资讯安全风险分析步骤.pptVIP

第一篇 第一章：資訊系統的挑戰與契機 第二章：資訊系統的策略性角色 第三章：資訊系統對組織與企業流程之　　　　影響 第四章：資訊科技與管理決策 第五章：資訊社會議題：資訊倫理 第六章：資訊安全管理 本章大綱 前言 企業安全管理與企業策略 風險評估與資訊安全政策的制定 防駭入侵 防毒要領 備份與復原 結論 前言 資訊安全管理的重要性 民國九十年五月二十一日 東方科學園區大火 民國九十年九月十七日 納莉風災重創北台灣 美國911事件 企業安全管理與企業策略 資訊安全管理的目的 保障企業資訊系統的正常運作 保護企業的專屬資訊的機密性及完整性 資訊安全規劃的目的 尋求資訊安全資源的最適組合(portfolio) 達成企業資訊安全策略的目標 找出企業可以接受的資訊風險水準，並尋求適當的安全管理對策 企業資訊安全管理的現況 資訊主管常面對IS上線時限的壓力 需在資訊安全的控管上作出妥協 企業資訊安全控管措施無法確切落實 使用者部門的阻力 IT人員需扮演救火隊，卻力不從心 有效的資訊安全控管 需結合資訊部門及使用者跨部門間的配合 如何喚起企業高階主管對資訊安全議題的重視? 企業資訊安全政策與企業策略的整合規劃 企業資訊安全管理的目的 取捨成本效益及風險，建立適當的資訊安全水準 如何決定企業的資訊安全水準？ 依本身所處的產業特性 企業經營環境所可能面對的資訊安全風險 資訊安全事故的可能損失 企業的風險策略 應與企業策略相互配合 企業資訊安全水準的策略規劃 企業資訊安全與企業競爭定位的整合 企業的資訊安全管理 消極：資訊保護活動 積極：與資訊搜集、資訊管理、及資訊傳輸甚至資訊阻礙的可能性相結合 現代企業的資訊安全 可由消極的保護到以「安全」來建立策略競爭優勢的積極思考 風險評估與資訊安全政策的制定(1/2) 企業資訊安全政策 企業如何規範其敏感資訊的管理、保護和散佈的一組規則及實務 其目的是在維持企業資訊系統的正常運作及保護資訊資產的價值 其常見的形式依企業管理活動的層級，可分為下列三種 政策(policy)：策略目的及原則 標準(standard)：具體目標 程序(procedure)：政策的具體執行規範 風險評估與資訊安全政策的制定(2/2) 制定策略性資訊安全政策的經驗法則 最易入侵法則：平均安全取決於最弱的環節 適當防護法則：錯失與資產價值對稱 有效對應法則：有效、易用、適切 風險 即「威脅(threats)、弱點(vulnerability)及資產價值(assets value)的總合」 或指：威脅真正發生的機率 風險評估方程式 相對風險(R)=資產價值(A) * 威脅(T) * 弱點(V) 資訊安全風險分析步驟 資訊資產識別 找出企業重要的資訊資產並區分其重要程度 資訊安全風險分析 設法了解資訊資產可能面對的安全威脅及可能的損失 威脅對策矩陣分析 找出減少資訊安全弱點的方法，並分析其可行性及成本效益 殘餘風險處理 對於未能有效降低的風險，採取最後的補救措施 資訊資產識別 企業的資訊資產價值即指企業使用資訊資產所可能產生的利益 如何評估資訊資產的價值？ 資訊系統的重要性 企業對資訊系統的依賴程度 資訊的敏感程度 資訊安全風險分析(1/4) 步驟一：找出影響資訊安全的潛在威脅 步驟二：進行威脅發生機率估計 步驟三：量化估計資訊威脅的可能損失 資訊安全風險分析(2/4) 企業資訊安全威脅的來源與原因 內部威脅 外部威脅 非人為 人為 故意 非故意 資訊安全風險分析(3/4) 影響資訊安全的潛在威脅 實體威脅(physical threats) 未經授權的實體或電子式存取(unauthorized physical or electronic access) 經過授權的實體或電子式的存取(authorized physical or electronic access) 分析潛在威脅的可能衝擊 資訊安全風險分析(4/4) 威脅發生機率的評估參考資料來源 由一般母體觀察所得的機率 由特定系統觀察所得的機率 專家依經驗法則所做的估計 量化估計資訊威脅的可能損失 損失估計的三種不同層次 立即的經濟衝擊 短期的經濟衝擊 長期的經濟衝擊 威脅對策矩陣分析(1/2) 威脅對策矩陣分析(2/2) 殘餘風險處理 殘餘風險處理 列示殘餘風險清單 殘餘風險的處置 殘餘風險的處理策略 風險自承 風險轉嫁 防駭入侵 駭客入侵已成為常態 防駭入侵大多著眼技術手段，缺少策略思考 防範之道 策略層次 管理層次 技術層次 策略層次的防駭入侵之道 知己知彼 隨時掌握網路駭客的必威体育精装版動態 多層次的安全防範以及控管機制 專人負責系統安全的維護 全方位的保全公司 管理層次的防駭入侵之道 強化系統遠端登入的控管 系統實體設備的安全防護 離職員工的管理與追蹤 來自企業內部的安全威脅