作者以提供流程与管理顾问服务的方法论为基础，参考BS7799国际标准的观念，发展出完整的风险评估方法论，并协助多家公司建立信息安全体系，以下分别说明定义信息安全体系的范围、进行风险评估、决定风险可接受水平以及选择与设计控制措施的做法。

风险评估程序：闪电法

作者创作闪电法“风险评估程序(Risk Rvaluation Procedure)”大致上可分成几个步骤，首先在风险评估之前，必须先分析企业营运模式，藉以决定整个信息安全体系的范围，然后通过分析企业信息资产结构，清查所有信息资产，予以分类，并了解作业流程及安全控制现况，接下来必须针对每个信息资产类别，评估资产价值高低，资产本身弱点的面临威胁的程序，并依据评估结果，计算信息资产风险水平，对于各项资产高低不同的风险水平，则须依据“风险水平重大性理论(Theory of Risk Materiality)”决定安全控制的程序，并采用作者依据BS7799国际标准的RA Tool的精神自行开发的工具，为每一项资产挑选应予控制的项目，并制定相关信息安全标准，作业程序，窗体等，最后再针对目前无法改进的风险项目，制定“风险因应对策”，以下分别说明每个步骤的简易内容。

营运模式与安全体系范围

从营运模式中必须分析企业经营环境概况，与下游客户及上游供货商的关系，核心部门及作业流程，支持性部门扮演的角色以及管理单位决策重点，然后依据企业策略或是面临的挑战，确定信息安全控管首要目标，次要目标以及整个体系运作范围。

信息资产结构与资产清单

“信息资产结构图(Struture of Information Assets,SIA)”是作者从Arthur Andtesen“商业信息架构” (Business Information Framework,BIF)的方法论以及网络拓朴图的概念衍生而来，BIF堪称全球分析信息系统配置及信息流的最佳方法，SIA则进一步针对信息资产及关系结构做更明确的呈现，通过信息资产结构图，可在弄清企业有哪些信息资产项目及类别，包括硬件、软件、数据、文件、人员等项目，同时确认信息资产之间的关系，有助于了解整个作业流程、目前有哪些控制措施以及执行情形，因而信息资产结构图是企业掌握信息资产状误解的重要工具。

作业流程与信息作业控制现况了解

之前已提到，在确认企业信息资产结构状况后，必须进一步了解作业流程以及各项控制措施执行的现况，此部分可运用前面提到的流程设计(Process Mapping)方法及流程图，为了协助企业内部进行有效沟通以及日后企业自行运作信息安全体系考虑，建议在了解作业流程及控制现况时，产生相关辅助性文件，如“流程及控制说明文件(Description of Process and Control,DPC)”,根据作者经验，DPC的功用很像ISO文件，对于资产安全体系持续运作扮演很重要的角色。

资产价值、弱点、威胁的评估

藉由信息资产结构图，可以得到企业所有信息资产的清单，予以分类并产生“信息资产报告(Information Assert Report,IAR)”，再加上了解作业流程以及控制措施现况时，会了解到各项信息资产的价值，本身的弱点及可的威胁，接下来可以用“信息资产价值评估表(Information Asset Value Evaluation Template,IAVET)”以及“信息资产弱点评估表(Information Asset Volunability & Threat Evaluation Template,IAVTET)”这两项工具，评估每一项资产的价值、弱点值、威胁值，作为计算风险水平的基础，这两项工具是作者自行开发，全球独一无二的方法论。

风险水平重大性理论

在得到每项资产风险值之后，由于风险值有高有低，在成本与效益考虑下，企业必须决定可接受风险水平，并针对风险值高于此风险水平的资产项目设计适当控制措施，所以可接受风险水平的决定在建立信息安全体系中扮演相当生要角色，然而目前在信息安全领域，不论是学术界或实务界都未能针对如何决定可接受风险水平提出合理的观念或方法，为此作者藉用会计原则中对于会计确认的门槛，与或有事项会计处理以及东方学派的财会计理论，构思出全球独一无二的“风险水平重大性理论”，并以数学推论方式强化立论基础，作为企业决定名项资产控制方式的依据。

1 资产安全事件对企业造成损失的决定方式

信息安全体系目的在于防范资产安全事件对企业造成的损失，所以对于会造成愈大损失的资产或事件，愈要加强控管，依据BS7799国际标准于会造成愈大损失的资产或事件，愈要加强控管，依据BS7799国际标准的看法，资产价值愈高者，遭受破坏时对企业造成的损失愈大，而资产价值之高低主要由资产的机密性、真确性、可用性决定，另一方面，BS7799认为资产本身的弱点，在面对的威胁愈大时，造成损失的可能性愈高，故资产安全事伯对企业造成损害的期望值，是由资产的机密性，完整性，可用性，弱点及威胁这五项因素所组成。

2 一般公认会计原则

信息安全事件对企业造成损失的期望值的会计处理，可以从两个角度来看，一个是或有事项的处理，一个是会计确认的重大性：

---或有事项(Contingencies)

所谓或有事项，是指未来某件事的发生，可能为企业带来利得或损失，也就是具有不确定性，针对或有损失部分，会计处理主要视损失可能性以及能否合理估计而定，只有当或有损失很可能发生，且金额能合理估计时，才给、予以估计入账，或是在财务报表上附注揭露。

从信息安全事件的角度来看，资产价值愈高，表示与企业的获利或损失的关联性愈强，造成的损失金额也愈能合理估计，例如就提供电信及网络服务的宽带业者而言，收入来源为客户使用其服务的次数与时间，因而网络联机的价值最高的信息资产，如果此项资产遭到破坏，导致网络联机的中断，可以依据宽带业者过去的营运数据，从中断长短来合理估算损失金额。

其次，信息安全事件发生概率，主要由信息资产本身的弱点与面对的威胁决定，因而弱点与威胁愈大者，损失的可能性就愈高。

--- 会计确认的重大性门槛(Materiality)

就会计信息而言所谓重大性是指当一项会计信息被遗漏或错误表达时，可能使依赖该信息的人所做的判断受到影响或改变。换言之，只要该信息会影响到投资人决策，即为重大信息而应予表达，通常如果属于不寻常、不适当，或属于导致未来情况改变的预兆，皆为重要事项，从信息安全角度来看，如果企业缺乏适当控制措施来预防资产安全事件造成的损害，代表企业经营环境风险比较高，如此将会降低投资人对其股票价值的评价，因而资产安全事件可能造成的损害就应予揭露，而且从内部控制角度来看，也就予适当的控制。

前而已说明，信息资产遭破坏对企业造成损失的高低，是由资产的机密性、真确性、可用性决定，而破坏发生的概率，则是由资产本身的弱点，与面对的威胁决定，因而从重大性角度来看，资产安全事件对企业造成损失的重大性，可以用资产价值的重大性以及弱点与威胁的重大性代表。

3 信息资产风险重大性的决定

在引进会计原则后，信息资产风险重大性可拆成三个部分来决定：

---第一部分是信息资产的机密性、完整性、可用性、弱点、与威胁五个项目权值的决定。此部分是使用作者设计的“信息资产价值评估表Informarion Asset Value Evaluation Template,IAVET”以及“信息资产弱点评估表Informarion Asset Vulnerability & threat Evaluation Template,IAVET”这两项目工具，由企业参与评估而决定，这两项工具是以资产价值的理论，弱点权值理论以及威胁权值的理论等三个理论做出来的。

---第二个部分是资产价值重大性以及损失实现的可能性，这两个数值是以公式计算出来的。

---第三个部分是风险水平重大性门槛，是依据会计原则中或有损失及会计确认的重大性处理原则决定。

目前作者以质化方式划分重大性等级，在信息资产价值部分，C、I、A三项指标中，至少有两项重大性为高，且另一项重大性为中等以上者（相加之值为8或9者），叛定其整体价值为高，而C、I、A三项指标中，至少有两项重大性为低，且加一项重大性为中等以下者(相加之值为3或4者)，叛定其整体价值为低，至于C、I、A三项指标的数值不属于其他二者(相加之值为5、6、7者)，叛定其整体价值为中。

就风险可能性部分，威胁与弱点两个项目中至少有一项其可能性为高，且另一项之可能性为中等以上者（相乘之值为6或9者），判断其风险可能性为高。威胁与弱点两个项目中至少有一项其可能性为低，且另一项这可能性为中等以下者（相乘之值为1或2者），判断其风险可能性为低，至于威胁与弱点相乘之数值不属于以上二者，判断其风险可能性为中。

【 发表评论 0条 】