用户投稿资讯安全管理系统的相关标準ISO 27001及27002在2022年改版,国内很少人注意到ISO 27005 资讯安全风险管理的标準也同时做了修订及改版作业,ISO组织希望藉由ISO 27005的改版达成目前业界使用的风险分析及管理作业能够更加有效率并能够结合管控措施的做法,这次的改版最重要的精神是引进基于情景方式(EVENT BASE)风险分析的概念,虽然说前一版也有提到场景的概念,但是却没有如此的清楚解释,目前大部分的顾问公司或公家机关所使用的风险分析均是以基于资产的方式(ASSEST BASE)执行风险分析,在资通系统风险评鉴参考指引(行政院资通安全会报技术服务中心)的做法中虽然引进高阶风险分析的方式,但是未将情景的部分纳入考量,这也就是我们所面临的问题,每年重覆做一样的风险分析,对我们究竟有何意义,能不能协助我们找到真正需要处理的风险。
ISO 27005:2022的基本想法如下,首先建立情景,找到与风险关联的利害关係者,识别相关风险来源,对此项情景有关联的营运资产(资料或是业务流程)分析情景事件发生后的后果;再经由支援性资产(软体、硬体等)分析事件发生的可能性,结合两者去判断风险等级。
如下图
举例来说:情景是骇客侵入使用者电脑,藉由电脑存取ERP系统的未经授权资料,可以经由ERP系统及WEB去判定其风险等级,如下图
执行这种方式的风险分析,会比一般直接以资讯资产来做分析更有依据,藉由情景的设定,可以使执行风险分析的人不必执着如何选择威胁及弱点,有了场景,对应的威胁弱点就很明确,有不用到处去猜测后果及可能性,当然对于场景的设定有必须要有一定的资讯安全背景的人才有办法执行。
当然ISO 27005是指引性质,并未强制要求一定要用这种方式来做风险分析,但我觉得非常有参考价值。
微信扫一扫打赏
支付宝扫一扫打赏
