作者以提供流程与管理顾问服务的方法论为基础,参考BS7799国际标准的观念,发展出完整的风险评估方法论,并协助多家公司建立信息安全体系,以下分别说明定义信息安全体系的范围、进行风险评估、决定风险可接受水平以及选择与设计控制措施的做法。
风险评估程序:闪电法
作者创作闪电法“风险评估程序(Risk Rvaluation Procedure)”大致上可分成几个步骤,首先在风险评估之前,必须先分析企业营运模式,藉以决定整个信息安全体系的范围,然后通过分析企业信息资产结构,清查所有信息资产,予以分类,并了解作业流程及安全控制现况,接下来必须针对每个信息资产类别,评估资产价值高低,资产本身弱点的面临威胁的程序,并依据评估结果,计算信息资产风险水平,对于各项资产高低不同的风险水平,则须依据“风险水平重大性理论(Theory of Risk Materiality)”决定安全控制的程序,并采用作者依据BS7799国际标准的RA Tool的精神自行开发的工具,为每一项资产挑选应予控制的项目,并制定相关信息安全标准,作业程序,窗体等,最后再针对目前无法改进的风险项目,制定“风险因应对策”,以下分别说明每个步骤的简易内容。
营运模式与安全体系范围
从营运模式中必须分析企业经营环境概况,与下游客户及上游供货商的关系,核心部门及作业流程,支持性部门扮演的角色以及管理单位决策重点,然后依据企业策略或是面临的挑战,确定信息安全控管首要目标,次要目标以及整个体系运作范围。
信息资产结构与资产清单
“信息资产结构图(Struture of Information Assets,SIA)”是作者从Arthur Andtesen“商业信息架构” (Business Information Framework,BIF)的方法论以及网络拓朴图的概念衍生而来,BIF堪称全球分析信息系统配置及信息流的最佳方法,SIA则进一步针对信息资产及关系结构做更明确的呈现,通过信息资产结构图,可在弄清企业有哪些信息资产项目及类别,包括硬件、软件、数据、文件、人员等项目,同时确认信息资产之间的关系,有助于了解整个作业流程、目前有哪些控制措施以及执行情形,因而信息资产结构图是企业掌握信息资产状误解的重要工具。
作业流程与信息作业控制现况了解
之前已提到,在确认企业信息资产结构状况后,必须进一步了解作业流程以及各项控制措施执行的现况,此部分可运用前面提到的流程设计(Process Mapping)方法及流程图,为了协助企业内部进行有效沟通以及日后企业自行运作信息安全体系考虑,建议在了解作业流程及控制现况时,产生相关辅助性文件,如“流程及控制说明文件(Description of Process and Control,DPC)”,根据作者经验,DPC的功用很像ISO文件,对于资产安全体系持续运作扮演很重要的角色。
资产价值、弱点、威胁的评估
藉由信息资产结构图,可以得到企业所有信息资产的清单,予以分类并产生“信息资产报告(Information Assert Report,IAR)”,再加上了解作业流程以及控制措施现况时,会了解到各项信息资产的价值,本身的弱点及可的威胁,接下来可以用“信息资产价值评估表(Information Asset Value Evaluation Template,IAVET)”以及“信息资产弱点评估表(Information Asset Volunability & Threat Evaluation Template,IAVTET)”这两项工具,评估每一项资产的价值、弱点值、威胁值,作为计算风险水平的基础,这
项目经理胜任力免费测评PMQ上线啦!快来测测你排多少名吧~
http://www.leadge.com/pmqhd/index.html
