在談資訊安全風險管理前:
我們先思考幾個生活情境:- 1、出國自助旅遊時,有想過護照遺失時,該如何處理呢?
- 2、開著車子至風景幽美的偏僻地方,有想過油料耗盡,卻又找不到加油站的情境嗎?
- 3、您準備進行電腦簡報時,卻發生電腦開不起來 或者檔案壞掉,該怎麼辦呢…?
- 4、緊急要聯絡一個親朋友好友,卻發現他的電話在手機內突然找不到。
- 5、車子暫停在路邊的紅線,會不會突然被舉發或被拖吊?
由上述所提及的一些情境,可發現日常生活許多事情都隱含大大小小的風險,只是發生頻率的高低、以及其衝擊的影響,進而直接影響我們對其重視的程度。
資訊安全顧問風險管理服務
由萬弘資訊資安顧問進行風險管理服務的流程可參考上圖:首先會評估組織目前的關鍵業務流程,了解目前的管理規範與制度,以及資訊安全技術面的管理措施後,參考國際資訊安全管理的標準ISO 27001:2005、ISO 27001:2013、ISO 27005/CNS 27005、ISO 31000:2009與美國國家風險評鑑的方法、國內個人資料保護法、營業秘密法來進行風險評估與風險管理,利用系統化方法協助組織成立專案小組,協同工作分析組織目前於:
- 資產管理
- 權限分配與管理
- 網路電子通訊
- 日常作業管理
- 實體環境、辦公環境
- 系統軟體取得、開發過程、維護
- 供應商、外包廠商安全管理
- 法令法規
- 人力資源管理
- 災難復原 / 營運過程中斷的復原
- 資訊安全事件 / 事故處理流程
資訊安全顧問服務流程
透過業務流程、核心問題、實務上常見的資安事故、與國際標準的許多要求可簡單列 舉(包括但不限於):委外廠效監督與管理、人員認知與資訊安全管理方式的檢視、專案管理上的安全、 網路安全的管理、災難復原的應變之類等等。
舉例說明
資訊環境、或是軟體開發直接委外來辦理,應注意的就是其交付程式碼有進行安全性考量、測試;資訊環境完全委外,我們要能確保服務等級、水準符合組織營運要求,甚至一些保密的義務也應該要遵守。若應注意而未注意,當風險發生時,往往會讓我們造成無形或有形的損失。
資訊安全顧問風險管理實際效益
- 客觀檢視風險來源 (不以坊間產品功能為出發點)
- 依據高風險項目,決策資源的分配
- 涵蓋業務流程的不同資訊安全面向。