资产与风险管理课件

第3章資產與風險管理第3章資產與風險管理1大綱何謂資訊資產資訊安全的潛在威脅反制對策(Countermeasures)

資訊安全與風險管理大綱何謂資訊資產2何謂資訊資產隨著企業組織對資訊科技的依賴加深，所有內部/外部溝通的過程都可稱為資訊資產隨手塗鴉工作日誌正式文件文件草稿電腦資訊任何的公開媒介正式會議何謂資訊資產隨著企業組織對資訊科技的依賴加深，所有內部/外3何謂資訊資產社交工程(socialengineering)社交工程攻擊法是目前資訊安全管理制度(ISMS)所面臨的最大挑戰。熟悉社交工程者不必是電腦高手社交工程高手往往熟悉人性心理被害者往往不知道自己已經洩密即時通訊軟體(如MSN、QQ等)為社交工程的最大幫手社交工程高手往往熟知心理學中的”社交心理學”何謂資訊資產社交工程(socialengineering)4资产与风险管理课件5资产与风险管理课件6资产与风险管理课件7資訊安全的潛在威脅威脅(Threat)

任何可能造成資訊系統損壞的事物皆稱威脅威脅類型原因範例自然因素大自然現象所造成地震、水災系統本身故障網路不通人為因素人員疏失系統操作不當系統維護疏失人員管理疏失蓄意破壞破壞電腦系統破壞硬體設備破壞軟體程式修改軟體程式未經授權使用設備不當使用及蒐集資料資訊安全的潛在威脅威脅(Threat)威脅類型原因範例自然8资产与风险管理课件9資訊安全的潛在威脅常見內部人員威脅員工的操作錯誤追求刺激型的員工意識形態主導的員工心有不滿的員工琵琶別抱型閒雜人等型離職員工過度積極的員工資訊安全的潛在威脅常見內部人員威脅10資訊安全的潛在威脅脆弱點(Vulnerability)又稱漏洞在一個資訊系統中防護最脆弱的部份，通常也就是組織內部的系統安全漏洞類型原因範例營運模式每個企業組織為求生存都會有一套自己的營運模式，而競爭對手所要做的就是找出這個模式，並從中進行破壞竊取晶圓廠的製程實體弱點實體電腦設備可能會因為外在因素造成無法使用，其損失並不亞於電腦資訊遭竊系統管理不當電腦機房淹水人員弱點由於缺乏對員工的資訊安全訓練所致帳戶密碼過於簡單或從未更改電腦技術原先就存在於作業系統或應用程式軟體中的錯誤，駭客通常經由這些弱點對電腦進行入侵，並進行資料擷取、更改、或破壞的行為系統中未移除的預設帳號，提供了外界入侵的管道資訊安全的潛在威脅脆弱點(Vulnerability)又稱漏11资产与风险管理课件12资产与风险管理课件13资产与风险管理课件14资产与风险管理课件15资产与风险管理课件16资产与风险管理课件17资产与风险管理课件18资产与风险管理课件19资产与风险管理课件20资产与风险管理课件21延伸思考以同心圓放射思考，對於自己/家庭/班級(組織)而言，各自有哪些重要的資訊資產?為何資訊安全主要的潛在威脅來自於組織內部人員?延伸思考以同心圓放射思考，對於自己/家庭/班級(組織)而言，22第3章資產與風險管理第3章資產與風險管理23大綱何謂資訊資產資訊安全的潛在威脅反制對策(Countermeasures)

資訊安全與風險管理大綱何謂資訊資產24何謂資訊資產隨著企業組織對資訊科技的依賴加深，所有內部/外部溝通的過程都可稱為資訊資產隨手塗鴉工作日誌正式文件文件草稿電腦資訊任何的公開媒介正式會議何謂資訊資產隨著企業組織對資訊科技的依賴加深，所有內部/外25何謂資訊資產社交工程(socialengineering)社交工程攻擊法是目前資訊安全管理制度(ISMS)所面臨的最大挑戰。熟悉社交工程者不必是電腦高手社交工程高手往往熟悉人性心理被害者往往不知道自己已經洩密即時通訊軟體(如MSN、QQ等)為社交工程的最大幫手社交工程高手往往熟知心理學中的”社交心理學”何謂資訊資產社交工程(socialengineering)26资产与风险管理课件27资产与风险管理课件28资产与风险管理课件29資訊安全的潛在威脅威脅(Threat)

任何可能造成資訊系統損壞的事物皆稱威脅威脅類型原因範例自然因素大自然現象所造成地震、水災系統本身故障網路不通人為因素人員疏失系統操作不當系統維護疏失人員管理疏失蓄意破壞破壞電腦系統破壞硬體設備破壞軟體程式修改軟體程式未經授權使用設備不當使用及蒐集資料資訊安全的潛在威脅威脅(Threat)威脅類型原因範例自然30资产与风险管理课件31資訊安全的潛在威脅常見內部人員威脅員工的操作錯誤追求刺激型的員工意識形態主導的員工心有不滿的員工琵琶別抱型閒雜人等型離職員工過度積極的員工資訊安全的潛在威脅常見內部人員威脅32資訊安全的潛在威脅脆弱點(Vulnerability)又稱漏洞在一個資訊系統中防護最脆弱的部份，通常也就是組織內部的系統安全漏洞類型原因範例營運模式每個企業組織為求生存都會有一套自己的營運模式，而競爭對手所要做的就是找出這個模式，並從中進行破壞竊取晶圓廠的製程實體弱點實體電腦設備可能會因為外在因素造成無法使用，其損失並不亞於電腦資訊遭竊系統管理不當電腦機房淹水人員弱點由於缺乏對員工的資訊安全訓練所致帳戶密碼過於簡單或從未更改電腦技術原先就存在於作業系統或應用程式軟體中的錯誤，駭客通常經由這些弱點對電腦進行入侵，並進行資料擷取、更改、或破壞的行為系統中未移除的預設帳號，提供了外界入侵的管道資訊安全的潛在威脅脆弱點(Vulnerability)又稱漏33资产与风险管理课件34资产与风险管理课件35资产与风险管理课件36资产与风险管理课件37资产与风险管理课件38资产与风险管理课件39资产与风险管理课件40资产与风险管理课件41