用户投稿(三)资讯安全风险管理组织架构
在执行资讯安全风险管理之前,相关组织、角色及权责应预先设置,相关授权需要明确区分,在设置相关组织时需考量下列事项:
•发展出适合于组织的资讯安全风险管理作为,其中组织的特性、文化要先考量。
•识别与分析事件相关者,相关风险的负责人、管理者、决策者应与识别。
•定义组织内部与外部所有各方的角色和职责。
•建立起组织与经营者的必要关係及高阶风险管理功能介面。
•定义决策提报路径,哪种类型或等级的风险须要如何决策应先行定义其路径。
•说明需要保存的记录。
做好全景分析的準备工作后,就可以开始进行风险评鉴的工作,对照条文6.2,现在我们已经完成建立与维持资讯安全风险的标準(风险评估準则、冲击準则及风险接受準则),在设计準则时我们也注意到设定的要求必须确保重複的资讯安全风险评鉴能产出一致的、有效的和可比较的结果,亦即不同的人在不同的时机、使用相同的準则,尽量能有一致性的结果,避免差异过大造成评鉴时的不确定性,影响风险管理的效能。
三、风险评鉴
从架构图上来看,做完全景分析后就要执行风险评鉴,评鉴区分三个部分:风险识别、风险分析及风险评估,其最终目标是产生风险的优先顺序清单,过程中应考量风险必须被完整识别、量化与质化的风险描述、按风险评估準则和与组织有关的目标以订定优先顺序等事项,输入事项就是前面所提到的全景分析资料。
(一)风险识别
每一个步骤的结果就是下一步骤的输入,例如识别资产后产生了资产清单,资产清单再用来识别威胁,并产生威胁清单以成为下个步骤的输入。
识别资产识别範围界线内的资产,目前比较好的做法是用流程来识别,从组织的业务面去看会与业务相关的流程,从流程中找出相关的资产。识别的项目应包含拥有者、位置、功能及特性。资产是对组织有价值的任何东西,资产识别应该在适合的细节层面进行,最终的清单应包含风险管理的资产清单,记载企业运作时与这些资产的相关事项。
美国国家标準技术研究所(NIST)所提出的标準化方式,用以描述与识别企业内的应用程式、作业系统及硬体设备等资讯资产,建议各级单位于资产清点时使用Common Platform Enumeration(简称CPE),格式主要分为三大类:作业系统(o)、应用程式(a)及硬体(h);主要资讯:厂商名称(vendor)、产品名称(product)、产品版本(version)、产品更新(update)、产品版次(edition)、语系(language),配合Common Vulnerabilities and Exposures(简称CVE)罗列各种资安弱点,并给予编号以便查阅, CVE目标为将所有已知弱点与资安风险的名称标準化,俾利于各个弱点资料库与安全工具之间发布资料,最后藉由National Vulnerability Database(简称NVD,为NIST所建置,是专门用来蒐集各种资通系统弱点资讯的资料库网站)建立CPE与CVE对应关係,以解决弱点与资讯资产之对应关係,这种类型的资产清册就可以快速地找到资产、威胁及弱点对应。
一般资讯资产的分类方式如下表:
微信扫一扫打赏
支付宝扫一扫打赏
