用户投稿五、风险接受
将风险处置计画和残余风险的评估提交给组织的管理者以进行接受风险的决策,组织需正式记录风险接受决策的发布和相关的决策责任,对于未能满足正常风险接受準则但被接受的风险清单,应附带接受的理由,依照全景分析时所设定的资讯安全风险处理的组织及决策路径,执行风险接受的步骤,并记录所有过程。
六、沟通与谘询
从风险管理活动中获得的所有风险资讯,藉由在决策者和其他利害关係者之间进行交换和/或共用有关风险的资讯,以获得对组织风险管理过程和结果持续的了解。在整个资讯安全风险管理的过程中应该持续沟通利害关係者、主管及执行者之间的意见,以达成下列目标:
•为组织的风险管理成果提供信心
•蒐集风险资讯
•分享风险评估的结果和展示风险处置计画
•避免或减少由于决策者和利害关係者之间缺乏相互理解,而导致违背资讯安全事项的发生和后果
•为决策提供支援
•获得新的资讯安全知识
•与其它各方进行协调,并计画应对措施以降低任何事件的可能性
•为了让决策者和利害关係者意识到关于风险的责任
•提高风险意识
七、监控与审查
从风险管理活动中获得的所有风险资讯,经由监控和审查风险及风险要素,不断调整资讯安全风险管理的作为,改善的内容包含法律和环境範畴、竞争範畴、风险评估方法、资产价值和分类、冲击準则、风险评价準则、风险接受準则、整体拥有成本以及所需要的资源,执行监控可能导致修改或增加使用的方针、方法和工具,对于定义的改变、过程的目的及对象及重複的风险评估都应监控与审查其有效性,最后以持续改善的精神去执行相关的更新作业。
八、适用性声明书
前面已经完整叙述一个资讯安全风险管理的架构及作法,回到第六章的条文,如果利用ISO 27005的做法将可满足6.1.2及6.1.3的要求,这边就不再重複叙述了;6.1.3的后半段是利用风险处理的规划,依照附录A去创建一个适用性声明书,如果组织採用附录A中没有的控制项,也可以自行在适用性声明书中创建,例如:对于员工自行携带电脑设备进入办公室执行作业的控制措施,所以适用性声明书要叙述的重点是经过风险分析之后组织需要执行哪些控制措施?执行的理由为何?如果附录A里面的控制项不适用于组织,组织必须叙明其不适用的理由,一个合适的适用性声明书须完整考虑资讯安全管理系统範围内所有因素,根据风险来决定是否执行控制措施,如果在範围之外才有可能被考虑排除,例如:A.14.2.7 委外开发,如果组织没有委外开发的行为,所有的开发作业都由组织执行,这样的排除才会比较适切;另外有一些条文因为翻译或是以往观念的关係,经常被列在排除项目内,例如:A.10.1.2 金钥管理,通常组织会认为我们不是发凭证或金钥的单位,或者系统内不存在凭证或金钥,因而将本项控制措施逕行排除,但是本条控制措施要求的是全生命週期的管制,就算只有申请、运用及废止,也是在这个控制措施中需要执行的,比如说网站的HTTPS凭证也是需管制,更不用说有些组织的公文传输交换系统、邮件系统都有使用金钥或凭证;另外还有一项也是经常被人误解的:A.14.1.3 保护应用服务交易,因为翻译的关係,被人误解为有金流部份的交易才需要使用这项控制措施,但是这项控制措施所要保护的是应用服务中交易的资讯,并非一定要有金流才需要保护,所以在排除控制措施上一定要注意其控制的目标为何,才不会造成误用或误判。
微信扫一扫打赏
支付宝扫一扫打赏
