来的情形。
-用途:用来分析企业营运对信息系统的依赖程度、信息系统架构的复杂度、评估信息作业的风险点,包含在信息处理的过程当中,可能会发生未经授权信息作业的影响。
-搭配对象:信息风险矩阵、信息安全体第六、信息作业控制措施。
5 信息资产架构图(Information Assets Framework)
-此为作者由商业信息架构图衍生而来的图形,是作者自创的信息安全方法论。描述企业所有信息作业会用到的硬件、软件、数据、文件,使用者、维护人员与信息硬/软件之间的关系,同时可以藉此进一步了解各项信息作业执行及控制的情形,找也有风险的信息活动。
-用途:盘点及统计企业硬件、软件、文件、数据、人员五大类信息资产,分清信息资产之间的关联性和信息作业控制现况。
-搭配对象:与信息安全体系搭配使用。
6 系统功能架构图(System Function Framework)
-描述流程执行的过程中,由系统处理的交易或功能以及系统功能范围外,由人工操作补强的项目。
-用途:显示系统功能对于作粘流程的贡献、系统功能的范围以及用来弥补系统功能不足的人工操作。基本上比较良好的应用系统都会有核心架构,对于新增功能客制化的范围有一定的限制,所以当系统功能无法完全满足作业需求时,必须设计补偿性的人工操作,以避免系统无法发挥预期的功能。
-搭配对象:系统模块功能,教育训练数据。
7 控制点流程图(Control Point Flow Chart)
-描述流程中存在有风险的作业项目和项目可能出现的错误及错误对作业的质量、时间、成本的影响,还有防范错误发生的相关控制措施。
-用途:分析各作业项目可能出现的错误,分析错误发生时可能对企业造成的冲击,协助管理者思考应该设置哪些控制措施,并评估控制措施的是否有效以及控制的成本效益,将企业可能遭受到的损失降到最低。
-搭配对象:绩效管理制度、内控内稽制度、项目管理制度等。