ISMS风险评估手册资料

PAGEPage:PAGE25ofNUMPAGES25信息安全管理制度风险评估手册目录TOC\o"1-3"\h\z一前言 2二本文 31風險的定義及其本質 32風險管理對資訊安全管理系統的重要性 63資訊風險管理與資訊風險評估之關連 104各種資訊風險評估作業程序之比較與建議 165結論 216參考文件與標準 23三作者簡介： 23

编序自从行政院于民国九十年一月十七日第二七一八次院会通过「建立我国通信息基础建设安全机制计划」，并成立「国家资通安全会报」后，即开始结合内政、外交、国防、财政、教育、法务、经济、交通等部会，针对电力、电信、金融、交通等国家基础建设之安全防护，共同研讨相关因应作为，其中对于教育训练的重视与人才之培育，更是重点工作项目之一。依照国家资通安全会报综合业务组之规划，整个教育训练的时程大致上可分为资通安全基础训练建置，资通安全防护及运用训练，资通安全专业训练三大阶段；而编撰本手册之源由，系配合国家资通安全会报对于政府机构建立信息安全的基本防范能力，以及建立信息安全的防范体系所做的一连串配套措施之一，旨在提升政府机构人员对于信息安全管理系统的基本认知以及针对实际建置管理系统所需的程序提供相关教育训练。本手册编撰由中华民国计算机稽核协会负责，将发行给政府单位作为执行信息安全管理制度时之参考书籍。有鉴于大多数政府机关人员对于信息安全管理系统及其建置程序并未有完整之观念，或是仍存有部份之迷思，其中有关于信息风险评估的原理及执行程序是最易令人产生困惑之处，因此本手册之编排方式将先针对信息风险的定义及其本质予以简介，然后说明如何管理信息风险以及介绍信息安全管理系统建置程序；最后再引导至风险评估对于整个信息安全管理系统的重要性以及介绍目前国际上较为通用的风险评估方式，期望能协助各单位有所依循且有效地执行信息安全管理制度之推行。国家资通安全会报技术服务中心谨订中华民国九十二年四月

前言运用信息技术尚需注意人性的管理：很多人在一接触到信息安全管理系统(InformationSecurityManagementSystem，简称ISMS)时，首先浮现的念头大多是「一种非常专业的知识，只有信息相关的从业人员才可以胜任」。但有趣的是，当发生了信息安全事件时，信息人员也常表示「我们己经提供了最佳设备及软件，也对相关人员实施了相关的教育训练」；那么信息安全事件何以还是在我们的周遭不断地重复发生呢？当从新闻媒体或是报章杂志得知了台湾又发生了信息安全事件时，很多人总想一探究竟地了解到底在安全系统中是哪里出现了漏洞，让为非做歹者有机可乘。而事实是，不论是在金融业、公共事业或是其它与信息相关的产业，绝大部份造成信息安全事件的原因都不是专业技术的层面，而是在人性面上出现的漏洞所导致。不可否认的是，蓄意犯罪的人员的专业素养及用功认真的程度是远高过于我们一般的从业人员，尤其在信息安全事件方面，有鉴于此，我们也必须要有一套能在组织中展开的信息安全管理机制，藉由组织内人员的知识及警觉来形成信息安全的防护网，使得有心人士不会那么容易的得逞，即使是提高了犯罪的成本或是难度，这也就是某种程度的信息安全防护了。风险评估是信息安全管理制度的重要建置步骤：近年来各大媒体对于信息安全事件的报导日渐增多，不定期发生的病毒警示发布、网络银行的账户密码遭破解盗取存款、中美网络黑客大战等等，在报章媒体失真地报导与过度地渲染之下，「信息安全」也成为本世纪以来谈及因特网时的热门议题。但一般人对于「信息安全」所蕴含的意义，仅止于将报章杂志上耸动的标题－黑客攻击、计算机病毒及信息战等，与信息安全划上等号。若企业经营管理阶层、信息从业人员亦有此错误之认知，认为防火墙之购买及防毒软件之使用即是落实了信息安全的良善管理，而未针对安全管理之机制思考其真正意涵，那么在信息安全管理的逻辑上已产生了一个严重的错误：亦即仅重视技术层面之各项软硬件导入与应用，而忽略了管理层面风险评估与控管程序建置之重要性，导致企业执行信息安全管理机制时造成失衡，亦造成信息安全的管理与企业经营的需求发生冲突时无适当之权衡评估方式。 二、本文风险的定义及其本质认识风险才知如何管理在开始进入主题前，想先和大家分享一个现象。自从921大地震后，开始引发社会呼吁企业应注重「业务持续营运计划」(BusinessContingencyPlan简称BCP)的声音，而后陆续又发生汐止东方科学园区大火、纳莉水灾、美国911恐怖攻击事件等几乎每年一次不同类型的灾难事件后，我们曾经一度以为各企业对BCP的接受度与需求会大增，必会求助于从事于信息安全的顾问及专家。可惜事实不然，许多企业主找了多家顾问或厂商来做评估，但一谈到经费问题就触礁了；有的仍然持续在观望中，看局势、看政府的态度、看荷包，但就是不看风险；少数几家还很自豪地说，发生那么多灾难都没有波及他的公司，可见根本就无须小题大作云云…..。后来经我们分析后才得知，有心导入BCP机制的企业或机构，其实在事件发生后就立即展开建置或评估作业了。举这个例子是想在阅读本书前告诉大家，每个人对风险的认知与容忍程度是不同的，即使采用相同的方法论亦会产生不同的控制措施。也因此并没有一套放诸四海皆准的方法可如法炮制；我们提供的是希望大家要先对风险本身有了正确的认识后，才能采用适当的方法论去建置一套真正适用于单位内的信息安全管理系统。尤其是现在又遇上了SARS的事件，其影响层面不再只是区域性而已，衷心希望大家可趁此机会仔细地检视自身单位内所面临的风险。又如多数企业于信息安全管理体系建构之际，诸如信息安全政策之建置，仅为文件复制与编写，或并未与实务或营运需要进行差异分析(GapAnalysis)；其它如安全防护技术或产品导入，亦未涵盖营运风险(BusinessRisks)评估…等。所以，虽投入于信息安全保护，但在我国多数的企业环境尚处于NICETOHAVE的型态，意即有安全管理当然很好，但没有亦无妨；因此除非法令要求，甚或已经因类似的事件遭受损失，或希望成为营销的利器，否则多半都采取较消极的态度或仅仰赖导入某些技术或产品，在缺乏良善的监控与分析之下，多半都处于对企业内部的安全防御状态的不自知。风险的基本定义风险一词有很多种层面的定义，反应出不同的风险意义与不同的人事物。其中一种最足以有效定义风险系ISO所提供：『可能对一个或群组资产可能之弱点产生威胁，以致产生损失或伤害资产。风险之影响或相关损害系指可能对企业产生之损失／破坏价值及估计威胁发生机率。』此定义一般为业界所采用，自从组织运用资产概念及损失价格来考虑风险，此亦已被一般组织及企业之经理层级所采纳。风险之本质不论我们要不要接受，风险的存在性是不变的，每个人每天都不停地会面临风险，并做出抉择。例如一个开车上班的人，若有一天他的车子送修，他就必须要决定是否要坐公交车还是出租车去上班，以花费的成本考虑来看，出租车当然比较贵，可是它所提供的是时间的节省以及舒适的过程；反之，坐公交车的好处在于其经济因素的考虑。简单地说，在作决定前的过程就是一种风险评估；决定方案之后所作的调整(如为了避免塞车，便比平时早1小时出门)便是在执行风险管理。从另一个角度来看，风险本身即表示犯罪与攻击意图的存在，像盗用公款、抢劫、侵犯隐私权、诈欺…等层出不穷的事件，在实体世界与数字世界中都是一种威胁；它们的外表形态可能会不一样，但是其动机及心理仍是相同的。因此，我们对数字世界的威胁可以使用与实体世界相同的防护逻辑，再来判断要使用何种信息技术层级予以控制；而不是一开始就选择要采用的防护产品，结果反而要让控管机制来迁就产品所提供的功能。信息安全与信息风险：信息安全的定义与目标仅以BS7799的标准定义做为简介，就是「信息对组织而言就是一种资产，和其它重要的营运资产一样有价值，因此需要持续给予妥善保护。信息安全可保护信息不受各种威胁，确保持续营运，将营运损失降到最低，得到最丰厚的投资报酬率和商机。」信息安全的目标在于保护信息及其支持处理设备、系统和网络的机密性（Confidentiality）、完整性（Integrity，或称真确性）和可获得性（Availability，或称可用性）不受到各种方式的威胁，使可能发生的事业损害降至最低，确保企业的永续经营；例如，程序设计师写完程序必须向上级公开原始码、企业DataCenter必须进行数据异地备援...等等都是基于保护信息安全的考虑。信息安全管理的要素与其它管理一样，安全管理三要素是People（人）、Process（流程）与Technology（科技），因为事是由人做出来的，人事安全是所有安全当中非常重要的一环，企业或组织所拟定出来的安全政策还有赖具备安全紧急意识的「人」去遵循；而企业若能掌握Process顺畅，即可掌握80﹪以上的安全；Technology并非单指CCTV、门禁系统等设备，而最近相当热门的信息安全也绝非单指防火墙与防毒软件而已。信息安全涵盖范围相当广，并非仅指因特网，也绝非只是防火墙，因为信息安全必须以人事、实体与环境安全为基础，所有的科技都以协助安全管理政策为目的，否则科技只是一个产品。例如，当计算机为了信息安全的缘故装上防火墙，却对其摆放位置不做适当防护，如何称得上安全？信息风险的定义与要素信息风险系指可能影响资产、流程、作业环境或特殊企业组织之威胁，威胁性质包括财务、法令、策略、科技、数据运用及可能影响企业环境之结果。信息安全管理系统的建置人员应着重于与信息安全管理三要素有关之风险等级，此等风险等级通常容易产生信息机密性、完整性或可获得性之损失。而信息风险的要素可表现于下列方面：外部威胁、内部弱点、需要保护的作业或信息资产。依据资产之威胁及弱点之影响做成冲击分析(ImpactAnalysis)。依管理目标与现实状况所做之差异分析(GapAnalysis)及评估风险可能发生之机率。信息风险的种类：完整性风险（IntegrityRisk）：此风险会发生在信息处理的两个范畴，分别是信息基本架构的管理、及维持组织营运所必需的应用系统。其风险在于数据的处理、拥有、揭露均违反了营运控制的实务，或信息系统之输出、入与处理的正确原则端控制流程，如：数据转换接口出错、数据内容遭破坏，网页内容遭恶意窜改、网络数据劫夺（SessionHijacking）及数据结算之错误或根本的程序逻辑与经营流程不相符。信息基础架构风险（InfrastructureRisk）：此风险系因组织未能建构有效率的信息科技基础架构（如硬件、网络、软件、人员及流程），或未能在有效率、及控制良好的模式下，支持组织现有及未来的需求。这些风险在于界定、开发、维护及经营信息处理环境（如计算机硬件、软件系统、网络等）的一连串信息科技处理程序及相关的营运应用系统（例如客户服务、应收付帐款、生产排程、信用处理等等）有关，举凡从操作系统平台，数据库系统、网络系统、实体环境等等，特别是现今e化环境对网络的依赖性非常高，因此信息基础建设之完备，传输之保全是重要的风险控制点。可获得性风险（AvailabilityRisk）：当需要信息执行营运决策或经营活动时，无法及时取得的风险，包括：因信息通讯中断所产生的损失。例如：协议阻断服务攻击(DenialofService)、传输线路中断、电话系统断线、系统当机、卫星断讯。处理信息的基本能力之丧失。例如：计算机系统效能极低，火、水灾、断电或缺乏适当专业人员操作系统。操作上的困难。例如：控制权遭远程控制程序劫夺、磁盘驱动器故障、操作人员失误等。企业或组织营运上的中断。例如：天然灾害、恶意破坏、怠工、瘟疫(今年所遇到的SARS疫情便是一例)等。另外信息可获得性风险应着重以下三个不同的层面：藉由监督效能及在问题发生前采取预防措施，可避免此风险。可使用系统或数据回复技术使损失降至最低。因天然灾害而造成长时间之中断所产生的风险，可透过应变计划（DisasterRecoveryPlan或IncidentHandlingProcess）及业务持续营运计划(BusinessContingencyPlan)使信息系统减少损失。机密性风险及存取风险（ConfidentialRisk&AccessRisk）：此类风险着重于不适当的存取信息系统、数据和信息之风险，它包括不适当的权责划分、数据与数据库整合之风险、以及与信息机密性相关之风险，例如不适当的人可能取得机密信息，而适当的人却被拒绝存取。信息存取的风险是全面性的，亦即包括因任何目的而取得的信息。另一类型则如使用者权限的不相符，或是系统导入之变更，传统之部门间职能分工转变为应用系统角色及权限之扮演，例如员工兼具请购人员与采购人员之权限，可能导致不当授权将导致使用者存取未经授权之数据之风险，或造成机密数据外泄及未经授权之异动可能性。攸关风险（RelevanceRisk）：攸关性风险系指该信息与搜集、维护与传达信息之目的无关，该风险系与信息系统所产生或汇总信息之有用性与时效性有关。依性质而言，信息的攸关性风险直接与「决策信息风险」有关，此风险系指无法将「正确」之数据或信息，传达给「正确」的经营、消费或管理决策者，在「正确」的时间内做出「正确」之决策。此风险之发生主要系因未充分了解信息需求及缺乏对时效性的注意，进而损害到交易双方的权益、企业竞争的优势或是管理的效益与效率。信息风险管理对信息安全管理系统的重要性信息安全管理系统的建置程序兹以BS7799为例：信息安全管理系统和ISO9001：2000年版一致地采用”计划-执行-检查-行动”(Plan-Do-Check-Act，PDCA)之模式，并应用于所有信息安全管理系统之建置过程。图1系展示信息安全管理系统如何采纳信息安全要求之输入及利害关系团体之期望作为输入端，经由各必要措施及过程，产生符合所需要求及期望的信息安全输出结果。图1所示之PDCA模式，同时表现组织应在整体业务活动与风险下执行开发、实施、维护及持续改进信息安全管理系统。PDCA过程模式并可描述如下：P：计划（Plan，建立ISMS），建立安全政策、目标、标的、过程及相关程序以管理风险及改进信息安全，使结果与组织整体政策与目标相一致。D：执行（Do，实施与操作ISMS），安全政策、控制措施、过程与流程之实施与操作。C：检查（Check，监控与审查ISMS），依据安全政策、目标与实际经验，以评鉴及测量(适当时)过程绩效，并将结果回报给管理阶层加以审查。A：行动（Act，维持与改进ISMS），依据管理阶层审查结果采取矫正与预防措施，以达成持续改进信息安全管理系统。图1：ISO标准所采用之PDCA模式除了图1所示ISO标准模式之外，兹将其概念转换成另一种建置程序的呈现(详图2)，以提供读者做为建置之参考。对照PDCA的过程描述，大家可以看到信息安全管理系统与制度之建置是一个循环不断的过程，其中的基础必须先建立目标与安全政策。在运作过程中需要取得完整的决策信息(可想而知，若信息不足时则其判断结果便会有误差。再来针对风险所做之企业持续不断之评估、管理、监督修正等行为皆与PDCA有直接关连。建立目标建立目标与基础架构评估风险持续性修正监督风险管理程序之效果设计与执行风险控管程序规划风险管理策略决策信息avoid/transfer/reduce/acceptITAssets&SecurityFrameworkGapAnalysisImpactAnalysisITControl&SecurityPolicyI.T.ManagementI.T.Audit图2：信息安全管理系统建置程序参考示意图信息安全管理系统之建立步骤：A.依据业务、组织、所在位置、资产及技术等特性，定义信息安全管理系统之范围。简单地说就是要决定全面实施或分阶段分单位实施，此举会同时影响信息安全资源的分配运用，对风险评估后的接受度，以及所采用的风险管理策略。B.依据业务、组织、所在位置、资产及技术等特性，定义信息安全管理系统之政策，且须：1.包含设定目标之框架，并建立有关信息安全之整体方向意识与行动原则。2.考虑企业及法律或法规要求，以及合约性的安全责任。3.建立策略性、组织性及风险管理之内容，使其信息安全管理系统得以建立及维持。4.藉以评估风险之标准应加以建立，风险评鉴之架构应加以定义。5.被管理阶层核准。C.定义风险评估之系统化方法1.选用一风险评估方法，并适合其信息安全管理系统、已判别之企业信息安全、以及法律法规之要求。2.设定信息安全管理系统之政策与目标，以降低风险至可接受程度。3.决定可接受之风险标准以及判别风险至可接受的程度。D.判别各项风险1.判别信息安全管理系统控制范围内之信息资产以及该等资产之拥有者。2.判别信息资产所受威胁。 3.判别该等威胁可能利用之脆弱性(Vulnerabilities)。4.判别信息资产若丧失机密性、完整性与可用性之各项冲击。E.评估各项风险：1.应加以评估安全措施失效时可能对企业之伤害，并将丧失机密性、完整性与可用性可能导致之后果列入考虑。2.根据与这些资产有关之主要威胁、弱点与冲击，评估这种失效实际发生的可能性及现行所实施的控制措施。3.预测各风险之层级，如高中低三种级数。4.决定风险是否可接受或需利用所建立之标准来处理。F.判别并评估风险处理与管理之选项作法；可能的措施包括：1.采用适当的控制措施，以降低风险。2.若风险完全地满足组织政策及可接受风险标准，则可在掌握状况下客观地接受该等风险。3.将风险转移至其它相关之机构，如保险公司、供货商。4.回避风险，等于视而不见，这是最不理想的措施。G.选择控制目标及控制措施以处理风险：适当的管制目标与控制措施应于BS7799标准之附录A的127项控管要点中加以选择，选择时应依据风险评估与风险处理过程之结论为基础加以判定。备考：BS7799附录A所列之各项管制目标与控制措施并非绝对的标准，亦可选择其它方法论之管制目标与控制措施。H.拟定一份适用性声明书将所选择之管制目标与控制措施其选择之理由应于适用性声明书中加以文件化。BS7799附录A中任何排除之管制目标与控制措施亦应加以纪录。I.所提出之残余风险需取得管理阶层之核准，信息安全系统亦需获得授权才能实施与操作。为什么需要信息安全？由于信息和支持作业、系统及网络都是重要的营运资产，资产的机密性、完整性、及可用性，攸关能否维系竞争力、现金流量、获利能力、及商业形象。组织本身与其信息系统，网络联机所面临的安全威胁不仅与日俱增，来源也相当广泛，包括计算机辅助的诈欺行为、间谍行为、蓄意破坏、毁损、水灾或火灾等，攻击来源如计算机病毒、黑客及其它手法等都愈来愈普遍、影响也越来越大，技术日益复杂。“风险管理的意义风险管理的目的并不是在百分之百的避免风险(还记得前面曾指出，风险不会100%消失吗？)，而是去了解会面临到那些风险，有那些是可以藉由适当的手段予以降低或将之移转，那些风险是无法规避，必须及早规划因应对策者。同时，风险管理的目的，也不是追求最小的风险，而是让组织选择所能容忍的风险水平，并排除无法承担的风险。换言之，风险管理是指与辨认、评估及处理风险有关的所有活动及方法。有效的信息安全管理制度并非要消弭所有的信息风险，而是协助组织辨认及评估他们在日常营运过程中所可能面临的风险，进而可以及早采取较佳的方法来管理这些风险，以强化组织的体质及竞争力。为什么需要风险管理现今各种组织面临的外在环境存在着许多不确定性，而在全球化高度竞争的时代中，产业变化快速，市场变化莫测，也潜藏着许多危机，使得风险无所不在。从高层营运策略到日常的营运管理，都必须要做风险管理。同时，机会常伴随风险而来，藉由建立风险管理体系，在风险发生的第一时间抢得先机(降低损失或提早避免)，也就多了一份机会。再者，因为许多组织面临的最大风险是不知如何管理风险，也不认为风险是可以管理的。甚至完全不知道有风险存在(还记得前面提过那些沾沾自喜的企业主吗？)或是知道有风险，却不知道如何去管理与执行。信息风险管理与信息风险评估之关连风险评估与风险管理风险评估有助于导入完善的风险管理。简单地说，ISMS是一套管理潜在信息风险的方法。所谓风险是资产由于外部威胁和内部弱点交互作用而可能导致的损害程度。在成本效益的考虑下，组织控制信息风险的投资应该和潜在的资产损失相关，也就是应该把有效的资源投入在解决最迫切需要的信息风险问题上。也就是透过合理的风险评估过程，让组织了解目前的信息风险等级，以决定采取哪些适当的手段来管理风险。这些手段包括技术性的控制系统和管理办法，用以达到避免、降低、转移或接受风险等目标。有效的风险管理须依靠良好的风险评估。ISMS的目标是透过一整体规划之信息安全解决方案来确保企业所有信息系统与业务之安全与正常运作。实务上，ISMS利用风险分析管理工具，结合企业资产列表、威胁来源的调查分析及系统安全弱点评估等结果，综合评估影响企业整体的因素，以订定适当的信息安全政策与信息安全作业准则来降低潜在的风险危机。同时是执行信息安全管理系统的关键成功因素。请先参考图3：风险评估与风险管理之程序。图3：风险评估与风险管理之程序上图为风险评估和风险管理的过程，也有些学者指出RiskAssessment应翻译成风险评鉴比风险评估为佳，但个人认为此乃见仁见智；评鉴一词固然较为精准，但评估却更为贴近一般使用者的认知。在风险评估的过程中，组织应先针对：A.组织内和信息安全有关的资产进行鉴别评价，B.然后针对鉴别出来的资产进行了解这些信息资产存在着哪些弱点，而又有哪些可能的威胁会利用这些弱点而产生，C.接下来评估当这些威胁产生时对组织的冲击有多大，对组织的正常营运会带来哪些风险，D.对所带来的风险进行排列并订出等级。在风险评鉴之后，我们己经知道了组织可能会遭遇哪些风险，而哪些风险是组织所无法接受的，接下来的是，针对这些无法接受的风险进行管理，A.首先，先了解组织目前己有的安全措施，B.再依鉴别出来的风险采取对应的安全控制措施，C.并订定相关安全控制措施的执行程序，然后按照既定的程序实施相关的活动，D.并定期检视残存的风险。ISO／IEC17799：2000标准中表示，组织的信息安全能否落实，下列常为关键因素：A.能反映营运目标的安全政策、目标及活动；B.与组织文化一致之实施安全保护的方法；C.来自管理阶层的实际支持和承诺；D.对安全要求、风险评鉴以及风险管理的深入理解；E.向全体管理人员和雇员有效推广安全的理念；F.向所有雇员和承包商宣传信息安全政策的指导原则和标准；G.提供适切的训练和教育；F.评估信息安全管理的绩效及回馈建议，以便进一步改进。风险评估的迷失花大钱可买安全？错!!如果多数信息产品真如广告所述，则使用相应的技术或产品应该可以避免信息安全相关之风险，那么问题出自于何处？关键的思维就在于，其实并「没有100%安全」这样的情况存在，科技技术终究有其局限性。举例来说，配备第一流科技的军队，仍然需要标准的操典与演训，才能发挥实效。此处借用信息安全专家BruceSchneier的名言：信息安全乃一流程，而非产品(InformationSecurityisaprocess，notproduct)。如果厂商仍然狡黠地辩称其产品依照实验室数据确实可达100%防护，建议你马上请他打道回府，别浪费大家的时间了。因为我们要用的产品是在现实环境中可用的，而不是放在实验室供着!!请大家回想一下几年前，密码学在信息环境中的应用探讨，一度还是显学，为何现在却很少听到呢？因为密码学所有的应用必须配合人员存取控制的落实，它无法单独自成一个应用环境，一旦其外围配合的作业出问题，英雄亦无用武之地。再举一例，某资安产品的防护能力及侦测敏感度很高，宣称可提高安全无虞，但安装后的实况是：使用者要求安全的环境又不想被打扰，大家一直抱怨系统过于敏感，造成假警报频传，系统管理员迫于无奈，只好将系统暂时予以关闭(有些人是将控制层级降低)；殊不知这是黑客所用的投石问路技俩，之前的假警报其实都是黑客所为，目的就是要让组织内部自动降低安全层级，以让其在发动攻击时，增加成功机率。另外一种是成功机率最高的手法，就是最典型的社交工程，可轻易绕过所有技术措施，直接获得使用账号及密码信息。这些都证明了科技无法解决人性在信息安全领域中的问题，也就是说我们永远要将管理人的议题放在风险评估中。信息垃圾一文不值?错!!对蓄意攻击破坏者而言，信息就是信息，纸本数据与电子文件一样好用，很多时候，尤其是对实体环境控管不良或是未落实信息分类管理的单位而言，在垃圾筒中的数据比计算机中的数据更有价值。再举一例，美国麻省理工学院有两位研究生曾做了一份研究，他们从二手计算机商处以不到1000美元的价钱批了158颗硬盘，在整理的过程中，他们找到了5000组以上的信用卡资料、病历表，个人与公司企业的详细财务信息，同时还有好几GB的个人电子邮件及色情档案。他们把这些发现写成一份「旧资料遗迹：磁盘清理研究」（RemembranceofDataPassed:AStudyofDiskSanitation）报告，并在IEEE计算机学会（IEEEComputerSociety）所发行的IEEE安全与隐私期刊（IEEESecurityandPrivacy）中发表。放心!!我们单位的规模不大，不会有人对我们有兴趣。错!!整个风险评估的范围不是只放在技术面而已，还须同时考虑营运的持续性才对。管理阶级的错误观念除了其本身的成见外，通常都是因为未获得足够的风险分析信息所致；另一方面，幕僚人员也应先了解其单位的关键风险所在，才能与管理阶级做充分的讨论。规模大小不是问题，重要的是它是否有利用价值!!尤其是政府机构，不能因为被列为C、D级单位就掉以轻心，即便不必采取与A、B级单位相同的控制模式，基本的防护措施仍应实施，否则若不幸成为黑客利用的跳板，其后果将不堪设想。鸡蛋不能放在同一个篮子中？不一定!!正因为各单位的人力、资源、预算有限，所以我们不可能同时改善所有缺失或风险，执行风险评估之目的正是希望能有效利用资源。让我们回想一下前面谈过有关风险的本质，你会发现了解背景远比使用那种科技或设备重要。试想，一个不能防止炸弹攻击的安全系统，并不代表它一无是处，可能用传统的门锁、墙壁来加强也可以!!正确的作法，应该是优先就风险评估后的结果，针对最弱的环节，提供深度的防御。同样的思考方式可用来考虑另一种情形：要把改进资源放在一个发生机率低的重大威胁？还是放在一群发生机率高的小缺失上呢？执行风险管理应注意事项建立管理政策：信息安全策略目标之首要考虑是，反应组织领导者对风险管理的策略意图与可接受程度，进而将之形成为管理政策，以作为提供商务往来对象及内部员工遵行之依据。例如：对信息环境建构的规划，经由信息技术执行各项业务之控管；或者是确定实施信息安全的范畴与顺序；投入的资源与部署的方法；以及最重要的－信息安全风险的可接受等级。遵行管理政策：待信息安全的策略方向与政策确定后，首要之目标即是依照既定之策略，逐步将组织与信息安全政策的遵行，达成一致性。并经由适当的信息风险评估之后，确认目前组织内的信息安全控制，可否满足安全政策的保护目标，由于投入强化控管之成本效益考虑，因此不可能全盘接收所有的控管，因此核心的处理方式为增强控管至「可接受之风险程度」，并将安全控管所需的技术与程序一致化。充实关键知识：请先看看以下案例：泰国的央行，曾于执行防火墙例行升级作业，关闭在线系统与启动备援系统的时段间，遭外部入侵成功。美国某银行其入侵侦测系统(IDS)，由于未定期更新入侵样态之数据库与执行IDS系统升级作业，遭黑客以瘫痪攻击程序(名之为Stick)使IDS瘫痪，丧失监控功能。高科技厂商的ERP系统其权限设计不当，使得商业逻辑下需互相制衡的权限，集中于一人手中，导致财务上的损失。程序开发人员将存取管理之密码或路径于程序代码中设定(HardCode)，造成密码分享，与数据取存目录外泄，针对订制开发的网络下单系统，此为国内常见的漏洞之一。凡此总总，皆无法单独归咎于技术或产品本身，而在于多数技术工具的使用导入时，未受到导入团队适当的说明与教育，以及如何应用安全技术工具相关的管理技术，这其中最难跨越的鸿沟在于「产业关键知识(IndustryDomainKnow-How)」。试想不了解网络银行放款、存款、转帐的方式，以及客户往来的需要，如何将网络银行防火墙的过滤规则，设定成可符合银行营运之需要？这也是国内曾发生防火墙失效的原因之一，所以技术方案、管理程序和知识的紧密结合，才是信息安全成功的核心。管理观念的建立比选用何种信息技术重要：美国从事信息安全的人员很喜欢把"SecurityProtocol"、"Need-to-Know"，以及"SecurityClearance"等后冷战时期的名词挂在嘴边，凡事讲究程序，诸事必形于文件。在系统建置的初期，所有人员的工作职责，权限必先规划清楚。这种态度其来有自。十几年前当因特网尚未成为数据交换的主流时，除了学术单位及少数机构，绝大部份的政府机关的信息共享及交换都建立在封闭系统之上。信息安全人员多由退休的军警或情治人员担任。这些老兵大都曾经经历过美苏冷战的洗礼。所拥有的近乎偏执的危机意识及实战攻防经验都大量地反映在他们所设计的信息安全管理体系之中。这个制度将人、科技及程序紧密的结合在一起，凡是新进入此一信息安全管理体系的组件，都必须经过层层检验。如新进的机器设备，未经规格检验、强化程序及弱点评估，不得轻易上线；新进人员的聘用，未经安全等级之调查、未签署保密协定，就算人力需求迫在眉睫，亦不得进入实体作业环境接触公司之内部数据。国内信息安全管理机制恰与国外相反，信息技术之运用开始蓬勃发展时，也正是各项信息安全产品、信息安全技术大量发展与成熟之际，惟国内之信息安全人员对于各项新产品与新技术之了解不足，同时对于信息安全之认知亦停留于技术层面，往往对于信息安全之管理层面未予以建立，或尚未落实执行，并将其视为无意义、浪费人力及时间之工作。以我们执行信息安全风险评估之经验中，多次发现数据库系统、应用系统预设帐号之密码，并未于初次安装后予以变更；系统权限虽做好控管，惟于网络芳邻之分享目录，处处可见未设定密码之机密数据；业务之需求而无相关配套措施，导致防火墙安全漏洞大开。由此可见，国内企业内部人员对于信息安全之认知与安全管理之程序，尚未落实于管理层面。此一现象可归因于国内的信息安全管理发展，并没有与美国相同的条件与历史背景，惟许多公司却大量使用已发展好的安全科技产品，如防火墙，加密产品，入侵侦测系统等，以为安装这些安全产品即能发挥安全管理作用，而无任何其它配套的管理机制。事实上这是种最危险的思考方式，安装了功能强大的防火墙，而未尽善良管理的责任，远比未安装任何防火墙还危险。而这些产品应只是整个信息安全体系下众多环节的一部份，而非信息安全体系最后的产出成果。任何信息安全产品的选购及信息安全技术的应用，都应放置在信息安全管理体系的架构下评估之，成本之浪掷事小，隐藏在其后的信息安全危机及法律责任才是最大隐忧。对风险评估的充分认知比盲目执行管理程序更重要回归到风险的本质：前面提到过风险的本质得知，任何实体世界可能发生的危险，数字世界都会发生！而且更令人可怕的是当这些危险事件发生时，企业主管通常都不知道，而且毫无警觉，反而是拥有公司最高的主机与信息系统的权限的信息系统管理人员得知而且他们还可以执行以及操作企业主管都不会但却攸关企业营运的敏感信息。难道是企业主不愿意编列资安预算，毫无风险概念？还是因为信息单位主管针对信息安全的风险没有善尽告知之责？还是媒体未尽倡导信息安全事件之责？这些可能都是原因，但若企业内部没有进行信息安全的风险评估，没有进行教育训练或相关的成本分析，企业主如何了解信息安全对企业营运及永续经营的重要性？掌握风险及其冲击才能做出正确管理：以企业组织熟悉的保险行为而论，大家为何愿意保险？因为每个人都有一把自我可以承受的风险标尺，知道要投入多少成本才可符合当事者的成本效益分析标准；但若当事者的认知不足，所谓的成本效益将会有很大的落差。状况1：目前保险公司已有开办「忠诚险」，但其保额与投保单位本身内部风险评估与管理的良窳与否有很大的关连。须知，保险是一种移转风险的管理程序，如果投保单位内部控制不良，没有采取身家调查、人事轮调、责任分工及其它相关的稽核机制等措施，则保险公司当然会限制其投保金额，要不然就是会请投保单位改善，甚至调高保费或不愿承保者也时有所闻！状况2：台北市某银行的大直分行，在半年内被抢劫两次，警方调查后发现，在第一次抢案发生后，就已建议业者于安全防护上应加强改进之处仍未改善，以致抢匪仍用相同的方法得手!!这时各位如果是保险公司的代表，是否还会承保呢？由于执行风险评估亦须先执行信息资产识别；而目前多数企业对于信息资产的价值几乎完全没有概念，也没有针对信息资产进行盘点、分类与鉴价，所以完全不知所以然或者人云亦云的规划资安设备，如同瞎子摸象的胡乱投医，仅求一个「心安」。而信息资产如果没有清查，便不知需要被保护的资产对象在哪里？是否有遗漏与疏忽？资产如果没有分类，便不清楚哪些资产的价值与重要性最高？需要特别的保护，采取「降低」或者「转移」风险？另外，有些资产虽有风险，但是因为价值风险不高，在资源有限状况下，其风险可以被「接受」。这个道理如同产险一样，价值越高的不动产其保费较高，立论简单也合理，但是在信息安全的领域，企业却不知要如何进行？目前面临的困难点：许多高阶主管没有信息安全风险的危机意识，仍将资安工作交由信息部门人员主导，进而影响信息安全的资源投入（预算、组织运作、资安人才）有限，恶性循环的结果使得信息人员无法独自或者运用组织力量完成信息资产的盘点、分类与鉴价，进而无法提出信息安全的成本效益分析来善尽告知责任让企业主充分了解资安与企业营运的重要相关性。另外，国内信息安全人才欠缺安善的培训，部门内也无专业与专职的资安人才，信息系统相关的维护厂商也非资安专业人材，国内资安厂商林林总总，参差不齐，如何选择合适的信息安全咨询顾问？各种信息风险评估作业程序之比较与建议BS7799BS7799标准可分为两个部份，第一部份为BS7799-1“信息安全管理之作业要点(Informationtechnology-Codeofpracticeforinformationsecuritymanagement)”，第二部份为BS7799-2“信息安全管理系统规范(Informationsecuritymanagementsystems-Specificationwithguidanceforuse)”，英国标准协会(BSI)于1993年成立工作小组讨论信息安全管理系统规范及信息安全管理之作业要点，并己经过了多次的改版，BS7799-1第一部份在2000年由ISO组织投票通过成为ISO／IEC17799：2000，目前第一部份ISO／IEC17799：2000(中华民国标准编号为CNS17799)及第二部份BS7799-2：2002(中华民国标准编号为CNS17800)为目前最新发行的版本。第一部份的内容提供了标准的使用者由各行各业讨论后所提出的可行方案，内容非常值得参考，但是第一部份的标准并无法用来验证。第二部份的内容简要的提出信息安全系统执行时需考虑的要点，同时这也是可用来验证的标准。BS7799-2鼓励采用过程导向以建立、实施、操作、监督、维持及改进组织信息安全管理系统之有效性。组织必须鉴别、管理许多活动方能有效运作。使用资源与管理而促成输入转换为输出之一项活动，可视为一个过程。通常一个过程之输出可直接地成为下一个过程之输入。信息安全系统和ISO9001：2000年版一致地采用”计划-执行-检查-行动”(Plan-Do-Check-Act，PDCA)之模式，应用于所有信息安全管理系统过程。请参照图1所展示信息安全管理系统如何采纳信息安全要求之输入及利害关系团体之期望作为输入端，经由各必要措施及过程，产生符合所需要求及期望的信息安全输出结果。BS7799包含了所有面向的最先进企业安全政策，从安全政策的拟定、安全责任的归属、风险的评估、到定义与强化安全参数及存取控制，甚至是防毒的策略。BS7799风险评估技术适用于整个组织、或者组织的某一部分以及独立的信息系统、特定系统组件或服务等，进行风险评估需要系统化考虑以下问题：依据BS7799风险评估方法论，风险存在于企业所有处理程序中，与竞争环境、法令符合性、保护IT系统的使用及其相关的企业活动、确保企业重要信息的可靠性与有效性、及诈欺有关，所以风险与组织政策及策略直接相关，如扩充、企业再造，紧急投资、开发新产品及服务、经营加值服务或改变供应链管理等。BS7799风险评估方法论是一个企业处理方法，其目的是为了建立ISMS（信息安全管理系统）之范围、差异分析、风险评估项目及程序；评估风险步骤含：识别ISMS资产、资产的价值、弱点及威胁，评估资产、弱点与威胁时可能产生的冲击及风险分析，如图3。COBIT背景：COBIT全名为(ControlOBjectivesforInformationandrelatedTechnology)，系由美国信息系统稽核与控制协会(InformationSystemsAuditandControlAssociation，简称ISACA)所发展的一套实用之信息系统稽核与控制标准。COBIT目前最新的版本为第三版，将信息技术控管与营运目标紧密联结，提供了一个涵盖阶段及作业程序的实际架构，及对细部工作的可行性和逻辑性的结构。在今日极度竞争和快速变迁的市场，许多企业的管理阶层对信息传送的功能要求越来越多：更好的质量、功能和操作接口与更佳的服务质量－而这一切都希望可以用更低的成本达成。然而，成功的企业必须承认，在享受信息技术所产生的潜在利益之余，亦须能了解并管理新科技伴随而来的风险。信息技术和其操作环境的多项变更突显了对信息相关技术风险管理的需求，因为重要的业务程序维持依赖于电子信息和信息技术系统的正常运作；同时也因层出不穷的信息系统灾害和电子诈欺而显得法令规范对信息控管上更加重要且日益严格。因此，现今信息相关技术风险管理应被视为企业管理的一项重点。而COBIT是针对营运目标制订的，其控制目标与营运目标紧密结合以供非稽核者亦可使用。控制目标系以作业程序为主的方式，配合企业再造的原则，于特定之阶段及作业程序，提供高层的控制目标，并提供定义及实行信息技术控管的指导原则，目前有二种主要的内部控制模式，一是美国贸易支持组织委员会(COSO)的「整体营运控制模式」以及英国贸工部(DTI)的「专注于信息技术控管模式」。COBIT参考此二种内部控制模式并将其联结，因此，COBIT的角色较像为管理的高层准则，而非只是系统管理的技术标准。管理阶层应该建立系统化的风险评估架构。这种架构应该将相关风险的规律评估纳入业务目标的成就，构成一种决定如何管理到一个可接受程度的基础。管理阶层应该引导风险减轻解决办法的确认及涉及确认的弱点，防护专家应该引导威胁确认，同时信息专家应该驱使控制筛选。应该藉由结构化的方法及熟练的风险评估员，来确认风险评估的质量。风险评估方法应该集中于风险基本要素的调查及介于它们之间的因果关系。风险的基本要素包括有形的及无形的资产、资产价值、威胁、弱点、安全设备、威胁的后果与可能性。风险的确认程序应该包括定性，以及在适当的地方，定量的风险等级，并应该从管理阶层的脑力激荡、策略性规则、过去的稽核与其它的评估而获得。风险的评估应该考虑业务、管制、法定、技术、贸易伙伴及人力资源的风险。COBIT的运作架构如图4。营运活动营运活动1资料1资料2应用系统3技术4设施5人员信息COBITM1M1作业流程之监控M2评鉴内部控制的允当性M3是否有独立的质量保证M4稽核独立监控信息信息11效能2效率3机密4真确5可用6遵行7可靠DS1DS1定义服务层次DS2外包服务管理DS3绩效及容量管理DS4确保持续服务DS5确保系统安全DS6分析与归属成本DS7使用人员的教育及训练DS8客户支持及咨询DS9装备管理DS10问题及意外处理DS11数据管理DS12设施管理DS13操作管理交付与支援P01P01拟定策略与规划P02拟定信息结构P03决定技术导向P04厘定组织及其关系P05项目之投资管理P06沟通管理的目标与方向P07人力支持管理P08确保符合外部需求P09风险评估P10项目管理P11质量管理规划与组织AI1AI1确认解决方案AI2应用软件的获得与维护AI3技术架构的获得与维护AI4开发与维护信息程序AI5安装及认证系统AI6变更管理取得与建置图4:COBIT运作架构（资料来源：COBIT3.0）NISTNIST全名为NationalInstituteofStandardsandTechnology，成立于1901年，为美国贸易部科技管理联邦机构，NIST任务为发展与促成评估、标准及技术，以提高生产力、促进贸易及改善生活质量。为了符合NIST任务目标，有下列四项合作计划：NIST实验室：指导研发国家科技基础建设，为美国产业界提供相关评估、标准、产品与服务。Baldrige国内质量计划：促进美国国内制造业、服务公司、教育机构、健康管理业者最佳绩效，指导计划及管理年度MalcolmBaldrige国家质量奖，以辨识最佳绩效与质量成就。大量扩充伙伴：全国性局域网络中心，对较小规模制造业者提供技术及企业协助。高阶科技计划：用以加快创新技术之发展，且为了开通国家利益，与区域伙伴以共同基金方式研发。NISTITSO（InformationTechnologySecurityOffice）负责NIST信息安全技术议题，其功能系为NIST的管理及科学环境，建置及测试信息安全政策、程序及技术。ITSO也投资于计算机安全部门，报导安全事件或讨论与NIST有关之IT话题。依据1987年的计算机安全法令，IT实验室计算机安全部门负责为敏感性联邦信息系统及产业工作，发展安全标准及指引来帮助改善商业信息科技产品，这个部门的重要工作在于密码标准及应用、技术安全、安全管理及安全测试。所以，ITSO的好处来自于可接近领域重要专家，而计算机安全部门的好处在于有个可实行研发指引的环境及贡献它的操作经验。NIST风险评估方法论（RiskAssessmentMethodology），将信息系统风险评估次序性的分成9个步骤，如图5说明如下：系统描述：以硬件、软件、系统接口、数据与信息、人员及系统任务为输入项目，而产出系统范围、系统功能、系统与数据之重要性及敏感性。威胁识别：以系统攻击记录、信息机构如NIPC，OIG的数据为输入，而产出威胁列表。弱点识别：以上次风险评估报告、任何稽核评语、安全需求及安全测试结果作为输入，产出潜在弱点列表。控制分析：以现行及未来计划之控制机制为输入，产出现行及未来计划控制机制之列表。决定可能性：以威胁动机、威胁能力、弱点本质及现行控制机制为输入，产生可能性等级。冲击分析：依完整性、可用性及机密性之破坏面，分别以冲击分析任务、重要资产评估、数据的重要性及敏感性为输入，产出冲击等级。决定风险：以采掘威胁的可能性、冲击的大小及现行或未来适当的控制机制为输入，产出风险及其相关层级。控制建议：产出建议的控制机制。产生文件：产出风险评估报告。A.系统描述系统范围、系统功能、系统与数据之重要性及敏感性A.系统描述系统范围、系统功能、系统与数据之重要性及敏感性硬件、软件、系统接口、数据与信息、人员及系统任务系统攻击记录、信息机构系统攻击记录、信息机构威胁列表B.威胁列表B.威胁识别潜在弱点列表上次风险评估报告、任何稽核评语、安全需求及安全测试结果C.潜在弱点列表上次风险评估报告、任何稽核评语、安全需求及安全测试结果C.弱点识别现行及未来计划控制机制列表现行及未来计划之控制机制现行及未来计划控制机制列表现行及未来计划之控制机制D.D.控制分析威胁动机、威胁能力、弱点本质及现行控制机制威胁动机、威胁能力、弱点本质及现行控制机制可能性等级E.可能性等级E.决定可能性冲击等级F.冲击分析冲击等级F.冲击分析完整性破坏、可用性破坏、机密性破坏冲击分析任务、重要资产评估、数据的重要性及敏感性风险及其相关层级采掘威胁的可能性、冲击的大小及现行或未来适当的控制机制风险及其相关层级采掘威胁的可能性、冲击的大小及现行或未来适当的控制机制G.决定风险G.决定风险建议控制机制H.建议控制机制H.控制建议风险评估报告I.风险评估报告I.产生文件图5信息系统风险评估方法论（数据来源：NIST）适用性说明：实际上有很多种方法被用来评估风险，评分系统是其中一种决定优先级有用的方法，这种评分方法是根据技术的复杂性。控制程序的使用程度，及财务损失等变量作为风险因素来进行评估，以上这些变量不一定可以直接衡量，利用这些风险值互相比较来决定执行风险管理的工作时间表。另一风险评估方法是运用判断，使用这种方法所作的决策通常根据高阶主管的指示、过去的认知、业务的变化等。读者应根据各人所处环境的不同，以及主客观条件的不同等因素，选择适合自己组织的风险评估方法与信息安全管理系统的建置程序。表1即针对本章所提之三种信息安全标准，整理其异同之处如下：信息安全标准规范BS7799COBITNIST发展国家英国美国美国服务对象各产业界各产业界，大多为会计师事务所。各产业界发展目的提供管理要项、控制目标及方法，确保信息之机密、完整及可用性。1管理、控制与信息：各项作业程序及控管目标2相关技术稽核：以成本为考虑并提供内部稽核指引。促进评估、标准及技术，以增加生产力、促进贸易及提升生活质量。信息安全目标机密性、完整性、可用性强调信息的效能、效率、机密、真确、可用、遵行与可靠。针对信息系统之机密性、完整性、可用性控件目10个管理要项、36个控制目标、127个控件目。4大阶段、34个高阶控制目标、318个细部控制目标。9个步骤信息资源分类信息资产、软件资产、物质资产及服务。数据、应用系统、技术、设施及人员。硬件、软件、系统接口、数据与信息、人员及系统任务。风险评估1评估信息安全漏洞对信息设备带来的威胁和影响及其发生的可能性。2对资产价值/威胁/弱点列举相关项目、提供风险评估系统化考虑因素（R=AVT）。1由管理阶层的脑力激荡、策略性规则、过去的稽核与其它的评估进行。2以受调查区域暴露于风险定量及或定性的测量。以发生威胁的可能性等级（P值）、冲击等级（I值：完整性、可用性及机密性破坏）决定风险（R=PI）。风险管理以可接受的成本，确认、控制、排除可能影响信息系统的安全风险或将其危害最小化。1实施保护与控制的成本效益分析，确保残余风险的正式纳入。2提供信息管理成熟模式，建立对风险的评估、监督及控制之机制。系统威胁、弱点识别，控制及冲击分析，建议控制并产生评估文件。是否成为ISO标准Part1部分(ISO17799)无无表1：相关信息安全管理标准比较分析结论强化风险管理与应变能力。当企业信息之运用、环境或目标更迭，则需配合适当评估政策或管理程序的调整，以及技术平台之调整。目前欧美先进国家的信息安全风险管理已不仅限于安全技术与管理，而强化其计算机安全事变的因应与掌握能力，因此所谓的「事变因应机制(IncidentHandling)」便应运而生。然而，良善完备的事变因应，建构在不断地稽核、监控与对法令的娴熟程度。所以各组织体系针对信息安全风险的终极目标，除了信息安全管理体系的建立之外