第 11 節風險溝通 - 第 12 節風險監視及審查
ISO 27005bull 資訊安全風險管理宜為一持續之過程該過程使用風險處理計畫以實作建議
與決策宜建立內部與外部全景評估風險及處理風險風險管理於決定宜在何時做何事之前要先分析會發生何事及可能之後果以降低風險至可接受等級
bull 資訊安全風險管理宜對下列各項有所助益
- 識別風險
-依其對營運造成之後果與其發生之可能性以評鑑風險
- 溝通並瞭解此風險之可能性與後果
- 建立風險處理之優先序
- 降低風險發生措施之優先序
-在做風險管理決策時使利害相關者參與並將風險管理狀態告知
- 風險處理監視之有效性
- 定期監視及審查風險與風險管理過程
- 為改善風險管理作法所擷取之資訊
- 管理者及員工須受有關風險及減緩措施之教育訓練
bull 資訊安全風險管理過程能適用於整個組織組織任一個別部分 ( 例部門實體位置服務 ) 任一資訊系統現有或已規劃或特定控制之層面 ( 例營運持續規畫 )
25
資訊安全風險管理過程(ISO 27005)
26
27
維基百科
迭代是重複反饋過程的活動其目的通常是為了接近併到達所需的目標或結果每一次對過程的重複被稱為一次「迭代」而每一次迭代得到的結果會被用來作為下一次迭代的初始值
ISO27005
資訊安全風險管理過程包含建立全景(第 7 節 )風險評鑑 (第 8 節 )風險處理 (第 9節 )風險接受 (第 10 節 )風險溝通及諮詢 (第 11 節 )風險監視及審查 (第 12 節 )
ISO 31000目錄架構
28
1適用範圍 2用語及定義 3原則 4架構
41一般
42宣示與承諾
43管理風險之架構設計
44實施風險管理
45架構之監測與審查
46架構之持續改進
5過程
51一般
52溝通與諮商
53建立前後環節
54風險評鑑
55風險處理
56監測與審查
57紀錄風險管理過程
ISO 31000 風險管理原則架構及過程間的關係
29
ISO 31000 管理風險的架構組成間之關係
30
ISO 31000 管理風險過程
31
ISMS 與資訊安全風險管理過程之校準
32
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
33
34
風險評鑑流程-資產清查
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點
35
業務流程與資訊資產變更
關鍵活動輸入(需求說明)
產出(交付項目)
資源 紀錄
(可接受風險等級CIA)
規範
所有權 度量標準
(人員環境設備工具通訊等)
36
資訊縱深模型
人員
bull 骨幹網路網路服務網路服務
硬體設備
作業系統
應用程式
資料紀錄
bull 伺服器路由器防火牆
bull Windows XPLinux
bull IISOffice防毒軟體
bull 資料庫系統文件Log
bull 使用者作業員管理員
資訊載體
資訊本體
資訊
軟體
實體
服務
人員
資訊資產分類
資訊資產(六大類)
環境
資產
硬體
資產
軟體
資產
通訊
資產
資料
資產
人員
資產
7 March 201637
38
風險評鑑流程-資產價值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
鑑別資產價值資產盤點
何為資產的C I A
bull著重於資訊的暴露或洩露時是否會對組織造成傷害
機密性(C)
bull著重於資訊未經授權的修改或內容錯誤是否會對組織造成傷害
完整性(I)
bull合法使用者於被授權時間的可用性與迫切性需求
可用性(A)
39
7 March 201640
風險評鑑流程-威脅弱點分析
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
威脅弱點分析鑑別資產價值資產盤點
41
資產風險弱點風險關係圖
風險關聯圖
8
AssetsVV
V
VT
T
R
TRR
S
T威脅S保護措施V弱點
R風險RR剩餘風險
弱點威脅與風險之間的關係
低 中 高
高
中
低
威
脅
弱點
中度風險
高風險
低風險
44
威脅脆弱點鑑別
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
45
風險評鑑流程-評估風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 評估風險值威脅弱點分析
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))
X
(事件發生機率(等級)x 事件衝擊(等級))
46
47
風險評鑑流程-可接受風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 可接受風險值評估風險值
48
訂定可接受風險值
(原因理由) 對超過可接風險值之資訊資產提出對策與控制
ISO 27001本文--6規劃(612)
49
612 資訊安全風險評鑑組織應定義及應用資訊安全風險評鑑過程於下列事項中(a) 建立及維持包括下列準則之資訊安全風險準則
(1) 風險接受準則(2) 履行資訊安全風險評鑑之準則
(b) 確保重複之資訊安全風險評鑑產生一致有效及適於比較之結果(c) 識別資訊安全風險
(1) 應用資訊安全風險評鑑過程以識別資訊安全管理系統範圍內與漏失資訊之機密性完整性及可用性相關聯之風險(2) 識別風險擁有者
(d) 分析資訊安全風險(1) 評鑑若 612(c)(1) 中所識別之風險實現時可能導致之潛在後果(2) 評鑑 612(c)(1) 中所識別之風險發生的實際可能性(3) 決定風險等級
(e) 評估資訊安全風險(1) 以 612(a) 中所建立之風險準則比較風險分析結果(2) 訂定已分析風險之風險處理優先序
組織應保存關於資訊安全風險評鑑過程之文件化資訊
ISO 27001本文mdash8運作(82)
50
82 資訊安全風險評鑑組織應依規劃之期間或當提議或發生重大變更時考量 612(a) 所建立之準則執行資訊安全風險評鑑組織應保存資訊安全風險評鑑結果之文件化資訊
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
51
52
風險管理定義為有效管理可能發生的事件及其不利的影響所執行的步驟與過程基本架構包括辨識評估處理監控等程序
評估之後做甚麼
1辨識風險
2評估風險
3處理風險
4監視評估
- 53 -
資安措施規劃與執行(1)
- 54 -
資安措施規劃與執行(2)
- 55 -
控制措施作用示意
弱點
弱點
控制措施類型
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
ISO 31000 ndash53建立前後環節(34)
534 建立風險管理過程之前後環節風險管理過程之前後環節將依據組織需求而改變此可包括但不侷限於下列 界定風險管理活動之目的與目標 界定風險管理過程與範圍內之責任 界定適用範圍以及風險管理活動進行的深度與幅度包含特定涵括事項與排除事項
界定以時間與地點為觀點之活動過程功能專案計畫產品服務或資產
界定特定專案過程或活動與組織其他專案過程或活動間之關係
界定風險評鑑方法論 界定風險管理的績效與有效性評估之方式 鑑別與詳述經作成的決策及 鑑別限定或設計所需之研究其範圍與目標及此類研究所需的資源
21
ISO 31000 ndash53建立前後環節(44)
535 界定風險準則當界定風險準則時須包括下列考量的因素 緣由之本質與型式及可能產生的結果
(後果 )以及如何量測 可能性將如何界定 可能性及 或結果 (後果 )之時間組合 風險等級如何決定 利害相關者之意見 風險成為可接受或可忍受之等級及 是否須考量合併多個風險及如是時如何與何項合併須予以考量
22
ISO 27001本文--6規劃(611)
23
61 因應風險及機會之行動611 一般要求於規劃資訊安全管理系統時組織應考量 41 所提及之議題及 42 所提及之要求事項並決定需因應之風險及機會以達成下列事項
(a) 確保資訊安全管理系統達成其預期成果(b) 預防或減少非所欲之影響(c) 達成持續改善組織應規劃下列事項(d) 因應此等風險及機會之行動(e) 執行下列事項之方法
(1) 將各項行動整合及實作於其資訊安全管理系統過程之中(2) 評估此等行動之有效性
ISO 27005標準之結構
24
本標準包含資訊安全風險管理過程及其活動之描述
第 5 節提供背景資訊 第 6 節為資訊安全風險管理過程之概觀 第 6 節中所提及的所有資訊安全風險管理活動依序描述於下列節次中
- 第 7 節全景建立 - 第 8 節風險評鑑 - 第 9 節風險處理 - 第 10 節風險接受 - 第 11 節風險溝通 - 第 12 節風險監視及審查
ISO 27005bull 資訊安全風險管理宜為一持續之過程該過程使用風險處理計畫以實作建議
與決策宜建立內部與外部全景評估風險及處理風險風險管理於決定宜在何時做何事之前要先分析會發生何事及可能之後果以降低風險至可接受等級
bull 資訊安全風險管理宜對下列各項有所助益
- 識別風險
-依其對營運造成之後果與其發生之可能性以評鑑風險
- 溝通並瞭解此風險之可能性與後果
- 建立風險處理之優先序
- 降低風險發生措施之優先序
-在做風險管理決策時使利害相關者參與並將風險管理狀態告知
- 風險處理監視之有效性
- 定期監視及審查風險與風險管理過程
- 為改善風險管理作法所擷取之資訊
- 管理者及員工須受有關風險及減緩措施之教育訓練
bull 資訊安全風險管理過程能適用於整個組織組織任一個別部分 ( 例部門實體位置服務 ) 任一資訊系統現有或已規劃或特定控制之層面 ( 例營運持續規畫 )
25
資訊安全風險管理過程(ISO 27005)
26
27
維基百科
迭代是重複反饋過程的活動其目的通常是為了接近併到達所需的目標或結果每一次對過程的重複被稱為一次「迭代」而每一次迭代得到的結果會被用來作為下一次迭代的初始值
ISO27005
資訊安全風險管理過程包含建立全景(第 7 節 )風險評鑑 (第 8 節 )風險處理 (第 9節 )風險接受 (第 10 節 )風險溝通及諮詢 (第 11 節 )風險監視及審查 (第 12 節 )
ISO 31000目錄架構
28
1適用範圍 2用語及定義 3原則 4架構
41一般
42宣示與承諾
43管理風險之架構設計
44實施風險管理
45架構之監測與審查
46架構之持續改進
5過程
51一般
52溝通與諮商
53建立前後環節
54風險評鑑
55風險處理
56監測與審查
57紀錄風險管理過程
ISO 31000 風險管理原則架構及過程間的關係
29
ISO 31000 管理風險的架構組成間之關係
30
ISO 31000 管理風險過程
31
ISMS 與資訊安全風險管理過程之校準
32
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
33
34
風險評鑑流程-資產清查
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點
35
業務流程與資訊資產變更
關鍵活動輸入(需求說明)
產出(交付項目)
資源 紀錄
(可接受風險等級CIA)
規範
所有權 度量標準
(人員環境設備工具通訊等)
36
資訊縱深模型
人員
bull 骨幹網路網路服務網路服務
硬體設備
作業系統
應用程式
資料紀錄
bull 伺服器路由器防火牆
bull Windows XPLinux
bull IISOffice防毒軟體
bull 資料庫系統文件Log
bull 使用者作業員管理員
資訊載體
資訊本體
資訊
軟體
實體
服務
人員
資訊資產分類
資訊資產(六大類)
環境
資產
硬體
資產
軟體
資產
通訊
資產
資料
資產
人員
資產
7 March 201637
38
風險評鑑流程-資產價值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
鑑別資產價值資產盤點
何為資產的C I A
bull著重於資訊的暴露或洩露時是否會對組織造成傷害
機密性(C)
bull著重於資訊未經授權的修改或內容錯誤是否會對組織造成傷害
完整性(I)
bull合法使用者於被授權時間的可用性與迫切性需求
可用性(A)
39
7 March 201640
風險評鑑流程-威脅弱點分析
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
威脅弱點分析鑑別資產價值資產盤點
41
資產風險弱點風險關係圖
風險關聯圖
8
AssetsVV
V
VT
T
R
TRR
S
T威脅S保護措施V弱點
R風險RR剩餘風險
弱點威脅與風險之間的關係
低 中 高
高
中
低
威
脅
弱點
中度風險
高風險
低風險
44
威脅脆弱點鑑別
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
45
風險評鑑流程-評估風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 評估風險值威脅弱點分析
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))
X
(事件發生機率(等級)x 事件衝擊(等級))
46
47
風險評鑑流程-可接受風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 可接受風險值評估風險值
48
訂定可接受風險值
(原因理由) 對超過可接風險值之資訊資產提出對策與控制
ISO 27001本文--6規劃(612)
49
612 資訊安全風險評鑑組織應定義及應用資訊安全風險評鑑過程於下列事項中(a) 建立及維持包括下列準則之資訊安全風險準則
(1) 風險接受準則(2) 履行資訊安全風險評鑑之準則
(b) 確保重複之資訊安全風險評鑑產生一致有效及適於比較之結果(c) 識別資訊安全風險
(1) 應用資訊安全風險評鑑過程以識別資訊安全管理系統範圍內與漏失資訊之機密性完整性及可用性相關聯之風險(2) 識別風險擁有者
(d) 分析資訊安全風險(1) 評鑑若 612(c)(1) 中所識別之風險實現時可能導致之潛在後果(2) 評鑑 612(c)(1) 中所識別之風險發生的實際可能性(3) 決定風險等級
(e) 評估資訊安全風險(1) 以 612(a) 中所建立之風險準則比較風險分析結果(2) 訂定已分析風險之風險處理優先序
組織應保存關於資訊安全風險評鑑過程之文件化資訊
ISO 27001本文mdash8運作(82)
50
82 資訊安全風險評鑑組織應依規劃之期間或當提議或發生重大變更時考量 612(a) 所建立之準則執行資訊安全風險評鑑組織應保存資訊安全風險評鑑結果之文件化資訊
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
51
52
風險管理定義為有效管理可能發生的事件及其不利的影響所執行的步驟與過程基本架構包括辨識評估處理監控等程序
評估之後做甚麼
1辨識風險
2評估風險
3處理風險
4監視評估
- 53 -
資安措施規劃與執行(1)
- 54 -
資安措施規劃與執行(2)
- 55 -
控制措施作用示意
弱點
弱點
控制措施類型
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
ISO 31000 ndash53建立前後環節(44)
535 界定風險準則當界定風險準則時須包括下列考量的因素 緣由之本質與型式及可能產生的結果
(後果 )以及如何量測 可能性將如何界定 可能性及 或結果 (後果 )之時間組合 風險等級如何決定 利害相關者之意見 風險成為可接受或可忍受之等級及 是否須考量合併多個風險及如是時如何與何項合併須予以考量
22
ISO 27001本文--6規劃(611)
23
61 因應風險及機會之行動611 一般要求於規劃資訊安全管理系統時組織應考量 41 所提及之議題及 42 所提及之要求事項並決定需因應之風險及機會以達成下列事項
(a) 確保資訊安全管理系統達成其預期成果(b) 預防或減少非所欲之影響(c) 達成持續改善組織應規劃下列事項(d) 因應此等風險及機會之行動(e) 執行下列事項之方法
(1) 將各項行動整合及實作於其資訊安全管理系統過程之中(2) 評估此等行動之有效性
ISO 27005標準之結構
24
本標準包含資訊安全風險管理過程及其活動之描述
第 5 節提供背景資訊 第 6 節為資訊安全風險管理過程之概觀 第 6 節中所提及的所有資訊安全風險管理活動依序描述於下列節次中
- 第 7 節全景建立 - 第 8 節風險評鑑 - 第 9 節風險處理 - 第 10 節風險接受 - 第 11 節風險溝通 - 第 12 節風險監視及審查
ISO 27005bull 資訊安全風險管理宜為一持續之過程該過程使用風險處理計畫以實作建議
與決策宜建立內部與外部全景評估風險及處理風險風險管理於決定宜在何時做何事之前要先分析會發生何事及可能之後果以降低風險至可接受等級
bull 資訊安全風險管理宜對下列各項有所助益
- 識別風險
-依其對營運造成之後果與其發生之可能性以評鑑風險
- 溝通並瞭解此風險之可能性與後果
- 建立風險處理之優先序
- 降低風險發生措施之優先序
-在做風險管理決策時使利害相關者參與並將風險管理狀態告知
- 風險處理監視之有效性
- 定期監視及審查風險與風險管理過程
- 為改善風險管理作法所擷取之資訊
- 管理者及員工須受有關風險及減緩措施之教育訓練
bull 資訊安全風險管理過程能適用於整個組織組織任一個別部分 ( 例部門實體位置服務 ) 任一資訊系統現有或已規劃或特定控制之層面 ( 例營運持續規畫 )
25
資訊安全風險管理過程(ISO 27005)
26
27
維基百科
迭代是重複反饋過程的活動其目的通常是為了接近併到達所需的目標或結果每一次對過程的重複被稱為一次「迭代」而每一次迭代得到的結果會被用來作為下一次迭代的初始值
ISO27005
資訊安全風險管理過程包含建立全景(第 7 節 )風險評鑑 (第 8 節 )風險處理 (第 9節 )風險接受 (第 10 節 )風險溝通及諮詢 (第 11 節 )風險監視及審查 (第 12 節 )
ISO 31000目錄架構
28
1適用範圍 2用語及定義 3原則 4架構
41一般
42宣示與承諾
43管理風險之架構設計
44實施風險管理
45架構之監測與審查
46架構之持續改進
5過程
51一般
52溝通與諮商
53建立前後環節
54風險評鑑
55風險處理
56監測與審查
57紀錄風險管理過程
ISO 31000 風險管理原則架構及過程間的關係
29
ISO 31000 管理風險的架構組成間之關係
30
ISO 31000 管理風險過程
31
ISMS 與資訊安全風險管理過程之校準
32
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
33
34
風險評鑑流程-資產清查
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點
35
業務流程與資訊資產變更
關鍵活動輸入(需求說明)
產出(交付項目)
資源 紀錄
(可接受風險等級CIA)
規範
所有權 度量標準
(人員環境設備工具通訊等)
36
資訊縱深模型
人員
bull 骨幹網路網路服務網路服務
硬體設備
作業系統
應用程式
資料紀錄
bull 伺服器路由器防火牆
bull Windows XPLinux
bull IISOffice防毒軟體
bull 資料庫系統文件Log
bull 使用者作業員管理員
資訊載體
資訊本體
資訊
軟體
實體
服務
人員
資訊資產分類
資訊資產(六大類)
環境
資產
硬體
資產
軟體
資產
通訊
資產
資料
資產
人員
資產
7 March 201637
38
風險評鑑流程-資產價值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
鑑別資產價值資產盤點
何為資產的C I A
bull著重於資訊的暴露或洩露時是否會對組織造成傷害
機密性(C)
bull著重於資訊未經授權的修改或內容錯誤是否會對組織造成傷害
完整性(I)
bull合法使用者於被授權時間的可用性與迫切性需求
可用性(A)
39
7 March 201640
風險評鑑流程-威脅弱點分析
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
威脅弱點分析鑑別資產價值資產盤點
41
資產風險弱點風險關係圖
風險關聯圖
8
AssetsVV
V
VT
T
R
TRR
S
T威脅S保護措施V弱點
R風險RR剩餘風險
弱點威脅與風險之間的關係
低 中 高
高
中
低
威
脅
弱點
中度風險
高風險
低風險
44
威脅脆弱點鑑別
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
45
風險評鑑流程-評估風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 評估風險值威脅弱點分析
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))
X
(事件發生機率(等級)x 事件衝擊(等級))
46
47
風險評鑑流程-可接受風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 可接受風險值評估風險值
48
訂定可接受風險值
(原因理由) 對超過可接風險值之資訊資產提出對策與控制
ISO 27001本文--6規劃(612)
49
612 資訊安全風險評鑑組織應定義及應用資訊安全風險評鑑過程於下列事項中(a) 建立及維持包括下列準則之資訊安全風險準則
(1) 風險接受準則(2) 履行資訊安全風險評鑑之準則
(b) 確保重複之資訊安全風險評鑑產生一致有效及適於比較之結果(c) 識別資訊安全風險
(1) 應用資訊安全風險評鑑過程以識別資訊安全管理系統範圍內與漏失資訊之機密性完整性及可用性相關聯之風險(2) 識別風險擁有者
(d) 分析資訊安全風險(1) 評鑑若 612(c)(1) 中所識別之風險實現時可能導致之潛在後果(2) 評鑑 612(c)(1) 中所識別之風險發生的實際可能性(3) 決定風險等級
(e) 評估資訊安全風險(1) 以 612(a) 中所建立之風險準則比較風險分析結果(2) 訂定已分析風險之風險處理優先序
組織應保存關於資訊安全風險評鑑過程之文件化資訊
ISO 27001本文mdash8運作(82)
50
82 資訊安全風險評鑑組織應依規劃之期間或當提議或發生重大變更時考量 612(a) 所建立之準則執行資訊安全風險評鑑組織應保存資訊安全風險評鑑結果之文件化資訊
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
51
52
風險管理定義為有效管理可能發生的事件及其不利的影響所執行的步驟與過程基本架構包括辨識評估處理監控等程序
評估之後做甚麼
1辨識風險
2評估風險
3處理風險
4監視評估
- 53 -
資安措施規劃與執行(1)
- 54 -
資安措施規劃與執行(2)
- 55 -
控制措施作用示意
弱點
弱點
控制措施類型
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
ISO 27001本文--6規劃(611)
23
61 因應風險及機會之行動611 一般要求於規劃資訊安全管理系統時組織應考量 41 所提及之議題及 42 所提及之要求事項並決定需因應之風險及機會以達成下列事項
(a) 確保資訊安全管理系統達成其預期成果(b) 預防或減少非所欲之影響(c) 達成持續改善組織應規劃下列事項(d) 因應此等風險及機會之行動(e) 執行下列事項之方法
(1) 將各項行動整合及實作於其資訊安全管理系統過程之中(2) 評估此等行動之有效性
ISO 27005標準之結構
24
本標準包含資訊安全風險管理過程及其活動之描述
第 5 節提供背景資訊 第 6 節為資訊安全風險管理過程之概觀 第 6 節中所提及的所有資訊安全風險管理活動依序描述於下列節次中
- 第 7 節全景建立 - 第 8 節風險評鑑 - 第 9 節風險處理 - 第 10 節風險接受 - 第 11 節風險溝通 - 第 12 節風險監視及審查
ISO 27005bull 資訊安全風險管理宜為一持續之過程該過程使用風險處理計畫以實作建議
與決策宜建立內部與外部全景評估風險及處理風險風險管理於決定宜在何時做何事之前要先分析會發生何事及可能之後果以降低風險至可接受等級
bull 資訊安全風險管理宜對下列各項有所助益
- 識別風險
-依其對營運造成之後果與其發生之可能性以評鑑風險
- 溝通並瞭解此風險之可能性與後果
- 建立風險處理之優先序
- 降低風險發生措施之優先序
-在做風險管理決策時使利害相關者參與並將風險管理狀態告知
- 風險處理監視之有效性
- 定期監視及審查風險與風險管理過程
- 為改善風險管理作法所擷取之資訊
- 管理者及員工須受有關風險及減緩措施之教育訓練
bull 資訊安全風險管理過程能適用於整個組織組織任一個別部分 ( 例部門實體位置服務 ) 任一資訊系統現有或已規劃或特定控制之層面 ( 例營運持續規畫 )
25
資訊安全風險管理過程(ISO 27005)
26
27
維基百科
迭代是重複反饋過程的活動其目的通常是為了接近併到達所需的目標或結果每一次對過程的重複被稱為一次「迭代」而每一次迭代得到的結果會被用來作為下一次迭代的初始值
ISO27005
資訊安全風險管理過程包含建立全景(第 7 節 )風險評鑑 (第 8 節 )風險處理 (第 9節 )風險接受 (第 10 節 )風險溝通及諮詢 (第 11 節 )風險監視及審查 (第 12 節 )
ISO 31000目錄架構
28
1適用範圍 2用語及定義 3原則 4架構
41一般
42宣示與承諾
43管理風險之架構設計
44實施風險管理
45架構之監測與審查
46架構之持續改進
5過程
51一般
52溝通與諮商
53建立前後環節
54風險評鑑
55風險處理
56監測與審查
57紀錄風險管理過程
ISO 31000 風險管理原則架構及過程間的關係
29
ISO 31000 管理風險的架構組成間之關係
30
ISO 31000 管理風險過程
31
ISMS 與資訊安全風險管理過程之校準
32
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
33
34
風險評鑑流程-資產清查
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點
35
業務流程與資訊資產變更
關鍵活動輸入(需求說明)
產出(交付項目)
資源 紀錄
(可接受風險等級CIA)
規範
所有權 度量標準
(人員環境設備工具通訊等)
36
資訊縱深模型
人員
bull 骨幹網路網路服務網路服務
硬體設備
作業系統
應用程式
資料紀錄
bull 伺服器路由器防火牆
bull Windows XPLinux
bull IISOffice防毒軟體
bull 資料庫系統文件Log
bull 使用者作業員管理員
資訊載體
資訊本體
資訊
軟體
實體
服務
人員
資訊資產分類
資訊資產(六大類)
環境
資產
硬體
資產
軟體
資產
通訊
資產
資料
資產
人員
資產
7 March 201637
38
風險評鑑流程-資產價值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
鑑別資產價值資產盤點
何為資產的C I A
bull著重於資訊的暴露或洩露時是否會對組織造成傷害
機密性(C)
bull著重於資訊未經授權的修改或內容錯誤是否會對組織造成傷害
完整性(I)
bull合法使用者於被授權時間的可用性與迫切性需求
可用性(A)
39
7 March 201640
風險評鑑流程-威脅弱點分析
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
威脅弱點分析鑑別資產價值資產盤點
41
資產風險弱點風險關係圖
風險關聯圖
8
AssetsVV
V
VT
T
R
TRR
S
T威脅S保護措施V弱點
R風險RR剩餘風險
弱點威脅與風險之間的關係
低 中 高
高
中
低
威
脅
弱點
中度風險
高風險
低風險
44
威脅脆弱點鑑別
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
45
風險評鑑流程-評估風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 評估風險值威脅弱點分析
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))
X
(事件發生機率(等級)x 事件衝擊(等級))
46
47
風險評鑑流程-可接受風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 可接受風險值評估風險值
48
訂定可接受風險值
(原因理由) 對超過可接風險值之資訊資產提出對策與控制
ISO 27001本文--6規劃(612)
49
612 資訊安全風險評鑑組織應定義及應用資訊安全風險評鑑過程於下列事項中(a) 建立及維持包括下列準則之資訊安全風險準則
(1) 風險接受準則(2) 履行資訊安全風險評鑑之準則
(b) 確保重複之資訊安全風險評鑑產生一致有效及適於比較之結果(c) 識別資訊安全風險
(1) 應用資訊安全風險評鑑過程以識別資訊安全管理系統範圍內與漏失資訊之機密性完整性及可用性相關聯之風險(2) 識別風險擁有者
(d) 分析資訊安全風險(1) 評鑑若 612(c)(1) 中所識別之風險實現時可能導致之潛在後果(2) 評鑑 612(c)(1) 中所識別之風險發生的實際可能性(3) 決定風險等級
(e) 評估資訊安全風險(1) 以 612(a) 中所建立之風險準則比較風險分析結果(2) 訂定已分析風險之風險處理優先序
組織應保存關於資訊安全風險評鑑過程之文件化資訊
ISO 27001本文mdash8運作(82)
50
82 資訊安全風險評鑑組織應依規劃之期間或當提議或發生重大變更時考量 612(a) 所建立之準則執行資訊安全風險評鑑組織應保存資訊安全風險評鑑結果之文件化資訊
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
51
52
風險管理定義為有效管理可能發生的事件及其不利的影響所執行的步驟與過程基本架構包括辨識評估處理監控等程序
評估之後做甚麼
1辨識風險
2評估風險
3處理風險
4監視評估
- 53 -
資安措施規劃與執行(1)
- 54 -
資安措施規劃與執行(2)
- 55 -
控制措施作用示意
弱點
弱點
控制措施類型
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
ISO 27005標準之結構
24
本標準包含資訊安全風險管理過程及其活動之描述
第 5 節提供背景資訊 第 6 節為資訊安全風險管理過程之概觀 第 6 節中所提及的所有資訊安全風險管理活動依序描述於下列節次中
- 第 7 節全景建立 - 第 8 節風險評鑑 - 第 9 節風險處理 - 第 10 節風險接受 - 第 11 節風險溝通 - 第 12 節風險監視及審查
ISO 27005bull 資訊安全風險管理宜為一持續之過程該過程使用風險處理計畫以實作建議
與決策宜建立內部與外部全景評估風險及處理風險風險管理於決定宜在何時做何事之前要先分析會發生何事及可能之後果以降低風險至可接受等級
bull 資訊安全風險管理宜對下列各項有所助益
- 識別風險
-依其對營運造成之後果與其發生之可能性以評鑑風險
- 溝通並瞭解此風險之可能性與後果
- 建立風險處理之優先序
- 降低風險發生措施之優先序
-在做風險管理決策時使利害相關者參與並將風險管理狀態告知
- 風險處理監視之有效性
- 定期監視及審查風險與風險管理過程
- 為改善風險管理作法所擷取之資訊
- 管理者及員工須受有關風險及減緩措施之教育訓練
bull 資訊安全風險管理過程能適用於整個組織組織任一個別部分 ( 例部門實體位置服務 ) 任一資訊系統現有或已規劃或特定控制之層面 ( 例營運持續規畫 )
25
資訊安全風險管理過程(ISO 27005)
26
27
維基百科
迭代是重複反饋過程的活動其目的通常是為了接近併到達所需的目標或結果每一次對過程的重複被稱為一次「迭代」而每一次迭代得到的結果會被用來作為下一次迭代的初始值
ISO27005
資訊安全風險管理過程包含建立全景(第 7 節 )風險評鑑 (第 8 節 )風險處理 (第 9節 )風險接受 (第 10 節 )風險溝通及諮詢 (第 11 節 )風險監視及審查 (第 12 節 )
ISO 31000目錄架構
28
1適用範圍 2用語及定義 3原則 4架構
41一般
42宣示與承諾
43管理風險之架構設計
44實施風險管理
45架構之監測與審查
46架構之持續改進
5過程
51一般
52溝通與諮商
53建立前後環節
54風險評鑑
55風險處理
56監測與審查
57紀錄風險管理過程
ISO 31000 風險管理原則架構及過程間的關係
29
ISO 31000 管理風險的架構組成間之關係
30
ISO 31000 管理風險過程
31
ISMS 與資訊安全風險管理過程之校準
32
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
33
34
風險評鑑流程-資產清查
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點
35
業務流程與資訊資產變更
關鍵活動輸入(需求說明)
產出(交付項目)
資源 紀錄
(可接受風險等級CIA)
規範
所有權 度量標準
(人員環境設備工具通訊等)
36
資訊縱深模型
人員
bull 骨幹網路網路服務網路服務
硬體設備
作業系統
應用程式
資料紀錄
bull 伺服器路由器防火牆
bull Windows XPLinux
bull IISOffice防毒軟體
bull 資料庫系統文件Log
bull 使用者作業員管理員
資訊載體
資訊本體
資訊
軟體
實體
服務
人員
資訊資產分類
資訊資產(六大類)
環境
資產
硬體
資產
軟體
資產
通訊
資產
資料
資產
人員
資產
7 March 201637
38
風險評鑑流程-資產價值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
鑑別資產價值資產盤點
何為資產的C I A
bull著重於資訊的暴露或洩露時是否會對組織造成傷害
機密性(C)
bull著重於資訊未經授權的修改或內容錯誤是否會對組織造成傷害
完整性(I)
bull合法使用者於被授權時間的可用性與迫切性需求
可用性(A)
39
7 March 201640
風險評鑑流程-威脅弱點分析
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
威脅弱點分析鑑別資產價值資產盤點
41
資產風險弱點風險關係圖
風險關聯圖
8
AssetsVV
V
VT
T
R
TRR
S
T威脅S保護措施V弱點
R風險RR剩餘風險
弱點威脅與風險之間的關係
低 中 高
高
中
低
威
脅
弱點
中度風險
高風險
低風險
44
威脅脆弱點鑑別
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
45
風險評鑑流程-評估風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 評估風險值威脅弱點分析
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))
X
(事件發生機率(等級)x 事件衝擊(等級))
46
47
風險評鑑流程-可接受風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 可接受風險值評估風險值
48
訂定可接受風險值
(原因理由) 對超過可接風險值之資訊資產提出對策與控制
ISO 27001本文--6規劃(612)
49
612 資訊安全風險評鑑組織應定義及應用資訊安全風險評鑑過程於下列事項中(a) 建立及維持包括下列準則之資訊安全風險準則
(1) 風險接受準則(2) 履行資訊安全風險評鑑之準則
(b) 確保重複之資訊安全風險評鑑產生一致有效及適於比較之結果(c) 識別資訊安全風險
(1) 應用資訊安全風險評鑑過程以識別資訊安全管理系統範圍內與漏失資訊之機密性完整性及可用性相關聯之風險(2) 識別風險擁有者
(d) 分析資訊安全風險(1) 評鑑若 612(c)(1) 中所識別之風險實現時可能導致之潛在後果(2) 評鑑 612(c)(1) 中所識別之風險發生的實際可能性(3) 決定風險等級
(e) 評估資訊安全風險(1) 以 612(a) 中所建立之風險準則比較風險分析結果(2) 訂定已分析風險之風險處理優先序
組織應保存關於資訊安全風險評鑑過程之文件化資訊
ISO 27001本文mdash8運作(82)
50
82 資訊安全風險評鑑組織應依規劃之期間或當提議或發生重大變更時考量 612(a) 所建立之準則執行資訊安全風險評鑑組織應保存資訊安全風險評鑑結果之文件化資訊
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
51
52
風險管理定義為有效管理可能發生的事件及其不利的影響所執行的步驟與過程基本架構包括辨識評估處理監控等程序
評估之後做甚麼
1辨識風險
2評估風險
3處理風險
4監視評估
- 53 -
資安措施規劃與執行(1)
- 54 -
資安措施規劃與執行(2)
- 55 -
控制措施作用示意
弱點
弱點
控制措施類型
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
ISO 27005bull 資訊安全風險管理宜為一持續之過程該過程使用風險處理計畫以實作建議
與決策宜建立內部與外部全景評估風險及處理風險風險管理於決定宜在何時做何事之前要先分析會發生何事及可能之後果以降低風險至可接受等級
bull 資訊安全風險管理宜對下列各項有所助益
- 識別風險
-依其對營運造成之後果與其發生之可能性以評鑑風險
- 溝通並瞭解此風險之可能性與後果
- 建立風險處理之優先序
- 降低風險發生措施之優先序
-在做風險管理決策時使利害相關者參與並將風險管理狀態告知
- 風險處理監視之有效性
- 定期監視及審查風險與風險管理過程
- 為改善風險管理作法所擷取之資訊
- 管理者及員工須受有關風險及減緩措施之教育訓練
bull 資訊安全風險管理過程能適用於整個組織組織任一個別部分 ( 例部門實體位置服務 ) 任一資訊系統現有或已規劃或特定控制之層面 ( 例營運持續規畫 )
25
資訊安全風險管理過程(ISO 27005)
26
27
維基百科
迭代是重複反饋過程的活動其目的通常是為了接近併到達所需的目標或結果每一次對過程的重複被稱為一次「迭代」而每一次迭代得到的結果會被用來作為下一次迭代的初始值
ISO27005
資訊安全風險管理過程包含建立全景(第 7 節 )風險評鑑 (第 8 節 )風險處理 (第 9節 )風險接受 (第 10 節 )風險溝通及諮詢 (第 11 節 )風險監視及審查 (第 12 節 )
ISO 31000目錄架構
28
1適用範圍 2用語及定義 3原則 4架構
41一般
42宣示與承諾
43管理風險之架構設計
44實施風險管理
45架構之監測與審查
46架構之持續改進
5過程
51一般
52溝通與諮商
53建立前後環節
54風險評鑑
55風險處理
56監測與審查
57紀錄風險管理過程
ISO 31000 風險管理原則架構及過程間的關係
29
ISO 31000 管理風險的架構組成間之關係
30
ISO 31000 管理風險過程
31
ISMS 與資訊安全風險管理過程之校準
32
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
33
34
風險評鑑流程-資產清查
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點
35
業務流程與資訊資產變更
關鍵活動輸入(需求說明)
產出(交付項目)
資源 紀錄
(可接受風險等級CIA)
規範
所有權 度量標準
(人員環境設備工具通訊等)
36
資訊縱深模型
人員
bull 骨幹網路網路服務網路服務
硬體設備
作業系統
應用程式
資料紀錄
bull 伺服器路由器防火牆
bull Windows XPLinux
bull IISOffice防毒軟體
bull 資料庫系統文件Log
bull 使用者作業員管理員
資訊載體
資訊本體
資訊
軟體
實體
服務
人員
資訊資產分類
資訊資產(六大類)
環境
資產
硬體
資產
軟體
資產
通訊
資產
資料
資產
人員
資產
7 March 201637
38
風險評鑑流程-資產價值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
鑑別資產價值資產盤點
何為資產的C I A
bull著重於資訊的暴露或洩露時是否會對組織造成傷害
機密性(C)
bull著重於資訊未經授權的修改或內容錯誤是否會對組織造成傷害
完整性(I)
bull合法使用者於被授權時間的可用性與迫切性需求
可用性(A)
39
7 March 201640
風險評鑑流程-威脅弱點分析
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
威脅弱點分析鑑別資產價值資產盤點
41
資產風險弱點風險關係圖
風險關聯圖
8
AssetsVV
V
VT
T
R
TRR
S
T威脅S保護措施V弱點
R風險RR剩餘風險
弱點威脅與風險之間的關係
低 中 高
高
中
低
威
脅
弱點
中度風險
高風險
低風險
44
威脅脆弱點鑑別
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
45
風險評鑑流程-評估風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 評估風險值威脅弱點分析
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))
X
(事件發生機率(等級)x 事件衝擊(等級))
46
47
風險評鑑流程-可接受風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 可接受風險值評估風險值
48
訂定可接受風險值
(原因理由) 對超過可接風險值之資訊資產提出對策與控制
ISO 27001本文--6規劃(612)
49
612 資訊安全風險評鑑組織應定義及應用資訊安全風險評鑑過程於下列事項中(a) 建立及維持包括下列準則之資訊安全風險準則
(1) 風險接受準則(2) 履行資訊安全風險評鑑之準則
(b) 確保重複之資訊安全風險評鑑產生一致有效及適於比較之結果(c) 識別資訊安全風險
(1) 應用資訊安全風險評鑑過程以識別資訊安全管理系統範圍內與漏失資訊之機密性完整性及可用性相關聯之風險(2) 識別風險擁有者
(d) 分析資訊安全風險(1) 評鑑若 612(c)(1) 中所識別之風險實現時可能導致之潛在後果(2) 評鑑 612(c)(1) 中所識別之風險發生的實際可能性(3) 決定風險等級
(e) 評估資訊安全風險(1) 以 612(a) 中所建立之風險準則比較風險分析結果(2) 訂定已分析風險之風險處理優先序
組織應保存關於資訊安全風險評鑑過程之文件化資訊
ISO 27001本文mdash8運作(82)
50
82 資訊安全風險評鑑組織應依規劃之期間或當提議或發生重大變更時考量 612(a) 所建立之準則執行資訊安全風險評鑑組織應保存資訊安全風險評鑑結果之文件化資訊
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
51
52
風險管理定義為有效管理可能發生的事件及其不利的影響所執行的步驟與過程基本架構包括辨識評估處理監控等程序
評估之後做甚麼
1辨識風險
2評估風險
3處理風險
4監視評估
- 53 -
資安措施規劃與執行(1)
- 54 -
資安措施規劃與執行(2)
- 55 -
控制措施作用示意
弱點
弱點
控制措施類型
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
資訊安全風險管理過程(ISO 27005)
26
27
維基百科
迭代是重複反饋過程的活動其目的通常是為了接近併到達所需的目標或結果每一次對過程的重複被稱為一次「迭代」而每一次迭代得到的結果會被用來作為下一次迭代的初始值
ISO27005
資訊安全風險管理過程包含建立全景(第 7 節 )風險評鑑 (第 8 節 )風險處理 (第 9節 )風險接受 (第 10 節 )風險溝通及諮詢 (第 11 節 )風險監視及審查 (第 12 節 )
ISO 31000目錄架構
28
1適用範圍 2用語及定義 3原則 4架構
41一般
42宣示與承諾
43管理風險之架構設計
44實施風險管理
45架構之監測與審查
46架構之持續改進
5過程
51一般
52溝通與諮商
53建立前後環節
54風險評鑑
55風險處理
56監測與審查
57紀錄風險管理過程
ISO 31000 風險管理原則架構及過程間的關係
29
ISO 31000 管理風險的架構組成間之關係
30
ISO 31000 管理風險過程
31
ISMS 與資訊安全風險管理過程之校準
32
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
33
34
風險評鑑流程-資產清查
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點
35
業務流程與資訊資產變更
關鍵活動輸入(需求說明)
產出(交付項目)
資源 紀錄
(可接受風險等級CIA)
規範
所有權 度量標準
(人員環境設備工具通訊等)
36
資訊縱深模型
人員
bull 骨幹網路網路服務網路服務
硬體設備
作業系統
應用程式
資料紀錄
bull 伺服器路由器防火牆
bull Windows XPLinux
bull IISOffice防毒軟體
bull 資料庫系統文件Log
bull 使用者作業員管理員
資訊載體
資訊本體
資訊
軟體
實體
服務
人員
資訊資產分類
資訊資產(六大類)
環境
資產
硬體
資產
軟體
資產
通訊
資產
資料
資產
人員
資產
7 March 201637
38
風險評鑑流程-資產價值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
鑑別資產價值資產盤點
何為資產的C I A
bull著重於資訊的暴露或洩露時是否會對組織造成傷害
機密性(C)
bull著重於資訊未經授權的修改或內容錯誤是否會對組織造成傷害
完整性(I)
bull合法使用者於被授權時間的可用性與迫切性需求
可用性(A)
39
7 March 201640
風險評鑑流程-威脅弱點分析
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
威脅弱點分析鑑別資產價值資產盤點
41
資產風險弱點風險關係圖
風險關聯圖
8
AssetsVV
V
VT
T
R
TRR
S
T威脅S保護措施V弱點
R風險RR剩餘風險
弱點威脅與風險之間的關係
低 中 高
高
中
低
威
脅
弱點
中度風險
高風險
低風險
44
威脅脆弱點鑑別
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
45
風險評鑑流程-評估風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 評估風險值威脅弱點分析
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))
X
(事件發生機率(等級)x 事件衝擊(等級))
46
47
風險評鑑流程-可接受風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 可接受風險值評估風險值
48
訂定可接受風險值
(原因理由) 對超過可接風險值之資訊資產提出對策與控制
ISO 27001本文--6規劃(612)
49
612 資訊安全風險評鑑組織應定義及應用資訊安全風險評鑑過程於下列事項中(a) 建立及維持包括下列準則之資訊安全風險準則
(1) 風險接受準則(2) 履行資訊安全風險評鑑之準則
(b) 確保重複之資訊安全風險評鑑產生一致有效及適於比較之結果(c) 識別資訊安全風險
(1) 應用資訊安全風險評鑑過程以識別資訊安全管理系統範圍內與漏失資訊之機密性完整性及可用性相關聯之風險(2) 識別風險擁有者
(d) 分析資訊安全風險(1) 評鑑若 612(c)(1) 中所識別之風險實現時可能導致之潛在後果(2) 評鑑 612(c)(1) 中所識別之風險發生的實際可能性(3) 決定風險等級
(e) 評估資訊安全風險(1) 以 612(a) 中所建立之風險準則比較風險分析結果(2) 訂定已分析風險之風險處理優先序
組織應保存關於資訊安全風險評鑑過程之文件化資訊
ISO 27001本文mdash8運作(82)
50
82 資訊安全風險評鑑組織應依規劃之期間或當提議或發生重大變更時考量 612(a) 所建立之準則執行資訊安全風險評鑑組織應保存資訊安全風險評鑑結果之文件化資訊
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
51
52
風險管理定義為有效管理可能發生的事件及其不利的影響所執行的步驟與過程基本架構包括辨識評估處理監控等程序
評估之後做甚麼
1辨識風險
2評估風險
3處理風險
4監視評估
- 53 -
資安措施規劃與執行(1)
- 54 -
資安措施規劃與執行(2)
- 55 -
控制措施作用示意
弱點
弱點
控制措施類型
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
27
維基百科
迭代是重複反饋過程的活動其目的通常是為了接近併到達所需的目標或結果每一次對過程的重複被稱為一次「迭代」而每一次迭代得到的結果會被用來作為下一次迭代的初始值
ISO27005
資訊安全風險管理過程包含建立全景(第 7 節 )風險評鑑 (第 8 節 )風險處理 (第 9節 )風險接受 (第 10 節 )風險溝通及諮詢 (第 11 節 )風險監視及審查 (第 12 節 )
ISO 31000目錄架構
28
1適用範圍 2用語及定義 3原則 4架構
41一般
42宣示與承諾
43管理風險之架構設計
44實施風險管理
45架構之監測與審查
46架構之持續改進
5過程
51一般
52溝通與諮商
53建立前後環節
54風險評鑑
55風險處理
56監測與審查
57紀錄風險管理過程
ISO 31000 風險管理原則架構及過程間的關係
29
ISO 31000 管理風險的架構組成間之關係
30
ISO 31000 管理風險過程
31
ISMS 與資訊安全風險管理過程之校準
32
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
33
34
風險評鑑流程-資產清查
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點
35
業務流程與資訊資產變更
關鍵活動輸入(需求說明)
產出(交付項目)
資源 紀錄
(可接受風險等級CIA)
規範
所有權 度量標準
(人員環境設備工具通訊等)
36
資訊縱深模型
人員
bull 骨幹網路網路服務網路服務
硬體設備
作業系統
應用程式
資料紀錄
bull 伺服器路由器防火牆
bull Windows XPLinux
bull IISOffice防毒軟體
bull 資料庫系統文件Log
bull 使用者作業員管理員
資訊載體
資訊本體
資訊
軟體
實體
服務
人員
資訊資產分類
資訊資產(六大類)
環境
資產
硬體
資產
軟體
資產
通訊
資產
資料
資產
人員
資產
7 March 201637
38
風險評鑑流程-資產價值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
鑑別資產價值資產盤點
何為資產的C I A
bull著重於資訊的暴露或洩露時是否會對組織造成傷害
機密性(C)
bull著重於資訊未經授權的修改或內容錯誤是否會對組織造成傷害
完整性(I)
bull合法使用者於被授權時間的可用性與迫切性需求
可用性(A)
39
7 March 201640
風險評鑑流程-威脅弱點分析
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
威脅弱點分析鑑別資產價值資產盤點
41
資產風險弱點風險關係圖
風險關聯圖
8
AssetsVV
V
VT
T
R
TRR
S
T威脅S保護措施V弱點
R風險RR剩餘風險
弱點威脅與風險之間的關係
低 中 高
高
中
低
威
脅
弱點
中度風險
高風險
低風險
44
威脅脆弱點鑑別
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
45
風險評鑑流程-評估風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 評估風險值威脅弱點分析
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))
X
(事件發生機率(等級)x 事件衝擊(等級))
46
47
風險評鑑流程-可接受風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 可接受風險值評估風險值
48
訂定可接受風險值
(原因理由) 對超過可接風險值之資訊資產提出對策與控制
ISO 27001本文--6規劃(612)
49
612 資訊安全風險評鑑組織應定義及應用資訊安全風險評鑑過程於下列事項中(a) 建立及維持包括下列準則之資訊安全風險準則
(1) 風險接受準則(2) 履行資訊安全風險評鑑之準則
(b) 確保重複之資訊安全風險評鑑產生一致有效及適於比較之結果(c) 識別資訊安全風險
(1) 應用資訊安全風險評鑑過程以識別資訊安全管理系統範圍內與漏失資訊之機密性完整性及可用性相關聯之風險(2) 識別風險擁有者
(d) 分析資訊安全風險(1) 評鑑若 612(c)(1) 中所識別之風險實現時可能導致之潛在後果(2) 評鑑 612(c)(1) 中所識別之風險發生的實際可能性(3) 決定風險等級
(e) 評估資訊安全風險(1) 以 612(a) 中所建立之風險準則比較風險分析結果(2) 訂定已分析風險之風險處理優先序
組織應保存關於資訊安全風險評鑑過程之文件化資訊
ISO 27001本文mdash8運作(82)
50
82 資訊安全風險評鑑組織應依規劃之期間或當提議或發生重大變更時考量 612(a) 所建立之準則執行資訊安全風險評鑑組織應保存資訊安全風險評鑑結果之文件化資訊
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
51
52
風險管理定義為有效管理可能發生的事件及其不利的影響所執行的步驟與過程基本架構包括辨識評估處理監控等程序
評估之後做甚麼
1辨識風險
2評估風險
3處理風險
4監視評估
- 53 -
資安措施規劃與執行(1)
- 54 -
資安措施規劃與執行(2)
- 55 -
控制措施作用示意
弱點
弱點
控制措施類型
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
ISO 31000目錄架構
28
1適用範圍 2用語及定義 3原則 4架構
41一般
42宣示與承諾
43管理風險之架構設計
44實施風險管理
45架構之監測與審查
46架構之持續改進
5過程
51一般
52溝通與諮商
53建立前後環節
54風險評鑑
55風險處理
56監測與審查
57紀錄風險管理過程
ISO 31000 風險管理原則架構及過程間的關係
29
ISO 31000 管理風險的架構組成間之關係
30
ISO 31000 管理風險過程
31
ISMS 與資訊安全風險管理過程之校準
32
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
33
34
風險評鑑流程-資產清查
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點
35
業務流程與資訊資產變更
關鍵活動輸入(需求說明)
產出(交付項目)
資源 紀錄
(可接受風險等級CIA)
規範
所有權 度量標準
(人員環境設備工具通訊等)
36
資訊縱深模型
人員
bull 骨幹網路網路服務網路服務
硬體設備
作業系統
應用程式
資料紀錄
bull 伺服器路由器防火牆
bull Windows XPLinux
bull IISOffice防毒軟體
bull 資料庫系統文件Log
bull 使用者作業員管理員
資訊載體
資訊本體
資訊
軟體
實體
服務
人員
資訊資產分類
資訊資產(六大類)
環境
資產
硬體
資產
軟體
資產
通訊
資產
資料
資產
人員
資產
7 March 201637
38
風險評鑑流程-資產價值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
鑑別資產價值資產盤點
何為資產的C I A
bull著重於資訊的暴露或洩露時是否會對組織造成傷害
機密性(C)
bull著重於資訊未經授權的修改或內容錯誤是否會對組織造成傷害
完整性(I)
bull合法使用者於被授權時間的可用性與迫切性需求
可用性(A)
39
7 March 201640
風險評鑑流程-威脅弱點分析
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
威脅弱點分析鑑別資產價值資產盤點
41
資產風險弱點風險關係圖
風險關聯圖
8
AssetsVV
V
VT
T
R
TRR
S
T威脅S保護措施V弱點
R風險RR剩餘風險
弱點威脅與風險之間的關係
低 中 高
高
中
低
威
脅
弱點
中度風險
高風險
低風險
44
威脅脆弱點鑑別
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
45
風險評鑑流程-評估風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 評估風險值威脅弱點分析
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))
X
(事件發生機率(等級)x 事件衝擊(等級))
46
47
風險評鑑流程-可接受風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 可接受風險值評估風險值
48
訂定可接受風險值
(原因理由) 對超過可接風險值之資訊資產提出對策與控制
ISO 27001本文--6規劃(612)
49
612 資訊安全風險評鑑組織應定義及應用資訊安全風險評鑑過程於下列事項中(a) 建立及維持包括下列準則之資訊安全風險準則
(1) 風險接受準則(2) 履行資訊安全風險評鑑之準則
(b) 確保重複之資訊安全風險評鑑產生一致有效及適於比較之結果(c) 識別資訊安全風險
(1) 應用資訊安全風險評鑑過程以識別資訊安全管理系統範圍內與漏失資訊之機密性完整性及可用性相關聯之風險(2) 識別風險擁有者
(d) 分析資訊安全風險(1) 評鑑若 612(c)(1) 中所識別之風險實現時可能導致之潛在後果(2) 評鑑 612(c)(1) 中所識別之風險發生的實際可能性(3) 決定風險等級
(e) 評估資訊安全風險(1) 以 612(a) 中所建立之風險準則比較風險分析結果(2) 訂定已分析風險之風險處理優先序
組織應保存關於資訊安全風險評鑑過程之文件化資訊
ISO 27001本文mdash8運作(82)
50
82 資訊安全風險評鑑組織應依規劃之期間或當提議或發生重大變更時考量 612(a) 所建立之準則執行資訊安全風險評鑑組織應保存資訊安全風險評鑑結果之文件化資訊
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
51
52
風險管理定義為有效管理可能發生的事件及其不利的影響所執行的步驟與過程基本架構包括辨識評估處理監控等程序
評估之後做甚麼
1辨識風險
2評估風險
3處理風險
4監視評估
- 53 -
資安措施規劃與執行(1)
- 54 -
資安措施規劃與執行(2)
- 55 -
控制措施作用示意
弱點
弱點
控制措施類型
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
ISO 31000 風險管理原則架構及過程間的關係
29
ISO 31000 管理風險的架構組成間之關係
30
ISO 31000 管理風險過程
31
ISMS 與資訊安全風險管理過程之校準
32
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
33
34
風險評鑑流程-資產清查
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點
35
業務流程與資訊資產變更
關鍵活動輸入(需求說明)
產出(交付項目)
資源 紀錄
(可接受風險等級CIA)
規範
所有權 度量標準
(人員環境設備工具通訊等)
36
資訊縱深模型
人員
bull 骨幹網路網路服務網路服務
硬體設備
作業系統
應用程式
資料紀錄
bull 伺服器路由器防火牆
bull Windows XPLinux
bull IISOffice防毒軟體
bull 資料庫系統文件Log
bull 使用者作業員管理員
資訊載體
資訊本體
資訊
軟體
實體
服務
人員
資訊資產分類
資訊資產(六大類)
環境
資產
硬體
資產
軟體
資產
通訊
資產
資料
資產
人員
資產
7 March 201637
38
風險評鑑流程-資產價值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
鑑別資產價值資產盤點
何為資產的C I A
bull著重於資訊的暴露或洩露時是否會對組織造成傷害
機密性(C)
bull著重於資訊未經授權的修改或內容錯誤是否會對組織造成傷害
完整性(I)
bull合法使用者於被授權時間的可用性與迫切性需求
可用性(A)
39
7 March 201640
風險評鑑流程-威脅弱點分析
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
威脅弱點分析鑑別資產價值資產盤點
41
資產風險弱點風險關係圖
風險關聯圖
8
AssetsVV
V
VT
T
R
TRR
S
T威脅S保護措施V弱點
R風險RR剩餘風險
弱點威脅與風險之間的關係
低 中 高
高
中
低
威
脅
弱點
中度風險
高風險
低風險
44
威脅脆弱點鑑別
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
45
風險評鑑流程-評估風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 評估風險值威脅弱點分析
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))
X
(事件發生機率(等級)x 事件衝擊(等級))
46
47
風險評鑑流程-可接受風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 可接受風險值評估風險值
48
訂定可接受風險值
(原因理由) 對超過可接風險值之資訊資產提出對策與控制
ISO 27001本文--6規劃(612)
49
612 資訊安全風險評鑑組織應定義及應用資訊安全風險評鑑過程於下列事項中(a) 建立及維持包括下列準則之資訊安全風險準則
(1) 風險接受準則(2) 履行資訊安全風險評鑑之準則
(b) 確保重複之資訊安全風險評鑑產生一致有效及適於比較之結果(c) 識別資訊安全風險
(1) 應用資訊安全風險評鑑過程以識別資訊安全管理系統範圍內與漏失資訊之機密性完整性及可用性相關聯之風險(2) 識別風險擁有者
(d) 分析資訊安全風險(1) 評鑑若 612(c)(1) 中所識別之風險實現時可能導致之潛在後果(2) 評鑑 612(c)(1) 中所識別之風險發生的實際可能性(3) 決定風險等級
(e) 評估資訊安全風險(1) 以 612(a) 中所建立之風險準則比較風險分析結果(2) 訂定已分析風險之風險處理優先序
組織應保存關於資訊安全風險評鑑過程之文件化資訊
ISO 27001本文mdash8運作(82)
50
82 資訊安全風險評鑑組織應依規劃之期間或當提議或發生重大變更時考量 612(a) 所建立之準則執行資訊安全風險評鑑組織應保存資訊安全風險評鑑結果之文件化資訊
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
51
52
風險管理定義為有效管理可能發生的事件及其不利的影響所執行的步驟與過程基本架構包括辨識評估處理監控等程序
評估之後做甚麼
1辨識風險
2評估風險
3處理風險
4監視評估
- 53 -
資安措施規劃與執行(1)
- 54 -
資安措施規劃與執行(2)
- 55 -
控制措施作用示意
弱點
弱點
控制措施類型
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
ISO 31000 管理風險的架構組成間之關係
30
ISO 31000 管理風險過程
31
ISMS 與資訊安全風險管理過程之校準
32
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
33
34
風險評鑑流程-資產清查
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點
35
業務流程與資訊資產變更
關鍵活動輸入(需求說明)
產出(交付項目)
資源 紀錄
(可接受風險等級CIA)
規範
所有權 度量標準
(人員環境設備工具通訊等)
36
資訊縱深模型
人員
bull 骨幹網路網路服務網路服務
硬體設備
作業系統
應用程式
資料紀錄
bull 伺服器路由器防火牆
bull Windows XPLinux
bull IISOffice防毒軟體
bull 資料庫系統文件Log
bull 使用者作業員管理員
資訊載體
資訊本體
資訊
軟體
實體
服務
人員
資訊資產分類
資訊資產(六大類)
環境
資產
硬體
資產
軟體
資產
通訊
資產
資料
資產
人員
資產
7 March 201637
38
風險評鑑流程-資產價值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
鑑別資產價值資產盤點
何為資產的C I A
bull著重於資訊的暴露或洩露時是否會對組織造成傷害
機密性(C)
bull著重於資訊未經授權的修改或內容錯誤是否會對組織造成傷害
完整性(I)
bull合法使用者於被授權時間的可用性與迫切性需求
可用性(A)
39
7 March 201640
風險評鑑流程-威脅弱點分析
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
威脅弱點分析鑑別資產價值資產盤點
41
資產風險弱點風險關係圖
風險關聯圖
8
AssetsVV
V
VT
T
R
TRR
S
T威脅S保護措施V弱點
R風險RR剩餘風險
弱點威脅與風險之間的關係
低 中 高
高
中
低
威
脅
弱點
中度風險
高風險
低風險
44
威脅脆弱點鑑別
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
45
風險評鑑流程-評估風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 評估風險值威脅弱點分析
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))
X
(事件發生機率(等級)x 事件衝擊(等級))
46
47
風險評鑑流程-可接受風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 可接受風險值評估風險值
48
訂定可接受風險值
(原因理由) 對超過可接風險值之資訊資產提出對策與控制
ISO 27001本文--6規劃(612)
49
612 資訊安全風險評鑑組織應定義及應用資訊安全風險評鑑過程於下列事項中(a) 建立及維持包括下列準則之資訊安全風險準則
(1) 風險接受準則(2) 履行資訊安全風險評鑑之準則
(b) 確保重複之資訊安全風險評鑑產生一致有效及適於比較之結果(c) 識別資訊安全風險
(1) 應用資訊安全風險評鑑過程以識別資訊安全管理系統範圍內與漏失資訊之機密性完整性及可用性相關聯之風險(2) 識別風險擁有者
(d) 分析資訊安全風險(1) 評鑑若 612(c)(1) 中所識別之風險實現時可能導致之潛在後果(2) 評鑑 612(c)(1) 中所識別之風險發生的實際可能性(3) 決定風險等級
(e) 評估資訊安全風險(1) 以 612(a) 中所建立之風險準則比較風險分析結果(2) 訂定已分析風險之風險處理優先序
組織應保存關於資訊安全風險評鑑過程之文件化資訊
ISO 27001本文mdash8運作(82)
50
82 資訊安全風險評鑑組織應依規劃之期間或當提議或發生重大變更時考量 612(a) 所建立之準則執行資訊安全風險評鑑組織應保存資訊安全風險評鑑結果之文件化資訊
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
51
52
風險管理定義為有效管理可能發生的事件及其不利的影響所執行的步驟與過程基本架構包括辨識評估處理監控等程序
評估之後做甚麼
1辨識風險
2評估風險
3處理風險
4監視評估
- 53 -
資安措施規劃與執行(1)
- 54 -
資安措施規劃與執行(2)
- 55 -
控制措施作用示意
弱點
弱點
控制措施類型
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
ISO 31000 管理風險過程
31
ISMS 與資訊安全風險管理過程之校準
32
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
33
34
風險評鑑流程-資產清查
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點
35
業務流程與資訊資產變更
關鍵活動輸入(需求說明)
產出(交付項目)
資源 紀錄
(可接受風險等級CIA)
規範
所有權 度量標準
(人員環境設備工具通訊等)
36
資訊縱深模型
人員
bull 骨幹網路網路服務網路服務
硬體設備
作業系統
應用程式
資料紀錄
bull 伺服器路由器防火牆
bull Windows XPLinux
bull IISOffice防毒軟體
bull 資料庫系統文件Log
bull 使用者作業員管理員
資訊載體
資訊本體
資訊
軟體
實體
服務
人員
資訊資產分類
資訊資產(六大類)
環境
資產
硬體
資產
軟體
資產
通訊
資產
資料
資產
人員
資產
7 March 201637
38
風險評鑑流程-資產價值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
鑑別資產價值資產盤點
何為資產的C I A
bull著重於資訊的暴露或洩露時是否會對組織造成傷害
機密性(C)
bull著重於資訊未經授權的修改或內容錯誤是否會對組織造成傷害
完整性(I)
bull合法使用者於被授權時間的可用性與迫切性需求
可用性(A)
39
7 March 201640
風險評鑑流程-威脅弱點分析
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
威脅弱點分析鑑別資產價值資產盤點
41
資產風險弱點風險關係圖
風險關聯圖
8
AssetsVV
V
VT
T
R
TRR
S
T威脅S保護措施V弱點
R風險RR剩餘風險
弱點威脅與風險之間的關係
低 中 高
高
中
低
威
脅
弱點
中度風險
高風險
低風險
44
威脅脆弱點鑑別
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
45
風險評鑑流程-評估風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 評估風險值威脅弱點分析
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))
X
(事件發生機率(等級)x 事件衝擊(等級))
46
47
風險評鑑流程-可接受風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 可接受風險值評估風險值
48
訂定可接受風險值
(原因理由) 對超過可接風險值之資訊資產提出對策與控制
ISO 27001本文--6規劃(612)
49
612 資訊安全風險評鑑組織應定義及應用資訊安全風險評鑑過程於下列事項中(a) 建立及維持包括下列準則之資訊安全風險準則
(1) 風險接受準則(2) 履行資訊安全風險評鑑之準則
(b) 確保重複之資訊安全風險評鑑產生一致有效及適於比較之結果(c) 識別資訊安全風險
(1) 應用資訊安全風險評鑑過程以識別資訊安全管理系統範圍內與漏失資訊之機密性完整性及可用性相關聯之風險(2) 識別風險擁有者
(d) 分析資訊安全風險(1) 評鑑若 612(c)(1) 中所識別之風險實現時可能導致之潛在後果(2) 評鑑 612(c)(1) 中所識別之風險發生的實際可能性(3) 決定風險等級
(e) 評估資訊安全風險(1) 以 612(a) 中所建立之風險準則比較風險分析結果(2) 訂定已分析風險之風險處理優先序
組織應保存關於資訊安全風險評鑑過程之文件化資訊
ISO 27001本文mdash8運作(82)
50
82 資訊安全風險評鑑組織應依規劃之期間或當提議或發生重大變更時考量 612(a) 所建立之準則執行資訊安全風險評鑑組織應保存資訊安全風險評鑑結果之文件化資訊
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
51
52
風險管理定義為有效管理可能發生的事件及其不利的影響所執行的步驟與過程基本架構包括辨識評估處理監控等程序
評估之後做甚麼
1辨識風險
2評估風險
3處理風險
4監視評估
- 53 -
資安措施規劃與執行(1)
- 54 -
資安措施規劃與執行(2)
- 55 -
控制措施作用示意
弱點
弱點
控制措施類型
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
ISMS 與資訊安全風險管理過程之校準
32
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
33
34
風險評鑑流程-資產清查
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點
35
業務流程與資訊資產變更
關鍵活動輸入(需求說明)
產出(交付項目)
資源 紀錄
(可接受風險等級CIA)
規範
所有權 度量標準
(人員環境設備工具通訊等)
36
資訊縱深模型
人員
bull 骨幹網路網路服務網路服務
硬體設備
作業系統
應用程式
資料紀錄
bull 伺服器路由器防火牆
bull Windows XPLinux
bull IISOffice防毒軟體
bull 資料庫系統文件Log
bull 使用者作業員管理員
資訊載體
資訊本體
資訊
軟體
實體
服務
人員
資訊資產分類
資訊資產(六大類)
環境
資產
硬體
資產
軟體
資產
通訊
資產
資料
資產
人員
資產
7 March 201637
38
風險評鑑流程-資產價值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
鑑別資產價值資產盤點
何為資產的C I A
bull著重於資訊的暴露或洩露時是否會對組織造成傷害
機密性(C)
bull著重於資訊未經授權的修改或內容錯誤是否會對組織造成傷害
完整性(I)
bull合法使用者於被授權時間的可用性與迫切性需求
可用性(A)
39
7 March 201640
風險評鑑流程-威脅弱點分析
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
威脅弱點分析鑑別資產價值資產盤點
41
資產風險弱點風險關係圖
風險關聯圖
8
AssetsVV
V
VT
T
R
TRR
S
T威脅S保護措施V弱點
R風險RR剩餘風險
弱點威脅與風險之間的關係
低 中 高
高
中
低
威
脅
弱點
中度風險
高風險
低風險
44
威脅脆弱點鑑別
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
45
風險評鑑流程-評估風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 評估風險值威脅弱點分析
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))
X
(事件發生機率(等級)x 事件衝擊(等級))
46
47
風險評鑑流程-可接受風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 可接受風險值評估風險值
48
訂定可接受風險值
(原因理由) 對超過可接風險值之資訊資產提出對策與控制
ISO 27001本文--6規劃(612)
49
612 資訊安全風險評鑑組織應定義及應用資訊安全風險評鑑過程於下列事項中(a) 建立及維持包括下列準則之資訊安全風險準則
(1) 風險接受準則(2) 履行資訊安全風險評鑑之準則
(b) 確保重複之資訊安全風險評鑑產生一致有效及適於比較之結果(c) 識別資訊安全風險
(1) 應用資訊安全風險評鑑過程以識別資訊安全管理系統範圍內與漏失資訊之機密性完整性及可用性相關聯之風險(2) 識別風險擁有者
(d) 分析資訊安全風險(1) 評鑑若 612(c)(1) 中所識別之風險實現時可能導致之潛在後果(2) 評鑑 612(c)(1) 中所識別之風險發生的實際可能性(3) 決定風險等級
(e) 評估資訊安全風險(1) 以 612(a) 中所建立之風險準則比較風險分析結果(2) 訂定已分析風險之風險處理優先序
組織應保存關於資訊安全風險評鑑過程之文件化資訊
ISO 27001本文mdash8運作(82)
50
82 資訊安全風險評鑑組織應依規劃之期間或當提議或發生重大變更時考量 612(a) 所建立之準則執行資訊安全風險評鑑組織應保存資訊安全風險評鑑結果之文件化資訊
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
51
52
風險管理定義為有效管理可能發生的事件及其不利的影響所執行的步驟與過程基本架構包括辨識評估處理監控等程序
評估之後做甚麼
1辨識風險
2評估風險
3處理風險
4監視評估
- 53 -
資安措施規劃與執行(1)
- 54 -
資安措施規劃與執行(2)
- 55 -
控制措施作用示意
弱點
弱點
控制措施類型
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
33
34
風險評鑑流程-資產清查
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點
35
業務流程與資訊資產變更
關鍵活動輸入(需求說明)
產出(交付項目)
資源 紀錄
(可接受風險等級CIA)
規範
所有權 度量標準
(人員環境設備工具通訊等)
36
資訊縱深模型
人員
bull 骨幹網路網路服務網路服務
硬體設備
作業系統
應用程式
資料紀錄
bull 伺服器路由器防火牆
bull Windows XPLinux
bull IISOffice防毒軟體
bull 資料庫系統文件Log
bull 使用者作業員管理員
資訊載體
資訊本體
資訊
軟體
實體
服務
人員
資訊資產分類
資訊資產(六大類)
環境
資產
硬體
資產
軟體
資產
通訊
資產
資料
資產
人員
資產
7 March 201637
38
風險評鑑流程-資產價值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
鑑別資產價值資產盤點
何為資產的C I A
bull著重於資訊的暴露或洩露時是否會對組織造成傷害
機密性(C)
bull著重於資訊未經授權的修改或內容錯誤是否會對組織造成傷害
完整性(I)
bull合法使用者於被授權時間的可用性與迫切性需求
可用性(A)
39
7 March 201640
風險評鑑流程-威脅弱點分析
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
威脅弱點分析鑑別資產價值資產盤點
41
資產風險弱點風險關係圖
風險關聯圖
8
AssetsVV
V
VT
T
R
TRR
S
T威脅S保護措施V弱點
R風險RR剩餘風險
弱點威脅與風險之間的關係
低 中 高
高
中
低
威
脅
弱點
中度風險
高風險
低風險
44
威脅脆弱點鑑別
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
45
風險評鑑流程-評估風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 評估風險值威脅弱點分析
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))
X
(事件發生機率(等級)x 事件衝擊(等級))
46
47
風險評鑑流程-可接受風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 可接受風險值評估風險值
48
訂定可接受風險值
(原因理由) 對超過可接風險值之資訊資產提出對策與控制
ISO 27001本文--6規劃(612)
49
612 資訊安全風險評鑑組織應定義及應用資訊安全風險評鑑過程於下列事項中(a) 建立及維持包括下列準則之資訊安全風險準則
(1) 風險接受準則(2) 履行資訊安全風險評鑑之準則
(b) 確保重複之資訊安全風險評鑑產生一致有效及適於比較之結果(c) 識別資訊安全風險
(1) 應用資訊安全風險評鑑過程以識別資訊安全管理系統範圍內與漏失資訊之機密性完整性及可用性相關聯之風險(2) 識別風險擁有者
(d) 分析資訊安全風險(1) 評鑑若 612(c)(1) 中所識別之風險實現時可能導致之潛在後果(2) 評鑑 612(c)(1) 中所識別之風險發生的實際可能性(3) 決定風險等級
(e) 評估資訊安全風險(1) 以 612(a) 中所建立之風險準則比較風險分析結果(2) 訂定已分析風險之風險處理優先序
組織應保存關於資訊安全風險評鑑過程之文件化資訊
ISO 27001本文mdash8運作(82)
50
82 資訊安全風險評鑑組織應依規劃之期間或當提議或發生重大變更時考量 612(a) 所建立之準則執行資訊安全風險評鑑組織應保存資訊安全風險評鑑結果之文件化資訊
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
51
52
風險管理定義為有效管理可能發生的事件及其不利的影響所執行的步驟與過程基本架構包括辨識評估處理監控等程序
評估之後做甚麼
1辨識風險
2評估風險
3處理風險
4監視評估
- 53 -
資安措施規劃與執行(1)
- 54 -
資安措施規劃與執行(2)
- 55 -
控制措施作用示意
弱點
弱點
控制措施類型
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
34
風險評鑑流程-資產清查
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點
35
業務流程與資訊資產變更
關鍵活動輸入(需求說明)
產出(交付項目)
資源 紀錄
(可接受風險等級CIA)
規範
所有權 度量標準
(人員環境設備工具通訊等)
36
資訊縱深模型
人員
bull 骨幹網路網路服務網路服務
硬體設備
作業系統
應用程式
資料紀錄
bull 伺服器路由器防火牆
bull Windows XPLinux
bull IISOffice防毒軟體
bull 資料庫系統文件Log
bull 使用者作業員管理員
資訊載體
資訊本體
資訊
軟體
實體
服務
人員
資訊資產分類
資訊資產(六大類)
環境
資產
硬體
資產
軟體
資產
通訊
資產
資料
資產
人員
資產
7 March 201637
38
風險評鑑流程-資產價值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
鑑別資產價值資產盤點
何為資產的C I A
bull著重於資訊的暴露或洩露時是否會對組織造成傷害
機密性(C)
bull著重於資訊未經授權的修改或內容錯誤是否會對組織造成傷害
完整性(I)
bull合法使用者於被授權時間的可用性與迫切性需求
可用性(A)
39
7 March 201640
風險評鑑流程-威脅弱點分析
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
威脅弱點分析鑑別資產價值資產盤點
41
資產風險弱點風險關係圖
風險關聯圖
8
AssetsVV
V
VT
T
R
TRR
S
T威脅S保護措施V弱點
R風險RR剩餘風險
弱點威脅與風險之間的關係
低 中 高
高
中
低
威
脅
弱點
中度風險
高風險
低風險
44
威脅脆弱點鑑別
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
45
風險評鑑流程-評估風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 評估風險值威脅弱點分析
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))
X
(事件發生機率(等級)x 事件衝擊(等級))
46
47
風險評鑑流程-可接受風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 可接受風險值評估風險值
48
訂定可接受風險值
(原因理由) 對超過可接風險值之資訊資產提出對策與控制
ISO 27001本文--6規劃(612)
49
612 資訊安全風險評鑑組織應定義及應用資訊安全風險評鑑過程於下列事項中(a) 建立及維持包括下列準則之資訊安全風險準則
(1) 風險接受準則(2) 履行資訊安全風險評鑑之準則
(b) 確保重複之資訊安全風險評鑑產生一致有效及適於比較之結果(c) 識別資訊安全風險
(1) 應用資訊安全風險評鑑過程以識別資訊安全管理系統範圍內與漏失資訊之機密性完整性及可用性相關聯之風險(2) 識別風險擁有者
(d) 分析資訊安全風險(1) 評鑑若 612(c)(1) 中所識別之風險實現時可能導致之潛在後果(2) 評鑑 612(c)(1) 中所識別之風險發生的實際可能性(3) 決定風險等級
(e) 評估資訊安全風險(1) 以 612(a) 中所建立之風險準則比較風險分析結果(2) 訂定已分析風險之風險處理優先序
組織應保存關於資訊安全風險評鑑過程之文件化資訊
ISO 27001本文mdash8運作(82)
50
82 資訊安全風險評鑑組織應依規劃之期間或當提議或發生重大變更時考量 612(a) 所建立之準則執行資訊安全風險評鑑組織應保存資訊安全風險評鑑結果之文件化資訊
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
51
52
風險管理定義為有效管理可能發生的事件及其不利的影響所執行的步驟與過程基本架構包括辨識評估處理監控等程序
評估之後做甚麼
1辨識風險
2評估風險
3處理風險
4監視評估
- 53 -
資安措施規劃與執行(1)
- 54 -
資安措施規劃與執行(2)
- 55 -
控制措施作用示意
弱點
弱點
控制措施類型
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
35
業務流程與資訊資產變更
關鍵活動輸入(需求說明)
產出(交付項目)
資源 紀錄
(可接受風險等級CIA)
規範
所有權 度量標準
(人員環境設備工具通訊等)
36
資訊縱深模型
人員
bull 骨幹網路網路服務網路服務
硬體設備
作業系統
應用程式
資料紀錄
bull 伺服器路由器防火牆
bull Windows XPLinux
bull IISOffice防毒軟體
bull 資料庫系統文件Log
bull 使用者作業員管理員
資訊載體
資訊本體
資訊
軟體
實體
服務
人員
資訊資產分類
資訊資產(六大類)
環境
資產
硬體
資產
軟體
資產
通訊
資產
資料
資產
人員
資產
7 March 201637
38
風險評鑑流程-資產價值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
鑑別資產價值資產盤點
何為資產的C I A
bull著重於資訊的暴露或洩露時是否會對組織造成傷害
機密性(C)
bull著重於資訊未經授權的修改或內容錯誤是否會對組織造成傷害
完整性(I)
bull合法使用者於被授權時間的可用性與迫切性需求
可用性(A)
39
7 March 201640
風險評鑑流程-威脅弱點分析
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
威脅弱點分析鑑別資產價值資產盤點
41
資產風險弱點風險關係圖
風險關聯圖
8
AssetsVV
V
VT
T
R
TRR
S
T威脅S保護措施V弱點
R風險RR剩餘風險
弱點威脅與風險之間的關係
低 中 高
高
中
低
威
脅
弱點
中度風險
高風險
低風險
44
威脅脆弱點鑑別
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
45
風險評鑑流程-評估風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 評估風險值威脅弱點分析
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))
X
(事件發生機率(等級)x 事件衝擊(等級))
46
47
風險評鑑流程-可接受風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 可接受風險值評估風險值
48
訂定可接受風險值
(原因理由) 對超過可接風險值之資訊資產提出對策與控制
ISO 27001本文--6規劃(612)
49
612 資訊安全風險評鑑組織應定義及應用資訊安全風險評鑑過程於下列事項中(a) 建立及維持包括下列準則之資訊安全風險準則
(1) 風險接受準則(2) 履行資訊安全風險評鑑之準則
(b) 確保重複之資訊安全風險評鑑產生一致有效及適於比較之結果(c) 識別資訊安全風險
(1) 應用資訊安全風險評鑑過程以識別資訊安全管理系統範圍內與漏失資訊之機密性完整性及可用性相關聯之風險(2) 識別風險擁有者
(d) 分析資訊安全風險(1) 評鑑若 612(c)(1) 中所識別之風險實現時可能導致之潛在後果(2) 評鑑 612(c)(1) 中所識別之風險發生的實際可能性(3) 決定風險等級
(e) 評估資訊安全風險(1) 以 612(a) 中所建立之風險準則比較風險分析結果(2) 訂定已分析風險之風險處理優先序
組織應保存關於資訊安全風險評鑑過程之文件化資訊
ISO 27001本文mdash8運作(82)
50
82 資訊安全風險評鑑組織應依規劃之期間或當提議或發生重大變更時考量 612(a) 所建立之準則執行資訊安全風險評鑑組織應保存資訊安全風險評鑑結果之文件化資訊
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
51
52
風險管理定義為有效管理可能發生的事件及其不利的影響所執行的步驟與過程基本架構包括辨識評估處理監控等程序
評估之後做甚麼
1辨識風險
2評估風險
3處理風險
4監視評估
- 53 -
資安措施規劃與執行(1)
- 54 -
資安措施規劃與執行(2)
- 55 -
控制措施作用示意
弱點
弱點
控制措施類型
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
36
資訊縱深模型
人員
bull 骨幹網路網路服務網路服務
硬體設備
作業系統
應用程式
資料紀錄
bull 伺服器路由器防火牆
bull Windows XPLinux
bull IISOffice防毒軟體
bull 資料庫系統文件Log
bull 使用者作業員管理員
資訊載體
資訊本體
資訊
軟體
實體
服務
人員
資訊資產分類
資訊資產(六大類)
環境
資產
硬體
資產
軟體
資產
通訊
資產
資料
資產
人員
資產
7 March 201637
38
風險評鑑流程-資產價值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
鑑別資產價值資產盤點
何為資產的C I A
bull著重於資訊的暴露或洩露時是否會對組織造成傷害
機密性(C)
bull著重於資訊未經授權的修改或內容錯誤是否會對組織造成傷害
完整性(I)
bull合法使用者於被授權時間的可用性與迫切性需求
可用性(A)
39
7 March 201640
風險評鑑流程-威脅弱點分析
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
威脅弱點分析鑑別資產價值資產盤點
41
資產風險弱點風險關係圖
風險關聯圖
8
AssetsVV
V
VT
T
R
TRR
S
T威脅S保護措施V弱點
R風險RR剩餘風險
弱點威脅與風險之間的關係
低 中 高
高
中
低
威
脅
弱點
中度風險
高風險
低風險
44
威脅脆弱點鑑別
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
45
風險評鑑流程-評估風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 評估風險值威脅弱點分析
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))
X
(事件發生機率(等級)x 事件衝擊(等級))
46
47
風險評鑑流程-可接受風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 可接受風險值評估風險值
48
訂定可接受風險值
(原因理由) 對超過可接風險值之資訊資產提出對策與控制
ISO 27001本文--6規劃(612)
49
612 資訊安全風險評鑑組織應定義及應用資訊安全風險評鑑過程於下列事項中(a) 建立及維持包括下列準則之資訊安全風險準則
(1) 風險接受準則(2) 履行資訊安全風險評鑑之準則
(b) 確保重複之資訊安全風險評鑑產生一致有效及適於比較之結果(c) 識別資訊安全風險
(1) 應用資訊安全風險評鑑過程以識別資訊安全管理系統範圍內與漏失資訊之機密性完整性及可用性相關聯之風險(2) 識別風險擁有者
(d) 分析資訊安全風險(1) 評鑑若 612(c)(1) 中所識別之風險實現時可能導致之潛在後果(2) 評鑑 612(c)(1) 中所識別之風險發生的實際可能性(3) 決定風險等級
(e) 評估資訊安全風險(1) 以 612(a) 中所建立之風險準則比較風險分析結果(2) 訂定已分析風險之風險處理優先序
組織應保存關於資訊安全風險評鑑過程之文件化資訊
ISO 27001本文mdash8運作(82)
50
82 資訊安全風險評鑑組織應依規劃之期間或當提議或發生重大變更時考量 612(a) 所建立之準則執行資訊安全風險評鑑組織應保存資訊安全風險評鑑結果之文件化資訊
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
51
52
風險管理定義為有效管理可能發生的事件及其不利的影響所執行的步驟與過程基本架構包括辨識評估處理監控等程序
評估之後做甚麼
1辨識風險
2評估風險
3處理風險
4監視評估
- 53 -
資安措施規劃與執行(1)
- 54 -
資安措施規劃與執行(2)
- 55 -
控制措施作用示意
弱點
弱點
控制措施類型
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
資訊資產分類
資訊資產(六大類)
環境
資產
硬體
資產
軟體
資產
通訊
資產
資料
資產
人員
資產
7 March 201637
38
風險評鑑流程-資產價值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
鑑別資產價值資產盤點
何為資產的C I A
bull著重於資訊的暴露或洩露時是否會對組織造成傷害
機密性(C)
bull著重於資訊未經授權的修改或內容錯誤是否會對組織造成傷害
完整性(I)
bull合法使用者於被授權時間的可用性與迫切性需求
可用性(A)
39
7 March 201640
風險評鑑流程-威脅弱點分析
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
威脅弱點分析鑑別資產價值資產盤點
41
資產風險弱點風險關係圖
風險關聯圖
8
AssetsVV
V
VT
T
R
TRR
S
T威脅S保護措施V弱點
R風險RR剩餘風險
弱點威脅與風險之間的關係
低 中 高
高
中
低
威
脅
弱點
中度風險
高風險
低風險
44
威脅脆弱點鑑別
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
45
風險評鑑流程-評估風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 評估風險值威脅弱點分析
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))
X
(事件發生機率(等級)x 事件衝擊(等級))
46
47
風險評鑑流程-可接受風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 可接受風險值評估風險值
48
訂定可接受風險值
(原因理由) 對超過可接風險值之資訊資產提出對策與控制
ISO 27001本文--6規劃(612)
49
612 資訊安全風險評鑑組織應定義及應用資訊安全風險評鑑過程於下列事項中(a) 建立及維持包括下列準則之資訊安全風險準則
(1) 風險接受準則(2) 履行資訊安全風險評鑑之準則
(b) 確保重複之資訊安全風險評鑑產生一致有效及適於比較之結果(c) 識別資訊安全風險
(1) 應用資訊安全風險評鑑過程以識別資訊安全管理系統範圍內與漏失資訊之機密性完整性及可用性相關聯之風險(2) 識別風險擁有者
(d) 分析資訊安全風險(1) 評鑑若 612(c)(1) 中所識別之風險實現時可能導致之潛在後果(2) 評鑑 612(c)(1) 中所識別之風險發生的實際可能性(3) 決定風險等級
(e) 評估資訊安全風險(1) 以 612(a) 中所建立之風險準則比較風險分析結果(2) 訂定已分析風險之風險處理優先序
組織應保存關於資訊安全風險評鑑過程之文件化資訊
ISO 27001本文mdash8運作(82)
50
82 資訊安全風險評鑑組織應依規劃之期間或當提議或發生重大變更時考量 612(a) 所建立之準則執行資訊安全風險評鑑組織應保存資訊安全風險評鑑結果之文件化資訊
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
51
52
風險管理定義為有效管理可能發生的事件及其不利的影響所執行的步驟與過程基本架構包括辨識評估處理監控等程序
評估之後做甚麼
1辨識風險
2評估風險
3處理風險
4監視評估
- 53 -
資安措施規劃與執行(1)
- 54 -
資安措施規劃與執行(2)
- 55 -
控制措施作用示意
弱點
弱點
控制措施類型
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
38
風險評鑑流程-資產價值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值威脅弱點分析
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
鑑別資產價值資產盤點
何為資產的C I A
bull著重於資訊的暴露或洩露時是否會對組織造成傷害
機密性(C)
bull著重於資訊未經授權的修改或內容錯誤是否會對組織造成傷害
完整性(I)
bull合法使用者於被授權時間的可用性與迫切性需求
可用性(A)
39
7 March 201640
風險評鑑流程-威脅弱點分析
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
威脅弱點分析鑑別資產價值資產盤點
41
資產風險弱點風險關係圖
風險關聯圖
8
AssetsVV
V
VT
T
R
TRR
S
T威脅S保護措施V弱點
R風險RR剩餘風險
弱點威脅與風險之間的關係
低 中 高
高
中
低
威
脅
弱點
中度風險
高風險
低風險
44
威脅脆弱點鑑別
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
45
風險評鑑流程-評估風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 評估風險值威脅弱點分析
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))
X
(事件發生機率(等級)x 事件衝擊(等級))
46
47
風險評鑑流程-可接受風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 可接受風險值評估風險值
48
訂定可接受風險值
(原因理由) 對超過可接風險值之資訊資產提出對策與控制
ISO 27001本文--6規劃(612)
49
612 資訊安全風險評鑑組織應定義及應用資訊安全風險評鑑過程於下列事項中(a) 建立及維持包括下列準則之資訊安全風險準則
(1) 風險接受準則(2) 履行資訊安全風險評鑑之準則
(b) 確保重複之資訊安全風險評鑑產生一致有效及適於比較之結果(c) 識別資訊安全風險
(1) 應用資訊安全風險評鑑過程以識別資訊安全管理系統範圍內與漏失資訊之機密性完整性及可用性相關聯之風險(2) 識別風險擁有者
(d) 分析資訊安全風險(1) 評鑑若 612(c)(1) 中所識別之風險實現時可能導致之潛在後果(2) 評鑑 612(c)(1) 中所識別之風險發生的實際可能性(3) 決定風險等級
(e) 評估資訊安全風險(1) 以 612(a) 中所建立之風險準則比較風險分析結果(2) 訂定已分析風險之風險處理優先序
組織應保存關於資訊安全風險評鑑過程之文件化資訊
ISO 27001本文mdash8運作(82)
50
82 資訊安全風險評鑑組織應依規劃之期間或當提議或發生重大變更時考量 612(a) 所建立之準則執行資訊安全風險評鑑組織應保存資訊安全風險評鑑結果之文件化資訊
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
51
52
風險管理定義為有效管理可能發生的事件及其不利的影響所執行的步驟與過程基本架構包括辨識評估處理監控等程序
評估之後做甚麼
1辨識風險
2評估風險
3處理風險
4監視評估
- 53 -
資安措施規劃與執行(1)
- 54 -
資安措施規劃與執行(2)
- 55 -
控制措施作用示意
弱點
弱點
控制措施類型
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
何為資產的C I A
bull著重於資訊的暴露或洩露時是否會對組織造成傷害
機密性(C)
bull著重於資訊未經授權的修改或內容錯誤是否會對組織造成傷害
完整性(I)
bull合法使用者於被授權時間的可用性與迫切性需求
可用性(A)
39
7 March 201640
風險評鑑流程-威脅弱點分析
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
威脅弱點分析鑑別資產價值資產盤點
41
資產風險弱點風險關係圖
風險關聯圖
8
AssetsVV
V
VT
T
R
TRR
S
T威脅S保護措施V弱點
R風險RR剩餘風險
弱點威脅與風險之間的關係
低 中 高
高
中
低
威
脅
弱點
中度風險
高風險
低風險
44
威脅脆弱點鑑別
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
45
風險評鑑流程-評估風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 評估風險值威脅弱點分析
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))
X
(事件發生機率(等級)x 事件衝擊(等級))
46
47
風險評鑑流程-可接受風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 可接受風險值評估風險值
48
訂定可接受風險值
(原因理由) 對超過可接風險值之資訊資產提出對策與控制
ISO 27001本文--6規劃(612)
49
612 資訊安全風險評鑑組織應定義及應用資訊安全風險評鑑過程於下列事項中(a) 建立及維持包括下列準則之資訊安全風險準則
(1) 風險接受準則(2) 履行資訊安全風險評鑑之準則
(b) 確保重複之資訊安全風險評鑑產生一致有效及適於比較之結果(c) 識別資訊安全風險
(1) 應用資訊安全風險評鑑過程以識別資訊安全管理系統範圍內與漏失資訊之機密性完整性及可用性相關聯之風險(2) 識別風險擁有者
(d) 分析資訊安全風險(1) 評鑑若 612(c)(1) 中所識別之風險實現時可能導致之潛在後果(2) 評鑑 612(c)(1) 中所識別之風險發生的實際可能性(3) 決定風險等級
(e) 評估資訊安全風險(1) 以 612(a) 中所建立之風險準則比較風險分析結果(2) 訂定已分析風險之風險處理優先序
組織應保存關於資訊安全風險評鑑過程之文件化資訊
ISO 27001本文mdash8運作(82)
50
82 資訊安全風險評鑑組織應依規劃之期間或當提議或發生重大變更時考量 612(a) 所建立之準則執行資訊安全風險評鑑組織應保存資訊安全風險評鑑結果之文件化資訊
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
51
52
風險管理定義為有效管理可能發生的事件及其不利的影響所執行的步驟與過程基本架構包括辨識評估處理監控等程序
評估之後做甚麼
1辨識風險
2評估風險
3處理風險
4監視評估
- 53 -
資安措施規劃與執行(1)
- 54 -
資安措施規劃與執行(2)
- 55 -
控制措施作用示意
弱點
弱點
控制措施類型
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
7 March 201640
風險評鑑流程-威脅弱點分析
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值評估風險值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
威脅弱點分析鑑別資產價值資產盤點
41
資產風險弱點風險關係圖
風險關聯圖
8
AssetsVV
V
VT
T
R
TRR
S
T威脅S保護措施V弱點
R風險RR剩餘風險
弱點威脅與風險之間的關係
低 中 高
高
中
低
威
脅
弱點
中度風險
高風險
低風險
44
威脅脆弱點鑑別
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
45
風險評鑑流程-評估風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 評估風險值威脅弱點分析
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))
X
(事件發生機率(等級)x 事件衝擊(等級))
46
47
風險評鑑流程-可接受風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 可接受風險值評估風險值
48
訂定可接受風險值
(原因理由) 對超過可接風險值之資訊資產提出對策與控制
ISO 27001本文--6規劃(612)
49
612 資訊安全風險評鑑組織應定義及應用資訊安全風險評鑑過程於下列事項中(a) 建立及維持包括下列準則之資訊安全風險準則
(1) 風險接受準則(2) 履行資訊安全風險評鑑之準則
(b) 確保重複之資訊安全風險評鑑產生一致有效及適於比較之結果(c) 識別資訊安全風險
(1) 應用資訊安全風險評鑑過程以識別資訊安全管理系統範圍內與漏失資訊之機密性完整性及可用性相關聯之風險(2) 識別風險擁有者
(d) 分析資訊安全風險(1) 評鑑若 612(c)(1) 中所識別之風險實現時可能導致之潛在後果(2) 評鑑 612(c)(1) 中所識別之風險發生的實際可能性(3) 決定風險等級
(e) 評估資訊安全風險(1) 以 612(a) 中所建立之風險準則比較風險分析結果(2) 訂定已分析風險之風險處理優先序
組織應保存關於資訊安全風險評鑑過程之文件化資訊
ISO 27001本文mdash8運作(82)
50
82 資訊安全風險評鑑組織應依規劃之期間或當提議或發生重大變更時考量 612(a) 所建立之準則執行資訊安全風險評鑑組織應保存資訊安全風險評鑑結果之文件化資訊
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
51
52
風險管理定義為有效管理可能發生的事件及其不利的影響所執行的步驟與過程基本架構包括辨識評估處理監控等程序
評估之後做甚麼
1辨識風險
2評估風險
3處理風險
4監視評估
- 53 -
資安措施規劃與執行(1)
- 54 -
資安措施規劃與執行(2)
- 55 -
控制措施作用示意
弱點
弱點
控制措施類型
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
41
資產風險弱點風險關係圖
風險關聯圖
8
AssetsVV
V
VT
T
R
TRR
S
T威脅S保護措施V弱點
R風險RR剩餘風險
弱點威脅與風險之間的關係
低 中 高
高
中
低
威
脅
弱點
中度風險
高風險
低風險
44
威脅脆弱點鑑別
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
45
風險評鑑流程-評估風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 評估風險值威脅弱點分析
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))
X
(事件發生機率(等級)x 事件衝擊(等級))
46
47
風險評鑑流程-可接受風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 可接受風險值評估風險值
48
訂定可接受風險值
(原因理由) 對超過可接風險值之資訊資產提出對策與控制
ISO 27001本文--6規劃(612)
49
612 資訊安全風險評鑑組織應定義及應用資訊安全風險評鑑過程於下列事項中(a) 建立及維持包括下列準則之資訊安全風險準則
(1) 風險接受準則(2) 履行資訊安全風險評鑑之準則
(b) 確保重複之資訊安全風險評鑑產生一致有效及適於比較之結果(c) 識別資訊安全風險
(1) 應用資訊安全風險評鑑過程以識別資訊安全管理系統範圍內與漏失資訊之機密性完整性及可用性相關聯之風險(2) 識別風險擁有者
(d) 分析資訊安全風險(1) 評鑑若 612(c)(1) 中所識別之風險實現時可能導致之潛在後果(2) 評鑑 612(c)(1) 中所識別之風險發生的實際可能性(3) 決定風險等級
(e) 評估資訊安全風險(1) 以 612(a) 中所建立之風險準則比較風險分析結果(2) 訂定已分析風險之風險處理優先序
組織應保存關於資訊安全風險評鑑過程之文件化資訊
ISO 27001本文mdash8運作(82)
50
82 資訊安全風險評鑑組織應依規劃之期間或當提議或發生重大變更時考量 612(a) 所建立之準則執行資訊安全風險評鑑組織應保存資訊安全風險評鑑結果之文件化資訊
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
51
52
風險管理定義為有效管理可能發生的事件及其不利的影響所執行的步驟與過程基本架構包括辨識評估處理監控等程序
評估之後做甚麼
1辨識風險
2評估風險
3處理風險
4監視評估
- 53 -
資安措施規劃與執行(1)
- 54 -
資安措施規劃與執行(2)
- 55 -
控制措施作用示意
弱點
弱點
控制措施類型
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
風險關聯圖
8
AssetsVV
V
VT
T
R
TRR
S
T威脅S保護措施V弱點
R風險RR剩餘風險
弱點威脅與風險之間的關係
低 中 高
高
中
低
威
脅
弱點
中度風險
高風險
低風險
44
威脅脆弱點鑑別
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
45
風險評鑑流程-評估風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 評估風險值威脅弱點分析
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))
X
(事件發生機率(等級)x 事件衝擊(等級))
46
47
風險評鑑流程-可接受風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 可接受風險值評估風險值
48
訂定可接受風險值
(原因理由) 對超過可接風險值之資訊資產提出對策與控制
ISO 27001本文--6規劃(612)
49
612 資訊安全風險評鑑組織應定義及應用資訊安全風險評鑑過程於下列事項中(a) 建立及維持包括下列準則之資訊安全風險準則
(1) 風險接受準則(2) 履行資訊安全風險評鑑之準則
(b) 確保重複之資訊安全風險評鑑產生一致有效及適於比較之結果(c) 識別資訊安全風險
(1) 應用資訊安全風險評鑑過程以識別資訊安全管理系統範圍內與漏失資訊之機密性完整性及可用性相關聯之風險(2) 識別風險擁有者
(d) 分析資訊安全風險(1) 評鑑若 612(c)(1) 中所識別之風險實現時可能導致之潛在後果(2) 評鑑 612(c)(1) 中所識別之風險發生的實際可能性(3) 決定風險等級
(e) 評估資訊安全風險(1) 以 612(a) 中所建立之風險準則比較風險分析結果(2) 訂定已分析風險之風險處理優先序
組織應保存關於資訊安全風險評鑑過程之文件化資訊
ISO 27001本文mdash8運作(82)
50
82 資訊安全風險評鑑組織應依規劃之期間或當提議或發生重大變更時考量 612(a) 所建立之準則執行資訊安全風險評鑑組織應保存資訊安全風險評鑑結果之文件化資訊
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
51
52
風險管理定義為有效管理可能發生的事件及其不利的影響所執行的步驟與過程基本架構包括辨識評估處理監控等程序
評估之後做甚麼
1辨識風險
2評估風險
3處理風險
4監視評估
- 53 -
資安措施規劃與執行(1)
- 54 -
資安措施規劃與執行(2)
- 55 -
控制措施作用示意
弱點
弱點
控制措施類型
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
弱點威脅與風險之間的關係
低 中 高
高
中
低
威
脅
弱點
中度風險
高風險
低風險
44
威脅脆弱點鑑別
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
45
風險評鑑流程-評估風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 評估風險值威脅弱點分析
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))
X
(事件發生機率(等級)x 事件衝擊(等級))
46
47
風險評鑑流程-可接受風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 可接受風險值評估風險值
48
訂定可接受風險值
(原因理由) 對超過可接風險值之資訊資產提出對策與控制
ISO 27001本文--6規劃(612)
49
612 資訊安全風險評鑑組織應定義及應用資訊安全風險評鑑過程於下列事項中(a) 建立及維持包括下列準則之資訊安全風險準則
(1) 風險接受準則(2) 履行資訊安全風險評鑑之準則
(b) 確保重複之資訊安全風險評鑑產生一致有效及適於比較之結果(c) 識別資訊安全風險
(1) 應用資訊安全風險評鑑過程以識別資訊安全管理系統範圍內與漏失資訊之機密性完整性及可用性相關聯之風險(2) 識別風險擁有者
(d) 分析資訊安全風險(1) 評鑑若 612(c)(1) 中所識別之風險實現時可能導致之潛在後果(2) 評鑑 612(c)(1) 中所識別之風險發生的實際可能性(3) 決定風險等級
(e) 評估資訊安全風險(1) 以 612(a) 中所建立之風險準則比較風險分析結果(2) 訂定已分析風險之風險處理優先序
組織應保存關於資訊安全風險評鑑過程之文件化資訊
ISO 27001本文mdash8運作(82)
50
82 資訊安全風險評鑑組織應依規劃之期間或當提議或發生重大變更時考量 612(a) 所建立之準則執行資訊安全風險評鑑組織應保存資訊安全風險評鑑結果之文件化資訊
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
51
52
風險管理定義為有效管理可能發生的事件及其不利的影響所執行的步驟與過程基本架構包括辨識評估處理監控等程序
評估之後做甚麼
1辨識風險
2評估風險
3處理風險
4監視評估
- 53 -
資安措施規劃與執行(1)
- 54 -
資安措施規劃與執行(2)
- 55 -
控制措施作用示意
弱點
弱點
控制措施類型
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
44
威脅脆弱點鑑別
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
45
風險評鑑流程-評估風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 評估風險值威脅弱點分析
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))
X
(事件發生機率(等級)x 事件衝擊(等級))
46
47
風險評鑑流程-可接受風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 可接受風險值評估風險值
48
訂定可接受風險值
(原因理由) 對超過可接風險值之資訊資產提出對策與控制
ISO 27001本文--6規劃(612)
49
612 資訊安全風險評鑑組織應定義及應用資訊安全風險評鑑過程於下列事項中(a) 建立及維持包括下列準則之資訊安全風險準則
(1) 風險接受準則(2) 履行資訊安全風險評鑑之準則
(b) 確保重複之資訊安全風險評鑑產生一致有效及適於比較之結果(c) 識別資訊安全風險
(1) 應用資訊安全風險評鑑過程以識別資訊安全管理系統範圍內與漏失資訊之機密性完整性及可用性相關聯之風險(2) 識別風險擁有者
(d) 分析資訊安全風險(1) 評鑑若 612(c)(1) 中所識別之風險實現時可能導致之潛在後果(2) 評鑑 612(c)(1) 中所識別之風險發生的實際可能性(3) 決定風險等級
(e) 評估資訊安全風險(1) 以 612(a) 中所建立之風險準則比較風險分析結果(2) 訂定已分析風險之風險處理優先序
組織應保存關於資訊安全風險評鑑過程之文件化資訊
ISO 27001本文mdash8運作(82)
50
82 資訊安全風險評鑑組織應依規劃之期間或當提議或發生重大變更時考量 612(a) 所建立之準則執行資訊安全風險評鑑組織應保存資訊安全風險評鑑結果之文件化資訊
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
51
52
風險管理定義為有效管理可能發生的事件及其不利的影響所執行的步驟與過程基本架構包括辨識評估處理監控等程序
評估之後做甚麼
1辨識風險
2評估風險
3處理風險
4監視評估
- 53 -
資安措施規劃與執行(1)
- 54 -
資安措施規劃與執行(2)
- 55 -
控制措施作用示意
弱點
弱點
控制措施類型
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
45
風險評鑑流程-評估風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
可接受風險值鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 評估風險值威脅弱點分析
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))
X
(事件發生機率(等級)x 事件衝擊(等級))
46
47
風險評鑑流程-可接受風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 可接受風險值評估風險值
48
訂定可接受風險值
(原因理由) 對超過可接風險值之資訊資產提出對策與控制
ISO 27001本文--6規劃(612)
49
612 資訊安全風險評鑑組織應定義及應用資訊安全風險評鑑過程於下列事項中(a) 建立及維持包括下列準則之資訊安全風險準則
(1) 風險接受準則(2) 履行資訊安全風險評鑑之準則
(b) 確保重複之資訊安全風險評鑑產生一致有效及適於比較之結果(c) 識別資訊安全風險
(1) 應用資訊安全風險評鑑過程以識別資訊安全管理系統範圍內與漏失資訊之機密性完整性及可用性相關聯之風險(2) 識別風險擁有者
(d) 分析資訊安全風險(1) 評鑑若 612(c)(1) 中所識別之風險實現時可能導致之潛在後果(2) 評鑑 612(c)(1) 中所識別之風險發生的實際可能性(3) 決定風險等級
(e) 評估資訊安全風險(1) 以 612(a) 中所建立之風險準則比較風險分析結果(2) 訂定已分析風險之風險處理優先序
組織應保存關於資訊安全風險評鑑過程之文件化資訊
ISO 27001本文mdash8運作(82)
50
82 資訊安全風險評鑑組織應依規劃之期間或當提議或發生重大變更時考量 612(a) 所建立之準則執行資訊安全風險評鑑組織應保存資訊安全風險評鑑結果之文件化資訊
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
51
52
風險管理定義為有效管理可能發生的事件及其不利的影響所執行的步驟與過程基本架構包括辨識評估處理監控等程序
評估之後做甚麼
1辨識風險
2評估風險
3處理風險
4監視評估
- 53 -
資安措施規劃與執行(1)
- 54 -
資安措施規劃與執行(2)
- 55 -
控制措施作用示意
弱點
弱點
控制措施類型
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))
X
(事件發生機率(等級)x 事件衝擊(等級))
46
47
風險評鑑流程-可接受風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 可接受風險值評估風險值
48
訂定可接受風險值
(原因理由) 對超過可接風險值之資訊資產提出對策與控制
ISO 27001本文--6規劃(612)
49
612 資訊安全風險評鑑組織應定義及應用資訊安全風險評鑑過程於下列事項中(a) 建立及維持包括下列準則之資訊安全風險準則
(1) 風險接受準則(2) 履行資訊安全風險評鑑之準則
(b) 確保重複之資訊安全風險評鑑產生一致有效及適於比較之結果(c) 識別資訊安全風險
(1) 應用資訊安全風險評鑑過程以識別資訊安全管理系統範圍內與漏失資訊之機密性完整性及可用性相關聯之風險(2) 識別風險擁有者
(d) 分析資訊安全風險(1) 評鑑若 612(c)(1) 中所識別之風險實現時可能導致之潛在後果(2) 評鑑 612(c)(1) 中所識別之風險發生的實際可能性(3) 決定風險等級
(e) 評估資訊安全風險(1) 以 612(a) 中所建立之風險準則比較風險分析結果(2) 訂定已分析風險之風險處理優先序
組織應保存關於資訊安全風險評鑑過程之文件化資訊
ISO 27001本文mdash8運作(82)
50
82 資訊安全風險評鑑組織應依規劃之期間或當提議或發生重大變更時考量 612(a) 所建立之準則執行資訊安全風險評鑑組織應保存資訊安全風險評鑑結果之文件化資訊
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
51
52
風險管理定義為有效管理可能發生的事件及其不利的影響所執行的步驟與過程基本架構包括辨識評估處理監控等程序
評估之後做甚麼
1辨識風險
2評估風險
3處理風險
4監視評估
- 53 -
資安措施規劃與執行(1)
- 54 -
資安措施規劃與執行(2)
- 55 -
控制措施作用示意
弱點
弱點
控制措施類型
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
47
風險評鑑流程-可接受風險值
業務持續運作計畫 業務持續運作管理
適用法規要求
法令合約分析
業務衝擊分析
風險分析
威脅弱點分析鑑別資產價值
鑑別(關鍵)
業務流程
風險處理
執行處理方案選定方案評估對策
資產盤點 可接受風險值評估風險值
48
訂定可接受風險值
(原因理由) 對超過可接風險值之資訊資產提出對策與控制
ISO 27001本文--6規劃(612)
49
612 資訊安全風險評鑑組織應定義及應用資訊安全風險評鑑過程於下列事項中(a) 建立及維持包括下列準則之資訊安全風險準則
(1) 風險接受準則(2) 履行資訊安全風險評鑑之準則
(b) 確保重複之資訊安全風險評鑑產生一致有效及適於比較之結果(c) 識別資訊安全風險
(1) 應用資訊安全風險評鑑過程以識別資訊安全管理系統範圍內與漏失資訊之機密性完整性及可用性相關聯之風險(2) 識別風險擁有者
(d) 分析資訊安全風險(1) 評鑑若 612(c)(1) 中所識別之風險實現時可能導致之潛在後果(2) 評鑑 612(c)(1) 中所識別之風險發生的實際可能性(3) 決定風險等級
(e) 評估資訊安全風險(1) 以 612(a) 中所建立之風險準則比較風險分析結果(2) 訂定已分析風險之風險處理優先序
組織應保存關於資訊安全風險評鑑過程之文件化資訊
ISO 27001本文mdash8運作(82)
50
82 資訊安全風險評鑑組織應依規劃之期間或當提議或發生重大變更時考量 612(a) 所建立之準則執行資訊安全風險評鑑組織應保存資訊安全風險評鑑結果之文件化資訊
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
51
52
風險管理定義為有效管理可能發生的事件及其不利的影響所執行的步驟與過程基本架構包括辨識評估處理監控等程序
評估之後做甚麼
1辨識風險
2評估風險
3處理風險
4監視評估
- 53 -
資安措施規劃與執行(1)
- 54 -
資安措施規劃與執行(2)
- 55 -
控制措施作用示意
弱點
弱點
控制措施類型
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
48
訂定可接受風險值
(原因理由) 對超過可接風險值之資訊資產提出對策與控制
ISO 27001本文--6規劃(612)
49
612 資訊安全風險評鑑組織應定義及應用資訊安全風險評鑑過程於下列事項中(a) 建立及維持包括下列準則之資訊安全風險準則
(1) 風險接受準則(2) 履行資訊安全風險評鑑之準則
(b) 確保重複之資訊安全風險評鑑產生一致有效及適於比較之結果(c) 識別資訊安全風險
(1) 應用資訊安全風險評鑑過程以識別資訊安全管理系統範圍內與漏失資訊之機密性完整性及可用性相關聯之風險(2) 識別風險擁有者
(d) 分析資訊安全風險(1) 評鑑若 612(c)(1) 中所識別之風險實現時可能導致之潛在後果(2) 評鑑 612(c)(1) 中所識別之風險發生的實際可能性(3) 決定風險等級
(e) 評估資訊安全風險(1) 以 612(a) 中所建立之風險準則比較風險分析結果(2) 訂定已分析風險之風險處理優先序
組織應保存關於資訊安全風險評鑑過程之文件化資訊
ISO 27001本文mdash8運作(82)
50
82 資訊安全風險評鑑組織應依規劃之期間或當提議或發生重大變更時考量 612(a) 所建立之準則執行資訊安全風險評鑑組織應保存資訊安全風險評鑑結果之文件化資訊
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
51
52
風險管理定義為有效管理可能發生的事件及其不利的影響所執行的步驟與過程基本架構包括辨識評估處理監控等程序
評估之後做甚麼
1辨識風險
2評估風險
3處理風險
4監視評估
- 53 -
資安措施規劃與執行(1)
- 54 -
資安措施規劃與執行(2)
- 55 -
控制措施作用示意
弱點
弱點
控制措施類型
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
ISO 27001本文--6規劃(612)
49
612 資訊安全風險評鑑組織應定義及應用資訊安全風險評鑑過程於下列事項中(a) 建立及維持包括下列準則之資訊安全風險準則
(1) 風險接受準則(2) 履行資訊安全風險評鑑之準則
(b) 確保重複之資訊安全風險評鑑產生一致有效及適於比較之結果(c) 識別資訊安全風險
(1) 應用資訊安全風險評鑑過程以識別資訊安全管理系統範圍內與漏失資訊之機密性完整性及可用性相關聯之風險(2) 識別風險擁有者
(d) 分析資訊安全風險(1) 評鑑若 612(c)(1) 中所識別之風險實現時可能導致之潛在後果(2) 評鑑 612(c)(1) 中所識別之風險發生的實際可能性(3) 決定風險等級
(e) 評估資訊安全風險(1) 以 612(a) 中所建立之風險準則比較風險分析結果(2) 訂定已分析風險之風險處理優先序
組織應保存關於資訊安全風險評鑑過程之文件化資訊
ISO 27001本文mdash8運作(82)
50
82 資訊安全風險評鑑組織應依規劃之期間或當提議或發生重大變更時考量 612(a) 所建立之準則執行資訊安全風險評鑑組織應保存資訊安全風險評鑑結果之文件化資訊
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
51
52
風險管理定義為有效管理可能發生的事件及其不利的影響所執行的步驟與過程基本架構包括辨識評估處理監控等程序
評估之後做甚麼
1辨識風險
2評估風險
3處理風險
4監視評估
- 53 -
資安措施規劃與執行(1)
- 54 -
資安措施規劃與執行(2)
- 55 -
控制措施作用示意
弱點
弱點
控制措施類型
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
ISO 27001本文mdash8運作(82)
50
82 資訊安全風險評鑑組織應依規劃之期間或當提議或發生重大變更時考量 612(a) 所建立之準則執行資訊安全風險評鑑組織應保存資訊安全風險評鑑結果之文件化資訊
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
51
52
風險管理定義為有效管理可能發生的事件及其不利的影響所執行的步驟與過程基本架構包括辨識評估處理監控等程序
評估之後做甚麼
1辨識風險
2評估風險
3處理風險
4監視評估
- 53 -
資安措施規劃與執行(1)
- 54 -
資安措施規劃與執行(2)
- 55 -
控制措施作用示意
弱點
弱點
控制措施類型
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
51
52
風險管理定義為有效管理可能發生的事件及其不利的影響所執行的步驟與過程基本架構包括辨識評估處理監控等程序
評估之後做甚麼
1辨識風險
2評估風險
3處理風險
4監視評估
- 53 -
資安措施規劃與執行(1)
- 54 -
資安措施規劃與執行(2)
- 55 -
控制措施作用示意
弱點
弱點
控制措施類型
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
52
風險管理定義為有效管理可能發生的事件及其不利的影響所執行的步驟與過程基本架構包括辨識評估處理監控等程序
評估之後做甚麼
1辨識風險
2評估風險
3處理風險
4監視評估
- 53 -
資安措施規劃與執行(1)
- 54 -
資安措施規劃與執行(2)
- 55 -
控制措施作用示意
弱點
弱點
控制措施類型
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
- 53 -
資安措施規劃與執行(1)
- 54 -
資安措施規劃與執行(2)
- 55 -
控制措施作用示意
弱點
弱點
控制措施類型
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
- 54 -
資安措施規劃與執行(2)
- 55 -
控制措施作用示意
弱點
弱點
控制措施類型
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
- 55 -
控制措施作用示意
弱點
弱點
控制措施類型
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
控制措施類型
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
資安控制
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
ISO 27001本文--6規劃(613)
58
613 資訊安全風險處理組織應定義並應用資訊安全風險處理過程以達成下列事項(a) 考量風險評鑑結果選擇適切之資訊安全風險處理選項(b) 對所選定資訊安全風險處理選項決定所有必須實作之控制措施備考組織可依要求設計控制措施或由任何來源識別之
(c) 比較上述 613(b) 中所決定之控制措施與附錄 A 中者並確認未忽略必要之控制措施備考 1 附錄 A 包括控制目標及控制措施之詳細清單本標準之使用者
參照附錄 A 以確保未忽略必要之控制措施備考 2 控制目標隱含於所選定之控制措施中附錄 A 中所列之各項控
制目標及控制措施並未盡列故可能需要額外之控制目標及控制措施
(d) 產生適用性聲明包括必要之控制措施 ( 參照 613(b) 及 (c))且不論是否實作提供納入之理由以及由附錄 A 排除之理由
(e) 制訂資訊安全風險處理計畫(f) 取得風險擁有者對資訊安全風險處理計畫之核准以及對剩餘資訊安全風險之接受
組織應保存關於資訊安全風險處理過程之文件化資訊備考本標準中之資訊安全風險評鑑與處理過程與 ISO 31000[5] 內提供之原則及通用指導綱要調和
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
ISO 27001本文mdash8運作(83)
59
83 資訊安全風險處理組織應實作資訊安全風險處理計畫組織應保存資訊安全風險處理結果之文件化資訊
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
7 March 201660
風險處理的進行
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
風險修改(降低風險) -- ISO 27005
行動 宜經由施行移除或改變控制措施以管理風險等級使殘餘風險得被重新評定為可接受
實作指引 宜選擇適切及已衡量之控制措施以符合風險評鑑和風險處理所識別出之要求
此選擇宜考量風險接受準則與法令法規及契約要求此選擇亦宜考量控制措施
實作之成本與時間表或技術環境及文化層面適當地選擇資訊安全控制措施
通常可降低系統總擁有成本
將風險機率及負面後果減至可接受範圍內 採取有經驗或專業者協助面對並處理 採用較可靠的供應商較成熟的技術等
61
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
風險保留(接受風險) -- ISO 27005
行動
無進一步行動而保留風險之決策宜依據風險評估而定
實作指引
若風險等級符合風險接受準則則不需實作額外之控制措施且該風險能被保留
主動承擔事先發展應變計畫包括時間預算或資源
被動承擔問題發生之後再處理
62
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
風險避免 (迴避風險) -- ISO 27005
行動 造成增加特定風險之活動或情況宜避免之
實作指引 當所識別風險被視為太高時或實作其他風險處理選項之成本超過利益時可作出決定以完全避免風險藉由從已規劃或既有活動或一組活動中退出或變更活動運作之情況舉例而言對大自然所引起的風險最具成本效益之替代方案就是將資訊處理設施實體地搬移到風險不存在或在控制下的地點
選另一個方法或途徑以消除風險 不採用表現不佳的供應商不將機房設置於地震或水災區域等
63
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
風險分擔(轉移風險) -- ISO 27005
行動
宜依據風險評估將風險分擔至最能有效管理該特定風險之另一方
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策風險分擔能產生新的風險或修改既存已識別風險因此可能需要額外之風險處理
分擔可藉由支援後果之保險或是藉由分包給合作夥伴其角色為監視資訊系統並於造成已定義之損害等級前採取立即行動以阻止攻擊
宜注意的是可能可以分擔管理風險之責任但通常不可能分擔衝擊之賠償責任
客戶通常將不利衝擊歸因於組織的錯誤
尋求第三者共同擁有風險回應的責任而將可能結果轉移(但風險並未因此而消失)
保險外包履約保證保固等
64
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
ISO 31000-準備與處理風險處理計畫 553 準備與實施風險處理計畫
風險處理計畫的目的係文件化所選定的處理選項將如何實施提供於處理計畫內的資訊須包括
- 處理選項選擇的理由包括預期之獲益
- 認可此計畫的負責人員與負責實施此計畫的人員
- 建議的行動
- 所需的資源包括偶發事件
- 績效量測與限制
- 報告與監測之要求事項及
- 時間安排與時程
處理計畫須與組織的管理過程整合並與適宜的利害相關者討論
決策者與其他利害相關者須注意到風險處理後的剩餘風險之本質與程度剩餘風險須予以文件化且施行監測審查及在適宜時進一步處理
65
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
ISO 27001本文 ndash62資訊安全目標及其達成之規劃
62資訊安全目標及其達成之規劃
組織應於各相關部門及層級建立資訊安全目標
資訊安全目標應滿足下列事項
(a) 與資訊安全政策一致
(b) 可量測 ( 若可行時 )
(c) 考量適用之資訊安全要求事項以及風險評鑑及風險處理之結果
(d) 被傳達
(e) 於適當時更新之
組織應保存關於資訊安全目標之文件化資訊
於規劃如何達成資訊安全目標時組織應決定下列事項
(f) 待辦事項
(g) 所需資源
(h) 負責人員
(i) 完成時間
(j) 結果之評估方式
66
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
67
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
68
風險管理定義為有效管理可能發生的事件及其不利的影響所執行
的步驟與過程基本架構包括辨識評估處理監控等程序
處理之後做甚麼
1 辨識風險
2評估風險
3處理風險
4監視評估
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
資訊安全風險管理過程 -- ISO 27005
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
70
溝通與協商
目的確保利害關係人均能瞭解風險與支持風險對策進而提升對組織的信任
作法(對外溝通原則)1 掌握溝通目的與底線
2 了解溝通對象慎訂溝通策略3 儘早主動溝通4 善用多元溝通管道5 態度真誠坦白與公開6 傾聽民眾關切的重點7 滿足媒體的需要
作法(對內溝通原則)1 上對下要做風險政策的宣達2 下對上要做風險發現的報告3 單位之間要分享風險管理的經驗
文件化定量化是有利溝通與達共識不會誤會或各說各話
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
71
(一) 忽略已發展成熟之工具或方法重複投入發展
(二) 過度依賴顧問專家
(三) 處理風險沒有重點
(四) 只討論風險而不討論風險對策
(五) 在第一時間內企圖量化所有的風險
推動風險管理應避免的陷阱
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
72
風險管理與危機處理成功的要件
bull 首長支持與有明確的政策
bull 有堅強的推動組織
bull 有完善的計畫與執行步驟
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
資訊安全風險監視及審查
ISO 27005
12 資訊安全風險監視及審查
121 風險因素之監視及審查
122 風險管理監視審查及改善
73
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
ISO27005--121 風險因素之監視及審查 輸入
自風險管理活動中獲得之所有風險資訊
行動
宜監視及審查風險與其因素 ( 亦即資產價值衝擊威脅脆弱性及發生的可能性 ) 以在早期階段識別組織全景中之任何變化並維持風險全貌之概觀
輸出
風險管理與組織營運目標及與風險接受準則之持續調校
74
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
作指引
風險非靜態威脅脆弱性可能性或後果可無徵兆地突然變化故不斷監視以偵
測此等變化係必要的亦可由提供關於新威脅或脆弱性資訊之外部服務支援之
組織宜確保持續監視下列項目
包含於風險管理範圍內之新資產
資產價值之必要修改例由於改變之營運要求
活躍於組織外部與內部且未評定之新威脅
新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性
識別脆弱性以確定其已暴露於新的或再出現之威脅中
評定之威脅脆弱性及風險經聚集導致無法接受等級之風險所增加之衝擊或後果
資訊安全事故
先前評定為低風險者因新威脅脆弱性或變更可能性或後果而增加其風險對低風
險及已接受風險之審查宜分別考量各風險亦要將所有該等風險聚集在一起考量
以評定其潛在累積衝擊
影響威脅發生之可能性與後果的因素及影響各種處理選項之適當性或成本的因素均可
能變化影響組織的重大變化宜作為更具體審查之理由因此風險監視活動宜定期
地重覆且所選擇的風險處理選項宜週期性地審查
風險監視活動之結果可輸入至其他風險審查活動組織宜定期審查所有風險且發生
重大變化時亦同 ( ISO 27001 之 423) 75
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
ISO27005-- 122 風險管理監視審查及改善
輸入
自風險管理活動中獲得之所有風險資訊
行動
宜於必要及合適時持續監視審查及改善資訊安全風險管理過程
輸出
資訊安全風險管理過程對組織營運目標之持續關聯或更新過程
76
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
實作指引
為確保全景風險評鑑和風險處理之結果及管理計畫仍保持對環境之相關性及合適性持續之監視及審查是必要的
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適並被遵循任何對過程遵循性改善是必要之合意改善的過程或行動宜通知適切的管理者以確保未忽略或低估風險或風險元件且採取必要的行動與做決策以提供實際的風險瞭解和回應能力
此外組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標策略及政策一致同時營運全景之變更於資訊安全風險管理過程中要充分地納入考量此監視及審查活動宜闡明 ( 但不限於 ) 下列 法令及環境全景
競爭全景
風險評鑑作法
資產價值及種類
衝擊準則
風險評估準則
風險接受準則
總擁有成本
必要資源
77
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
組織宜確保風險評鑑和風險處理資源在審查風險因應新生或變更之威脅或脆弱性上持續可用以及依此向管理階層建議
風險管理監視能依據下列導致修改或增加所使用之作法方法論或工具 已識別之變更
風險評鑑迭代
資訊安全風險管理過程之目標 ( 例營運持續性對事故之恢復力 ( resilience) 遵循性 )
資訊安全風險管理過程之標的 ( 例組織營運單位資訊處理其技術實作應用系統及網際網路之連結 )
78
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
資訊安全管理系統簡介
資訊安全風險管理
資訊安全風險評鑑
資訊安全風險處理
資訊安全風險監視及審查
本局風險管理作法
79
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
80
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
風險評鑑流程圖
81
輸入 處理 輸出
開始
鑑別資產
2 鑑別風險風險評估彙整表
結束
6風險追蹤與
評估
風險改善計畫
資訊資產清單
權責單位
權責單位
資訊資產
威脅及弱點評估表
適用性聲明
資訊安全組
資訊安全組
資訊資產權責單位
1
3 確認風險評估結果
4 風險管理
決定可接受(1)風險值
選擇控制措
施(2)
風險改善5
營運持續管理計畫
營運持續管理程序
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
資產評估與管理作業程序
鑑別資產
資訊資產之鑑別應依「H0-02-002資訊資產管理程序書」進行鑑別及分類辦理
82
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
83
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
資訊資產鑑別
(1) 本局資訊資產權責單位應鑑別所辦理業務之資訊資產並建立「H0-04-011資訊資產清單」
(2) 本局資訊資產權責單位應適時更新與維護所辦理業務之資訊資產清單並陳報所屬資訊資產權責單位主管審核
(3) 本局各資訊資產權責單位之資訊資產清單由各資訊資產權責單位主管審核後由資訊安全組統一控管以確保資訊資產編號及清冊之完整性
84
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
資訊資產分類
85
資產類別 說 明
環境EV
1 電腦機房之門禁管制設施2 消防設施3 電力系統4 空調5 不斷電系統
硬體HW
1 網路交換器防火牆路由器等網路設備2 個人主機印表機主機伺服器3 儲存設備
軟體SW
1 自行或委外開發之應用系統程式執行碼及原始程式碼2 外購之套裝軟體3 電腦作業系統4 系統或程式開發工具
通訊CM1 資訊傳輸與交換之網路2 電話線路
資料DA
1 儲存在硬碟光碟資料磁帶等儲存媒介之數位資訊2 系統規劃設計開發維護等相關文件3 使用與操作手冊4 合約版權文件5 教育訓練教材6 其他相關典章制度等
人員PE
1 資訊安全人員2 內部稽核人員3 系統管理人員
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
資訊資產機密等級與價值鑑別
本局針對資訊資產對組織之價值敏感性
及重要性等特性進行資產之機密性完
整性及可用性分級各項資訊資產價值之
決定是為此3者分級數值之總合
86
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
資產價值等級(機密性等級評估表)
87
機密等級 資產類別 評估標準 數值
一般
環境 無機密性且不影響其他資產機密特質之服務
1
硬體 不具機密性特質之實體
軟體 無機密性且可公開使用之資訊系統或軟體
通訊 不具機密性特質之通訊實體
資料 無機密性且可公開之電磁紀錄或文件
人員 無涉及機密性資訊處理之人員
內部使用
環境 單位內部使用之服務
2
硬體 單位內部使用之實體
軟體 單位內部人員或授權使用之人員所使用之系統及軟體
通訊 單位內部使用之通訊實體
資料 僅供單位內部使用之電磁紀錄或文件
人員 單位員工其工作職掌不涉及機密資訊之處理者
密
環境 具機密性且僅供單位授權使用之人員所使用之服務
3
硬體存放單位機密文件及電磁紀錄之實體資產僅供單位授權使用之人員存取
軟體具機密性且僅供單位授權使用之人員存取之系統及軟體
通訊傳送單位機密文件及電磁紀錄之通訊實體資產僅供單位授權使用之人員存取
資料單位或法律所規範的機密電磁紀錄或文件僅供單位授權使用之人員存取
人員 工作內容涉及機密資訊處理之單位員工
備註各項不同機密等級之資訊資產合併使用或處理時以其中最高之機密等級為機密等級
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
資產價值等級(完整性等級評估表1)
88
完整等級 資產類別 評估標準 數值
微或無
環境所使用之服務發生中斷時不會造成任何影響或其影響是可忽略的
1
硬體實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
軟體不當使用系統或軟體時不會造成任何影響或其影響是可忽略的
通訊實體環境或設備發生損壞或故障時不會造成任何影響或其影響是可忽略的
資料電磁紀錄或文件不正確或不完整時不會造成任何影響或其影響是可忽略的
人員 人員具備電腦操作基本知識
低
環境 所使用之服務發生中斷時將對單位業務之營運造成輕微影響
2
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
軟體 不當使用系統或軟體時將對單位業務之營運造成輕微影響
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成輕微影響
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成輕微影響
人員 人員對所負責之系統管理作業已接受完整教育訓練
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
資產價值等級(完整性等級評估表2)
89
可用等級 資產類別 評估標準 數值
中
環境所使用之服務發生中斷時將對單位業務之營運造成中度影響但不至於造成業務停頓
3
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成中度影響但不至於造成業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成中度影響但不至於造成業務停頓
資料文件或電磁紀錄不正確或不完整時將對單位業務之營運造成中度影響但不至於造成業務停頓
人員 人員對所負責之系統管理作業能夠獨立有效執行相關業務
高
環境所使用之服務發生中斷時將對單位業務之營運造成高度影響且致使業務停頓
4
硬體實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
軟體不當使用系統或軟體時將對單位業務之營運造成高度影響且致使業務停頓
通訊實體環境或設備發生損壞或故障時將對單位業務之營運造成高度影響且致使業務停頓
資料文件及電磁紀錄具有完整性要求當完整性被破壞時將對單位業務之營運造成高度影響且致使業務停頓
人員 人員對所負責之系統管理作業具備相關專業單位授權證照
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
資產價值等級(可用性等級評估表1)
90
可用等級 資產類別 評估標準 數值
微或無
環境可容忍服務24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
1
硬體可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
軟體可容忍系統或軟體24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
通信可容忍實體環境或設備24工作小時以上無法使用不會造成任何影響或其影響是可忽略的
資料可容忍文件及電磁紀錄24工作小時以上無法存取不會造成任何影響或其影響是可忽略的
人員可容忍人員缺席24工作小時以上不會造成任何影響或其影響是可忽略的
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
資產價值等級(可用性等級評估表2)
91
可用等級 資產類別 評估標準 數值
低
環境可容忍服務失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
2
硬體可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
軟體可容忍系統或軟體失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
通訊可容忍實體環境或設備失效8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資料
可容忍文件及電磁紀錄8工作小時以上24工作小時以下無法存取其對單位業務之營運僅造成輕微影響
人員可容忍人員缺席8工作小時以上24工作小時以下其對單位業務之營運僅造成輕微影響
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
資產價值等級(可用性等級評估表)
92
可用等級
資產類別 評估標準 數值
中
環境可容忍服務失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
3
硬體
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
軟體可容忍系統或軟體失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
通訊
可容忍實體環境或設備失效4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資料
可容忍文件及電磁紀錄4工作小時以上8工作小時以下無法存取其對單位業務之營運將造成中度影響但不至於造成業務停頓
人員可容忍人員缺席4工作小時以上8工作小時以下其對單位業務之營運將造成中度影響但不至於造成業務停頓
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
資產價值等級(可用性等級評估表)
93
可用等級 資產類別 評估標準 數值
高
環境可容忍服務失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
4
硬體可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
軟體可容忍系統或軟體失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
通訊可容忍實體環境或設備失效4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資料可容忍文件及電磁紀錄4工作小時以下無法存取其對單位業務之營運將造成高度影響且致使業務停頓
人員可容忍人員缺席4工作小時以下其對單位業務之營運將造成高度影響且致使業務停頓
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
資訊資產清單及價值確認
94
資產總價值=機密性價值+完整性價值+可用性價值
1 資訊資產權責單位應依據機密性完整性及可用性之評估標準確認資訊資產價值
2 資訊資產權責單位主管應對其所屬資訊資產清單進行審核
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
資訊資產進入風險評鑑之等級請參照「H0-
02-004 風險評鑑與管理程序書」
95
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
資訊資產編號及標示
(1) 除資訊安全管理系統四階文件之外資訊資產編碼方式如下圖所示第12碼為權責單位別第34碼為資產類別第5~7碼為資訊資產編號
96
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
資訊資產編號及標示(續)
(2)已列入機密等級分類的資訊資產及系統之輸出資料應明確標示其機密等級避免其機密性遭破壞
(3) 實體設備之機密等級標示方式 A密等之實體設備以紅色標籤區分並註明資訊資產編號 B內部使用之實體設備以藍色標籤區分並註明資訊資產編號
C一般實體設備以白色標籤區分並註明資訊資產編號
(4) 應於文件類資訊資產封面及內頁的頁首或頁尾上做明確的文件之機密等級標示機密等級為一般之文件可選擇不做機密等級之標示系統輸出機密等級為密以上的報表如系統未自動標示則由資訊資產擁有者作額外的明顯註記如加戳記
97
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
資訊資產管理作業
1) 有關文件紀錄相關電子檔及儲存媒體控管原則及方式請參照「H0-02-
002文件控管程序書」
2) 有關人員之控管原則及方式請參照「H0-02-005人員安全管理暨教育訓練程序書」
3) 有關實體資產包括軟體硬體環境等之控管原則及方式請參照「H0-02-006實體及環境安全管理程序書」
4) 機密等級為「密」之資訊資產應加強安全保護以防止洩漏不法或不當使用
5) 資訊資產之報廢(或銷毀)應視其機密等級採取適當之方式進行銷毀請參照「H0-03-001資訊資產管理與安全維護作業辦法」
6) 有關資訊資產紀錄之控管原則及方式請參照 「H0-02-002文件控管程序書」及「H0-03-001資訊資產管理辦法」
7) 有關實體資產包括硬體環境等之控管原則及方式請參閱「H0-02-
006實體及環境安全管理程序書」
98
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
覆核
(1) 資訊資產權責單位每年至少進行1次資訊資產清單覆核以更新及確保資訊資產清單的正確
(2) 資訊資產權責單位所管理資訊資產若有以下的狀況發生之時則實施不定期的覆核以更新及確保資訊資產清單的正確
A 有新增變更或移除資訊資產
B 系統有重大異動
C 作業環境改變
99
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
資訊資產清冊
100
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
威脅暨弱點評估
針對各項資產列出可能的威脅與脆弱點
什麼資產會被威脅
誰或什麼會造成這威脅
找出威脅的相關性它有影響嗎
重要或嚴重嗎
有沒有讓它發生的脆弱點
資產本身的安全問題是什麼
這資產少了什麼安全措施
101
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
威脅暨弱點評估(續)
將各類資訊資產可能面臨之事件(威脅-弱點)分為以下6類並建立各類別「H0-04-012威脅弱點評估表」
A 環境包含天災供水用電空調等整體資訊環境可能發生之風險
B 硬體包含所有硬體設施之失效損毀等可能風險
C 軟體包含系統設計維護操作之不當所產生之風險
D 通訊包含資料影像聲音傳輸媒介失效等所可能產生之風險
E 資料包含資料或文件之建立維護控管傳遞之不當所產生之風險
F 人為包含因人員有意或無意行為人力資源管理不當所產生之風險
102
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
事件發生機率及衝擊的評估
針對每項脆弱點威脅分析其對資產所可能造成的衝擊
這脆弱點被利用的程度有多高
相對的防護措施之有效性如何
對資產所造成的衝擊程度如何
當脆弱點被威脅利用而對資產或組織營運可能造成的損失衝擊有多大
脆弱點被威脅利用而對資產造成傷害的可能性有多少
103
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
事件發生機率及衝擊的評估(續)
事件發生機率及衝擊的評估可依以下步驟進行
A依各資訊資產之分類進行選擇所需評估的事件(威脅-弱點)類別
B依以下之標準評估各事件發生機率及衝擊程度
104
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
事件發生機率等級對應表
事件發生機率的評估事件(威脅-弱點)發生機率值可參考事件發生機率等級對應表(如下表)
105
可能性評估標準機率
等級
無此可能或不適用 無 1
幾乎或很少發生(每年最多一次) 低 2
偶爾發生(每季最多一次) 中 3
時常發生(每月最少一次) 高 4
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
衝擊評估標準等級對應表
事件衝擊程度的評估主要針對各項威脅利用弱點而產生事件判斷該事件發生對於資產價值的衝擊程度可由機密性完整性與可用性三方面綜合考量
106
衝擊評估標準 衝擊 等級
此資產在遇到此事件時僅影響個人 微 1
此資產在遇到此事件時影響部份地所或科室作業
低 2
此資產在遇到此事件時影響全處業務中斷 中 3
此資產在遇到此事件時影響縣府或民眾業務中斷
高 4
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
風險值的計算
風險風險值=
(資訊資產價值(機密性完整性可用性之相加數值))x(事件發生機率(等級)x
事件衝擊(等級))
107
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
108
威脅弱點評估表
文件編號H0-04-012-02施行日期1001111
版本 11 機密等級一般 內部使用 密
資產名稱系統管理-7資產編號H0-PE-010
價值 8C3 I2
A3權責單位祕書室
風險類別人為
威脅 弱點
可能性 衝擊性綜合風險
值微(1)低(2)
中(3)
高(4)
微(1)
低(2)
中(3)
高(4)
----------
福利制度不佳(薪資過低) 1 1 8
獎懲考核制度不當 1 1 8
工作負荷過重 2 1 16
公司前景未明(公司產業) 1 1 8
人員不足 人員的權責分工不當(人力不足) 2 2 32
失竊
人員評選程序不嚴謹 2 2 32
缺乏安全警覺 2 3 48
人員安全訓練不足 2 2 32
外部人員或清潔人員缺乏人員陪同作業 2 1 16
故意的破壞
建築物房間的物質進出控制的不足或不小心使用
3 2 48
缺乏安全警覺 2 3 48
人員安全訓練不足 3 3 72
識別與認證機制的不足 2 3 48
操作人員的錯誤(如主機管理者)
不正確的使用軟體和硬體 2 3 48
複雜的使用者介面 1 2 16
文件化管理之缺乏或不足 3 2 48
缺乏安全警覺 3 3 72
專業訓練不足 2 3 48
缺乏監督機制 2 3 48
缺乏資料(資料程式與文件)備份 2 3 48
能力不足專業訓練不足 3 3 72
人員評選程序不夠嚴謹 2 2 32
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
風險評估彙整表
將上述評估資料彙整後產生「H0-04-013
風險評估彙整表」
109
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
確認風險評估結果
資訊資產權責單位經完成鑑別資產及其相關風險後產出「H0-04-013風險評估彙整表」並運用該表彙整之相關綜合風險值產出「風險評鑑報告」由資訊資產權責單位主管審核後送至資訊安全組
110
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
風險管理
可接受風險值的決定
資訊安全組將「H0-04-013風險評估彙整表」於管理審查會議中提出經管理審查委員會開會審查決議或逕由管理審查委員會主席親自裁示可接受風險值並作成紀錄可接受風險值考量本局環境及作業之安全需求作適當調整至少每年檢討一次
111
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
風險改善
選擇控制措施
(1)若風險值超出可接受風險值之資訊資產應參考ISO 27001標準選擇適當之控制措施製作「H0-04-014風險改善計畫表」說明風險控管措施之執行辦法
(2) 資訊安全組協助各資訊資產權責單位提出「H0-04-014風險改善計畫表」及「H0-
01-003 適用性聲明」並於資訊安全組開會審核
112
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
風險追蹤與後續評估
(1) 監控與追蹤 控制措施的實施必須建立相對應的指標或紀錄以反應出控制措施實
施的狀況及成效以便於管理階層及相關人員做定期或不定期審視風險評鑑後所提出之風險改善計畫由資訊安全組彙整控管並持續追蹤至完成改善為止
(2) 風險改善失效 當資訊資產並未有適當風險控管措施或控制措施的實施無法有效降
低該資產的風險則將該資訊資產面臨的風險納入營運持續管理規範加以控管
(3) 持續改善 為保持本風險評鑑方法之有效性與適用性資訊安全組得定期檢討威
脅及弱點評估表之項目以期確保本局資訊資產所面臨之威脅與弱點均完整的被揭露以作為持續不中斷營運的評估來源
(4) 風險重新評估 A每年應至少執行1次風險評鑑 B當有新增系統系統有重大異動或作業環境改變時則應執行不定期之風險評估
113
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
業務流程或資產負責人與風險管理者的責任 業務流程或資產負責人的責任
1 鑑別資產的價值
2 資產的機密性等級分類
3 資產威脅與脆弱點的鑑別
4 鑑別資產可忍受之最大失效期間
5 鑑別失去資產對組織的衝擊
6 鑑別風險所在的業務流程部門
7 評估當鑑別的風險發生時其潛在的衝擊影響
8 評估所鑑別的風險其實際發生的可能性
9 決定風險的等級
10 參與安全防護對策之討論與決策
11 系統安全防護與系統維護之成本分析
12 鑑別資產之特性作為營運持續管理之參考
13 參與營運持續計畫之討論
14 支援營運持續演練
15 定期與不定期重新進行風險評鑑以鑑定安全防護計畫之成效及鑑別風險之變化與新風險的產生
風險管理者 存在風險的業務流程部門主管為該風險的風險管理者
決定安全防護對策的實施及對殘餘資訊安全風險的接受
114
外部稽核時受稽人員
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
參考ISMS文件
H0-02-003-02 資訊資產管理程序書
H0-02-004-03 風險評鑑與管理程序書
H0-04-011 資訊資產清單
H0-04-012 威脅弱點評估表
H0-04-013 風險評估彙整表
H0-04-014 風險改善計畫表
115
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
116
Thank you
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
實作
資訊資產清冊
117
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
實作二
你想做的風險評鑑
118
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119
資產價值(影響構面尺規)
威脅 弱點(自由發揮)
衝擊程度 可能性(尺規)
風險值=資產價值X衝擊程度X可能性
119