信息资产
从财会角度来看,资产是指企业由于过去的交易而获得,具有未来经济效益的事物,例如企业花费巨资购买机器设备,或是取得某项专利技术,可以为企业制造产品,创造收入及获利,从营运角度来看,任何对于企业营去有帮助的都算是资产,例如计算机系统及设备等,企业必须通过这些系统设备才能处理客户订单,所以也是重要资产,只要认定为资产,必然有其价值,不论有形无形,都必须列清单予以保管,然而过去资产管理重点放在有形资产上,例如现金、厂房、办公室、机器设备、原材料等,比较少针对无形资产列账控及盘点。
从信息的角度来看,除了计算机设备外,有许多无形资产对企业营也非常重要,如信息系统、网站系统、软件工具、交易数据及客户数据、甚至是信息人员等,都是公司非常重要的资产,也需要列示清单及管理,所以在信息安全方法论中,将资产分为以下五类:
* 资料:主要指电子形式的档案,例如:客户数据、交易数据、软件程序原始码等。
* 文件:指书面文件,例如会计传票、系统开发文件、使用手册、部门年度计划、部门管理办法、窗体凭证等。
* 软件:例如应用软件、操作系统、程序开发工具等。
* 硬件:包括服务器、个人计算机、打印机、传真机、电话、磁带及其他相关外围设备等。
* 人员:信息部门主管、数据库管理员、操作系统管理员、网络管理员、网站设计人员、程序维护人员、机房管理员、电子邮件系统管理员、防毒软件管理员、防火墙管理员、行政助理人员等。
从信息安全与风险管理角度来看,信息资产须适当分类,标示,储存及保护,并明确划分保管责任,信息资产须定期盘点及更新,信息资产之标示,使用,传递及保管须有相对应的控管程序。
弱点与威胁
如同前面所提,弱点指的是资产本身脆弱的地方,就信息资产而言,弱点可能以下列形式出现:
* 资产本身会受到破坏,例如有形资产的实体,一旦实体损坏就会丧失功能,所以必须保护资产实体。
* 资产一旦被其他人取得,很难排除或发现其他人使用,例如计算机软件,他人取得执行程序可以安装在自己的计算机使用,因而衍生知识产权问题。
* 资产可以开放修改或调整,例如系统软件的程序原始码,划是主机系统设定,既然可以修改或调整,就有正确性问题,系统软件原始码版本不正确,会导致交易处理时发生错误。
* 资产数量有限,例如银行使用的大型IBM主机,一旦毁损,可能必须由美进口才能取得替代设备,因而重要计算机设备有可用性(Availahility)的问题。
*资产必须是完整的才能发挥效用,例如消费者透过网络购买商品,在网站输入交易数据或信用卡数据,必须完整传送到厂商订单系统或数据库,整个交易才会获得承认,因而输入的交易数据有完整性的问题。
弱点本身并不会自己引起损害,如果没有威胁,损害就不会发生,例如计算机设备本身虽然有实体,但是不会无缘无故自己燃烧起来,但是资产本身的弱点,会成为组织中信息安全的缺点或漏洞,若不能有效控管这些缺点或漏洞,那到威胁就可能利用弱点对资产造成危害,并造成企业损失,所以弱点与威胁就可能利用弱点对产造成危害,并造成企业损失,所以弱点与威胁实为一体两面,例如资产实体为易燃物,其面临的威胁就是火灾,两者合起来就是企业资产因火灾而损坏的概率,再乘上资产价值,可以得到预期损失,也就是企业承受的风险。
基本上,从信息资产角度来看,威胁大概可以分成以下几个来源:
* 天然灾害:例如雷击、地震、水灾以及非人为因素的火宵等。
* 人为恶意破坏:例如偷窃,抢夺、人力敲打等。
* 技术问题:例如机件故障,流得超载而引发网络断线或系统中断等。
* 意外事件:例如车祸等意外事件所造成的破坏。
控制措施可以保护资产弱点、减少威胁、降低风险,所以针对重大风险项目,必须设计适当控制措施。例如有实体的信息资产(如计算机主机),可以放置在设有安全系统的机房内,如此资产弱点就会比较不明显,而计算机主机遭窃或遭到恶意破坏的威胁也会减轻,其他控制措施还有像安装网络防火墙,防毒软件,不断电系统,或是加强信息安全教育训练等。
然而所谓控制措施只是针对个别信息资产或风险项目,而不是企业整体风险,因此在设置控制措施时除了考虑成本效益,还要顾及彼此的关联性及互补性,以英国建立的国际信息安全标准为例,完整的信息安全架构(Information Security Management Structure,ISMS)包含十个项目,详细内容请参考BS7799发行的资料:
*信息安全政策
*信息安全组织
*信息资产分类与控管
*人员安全
*设备与环境的控管
*通讯与作业程序控管
*系统发展与维护控管
*存取控管
*企业永续经营管理
*遵循控管
在这个管理架构中,我们可以看到许多并不是针对特定资产或风险的控管项目,但是对于企业整体信息安全有很大影响,如管理层对于信息安全的看法及态度,外来单位存取组织内信息处理设施时的安全管理,委外加工处理时相关信息的安全管理,降低人为错误,偷窃,欺骗或设备误用的风险等,此外整个架构还强调企业必须思考如何在发生重大系统失效或人为疏失时,不会因此中断企业活动,且能保护企业关键流程持续运作,除了将损害降至最小外,在事后还能从中学习并监督以后类似事件是否发生,另一方面还要顾及避免触犯任何刑事或民事法和已成文的规范,合约义务及信息要求等。
建立信息安全体系
根据BS7799方法论,整个信息安全体系的建立可以分为六个步骤:
* 定义信息安全政策
* 定义信息安全体系范围
* 执行风险评估程序
* 决定风险可接受水平
* 选择与设计控制措施
* 提出适用性声明
【 发表评论 0条 】