4 通用风险对策矩阵(General Risk Treatment Matrix)
在计算机每项资产风险值后,必须决定各个重大性及可能性等及的资产的风险对策,因而作才从或有损失会计处理原则,类推出通用风险对策矩阵,作者依据经验,将控制措施依效果区分为三大类:
--- 预防控制:人员执行作业后作业之前,必须先完成确保资产安全事件不会发生的控制程序,获得核准后才能开始工作。
--- 一般控制:人员执行作业之前,无须完成确保资产安全事件不会发生的控制程序,但必须适时回报主管,或是留下记录以供查核验证。
--- 补偿控制:以事后定期检查的方式确认人没是否依规定执行工作,或是通过教育训练,增强人员的信息安全认知。
接下来针对不同的风险值,订定信息资产控制程序,基本上区分成四种控制程序:
--- 预防控制:对于价值搞、风险发生可能性高的资产,应采取预防控制。
--- 一般控制:对于价值高、风险发生可能性为中等,或是价值中等而风险发生可能性高的资产,应采取一般控制措施。
--- 补偿控制:对于价值高但是风险发生可能性为低,或是价值与风险发生可能性皆为中等,而风险发生可能性为高但是价值低的资产,可采取补偿性控制措施。
--- 暂不控制:其他风险值的资产则可以暂不控制。
选择控制
在得到各项资产风险值后,必须先决定每项资产应予控制的项目,再依据通用风险对策矩阵,决定每一个控制项目的方式以及必须达成的效果,因而如何选择每项资产应彩的控件目,是信息安全体系导入另一个重要问题。
在作者的项目经验中,发现BS7799同际标准所提供用来选择控制的工具“Risk Analysis Tool,RA Tool”,在实务上可行性不高,因而作者依据RA Tool的逻辑,另外开发了一套工具软件,称之为“超简单工具(Super Sample Tool,SST)”,通过此项工具,只要输入各资产适用的弱点,威胁项目以及风险值,系统立即产生资产应采用的控件目以及控制程度(须达成效果的数据等)。
风险相应计划与信息安全标准、作业程序、窗体:
决定每项资产应采用的控件目以及控制程序后,企业必须参考信息安全专定意见,制定详细的信息安全标准、各项作业程序以及窗体,在制定这些细项规则时,必须确定每个控件目皆达到风险对策矩阵中要求的控制程度,如果目前企业由于经营环境限制,无法达成控制程度,必须针对这些无法降低水平的风险项目,拟定改善计划,即“风险相应对策(Risk Treatment plan)”,以便在可预期有未来将到可接爱水平,减少意外事件对企业造成的伤害。
信息安全体系与运作
信息安全体系在建立之后,必须持续维护运作,以确保效果,然而企业在建立项目结束之后,常常因为不知道该如何维护信息安全体系,一段时间之后,资产安全体系去了原有效果,企业又回去高风险的经营环境,这此,作者设计出特有的“风险评估作业程序(Risk Evaluation Procedure,REP)”,协助企业建立信息安全组织,加上风险分析技术移转,进供资产安全体系动转辅导以及定期检查与意见提供等方法,协助信息安全体系在企业内部真正落实。
项目经理胜任力免费测评PMQ上线啦!快来测测你排多少名吧~
http://www.leadge.com/pmqhd/index.html
