Upload
others
View
8
Download
0
Embed Size (px)
Citation preview
代理通路 顧問服務 教育訓練 資安稽核
流程化風險管理機制
資訊安全管理顧問
代理通路 顧問服務 教育訓練 資安稽核
前言
ISO 27001:2013/ISO 31000:2009要求
切合實際的整合
2
代理通路 顧問服務 教育訓練 資安稽核
前言
風險評鑑過程是否過於複雜?
風險評鑑過程是否流於形式?
•每年都是COPY/PASTE.
•風險擁有者大多不知如何實施.
•沒有新增與更新威脅種類.
•無法反應現實的風險.
3
代理通路 顧問服務 教育訓練 資安稽核
風險
4
ISO 31000:2009
•目標的不確定性之影響
代理通路 顧問服務 教育訓練 資安稽核
什麼是風險管理
代理通路 顧問服務 教育訓練 資安稽核
代理通路 顧問服務 教育訓練 資安稽核
『道德經』說「禍福倚伏」正向風險
• 在提醒危險及機會是隨時相伴相隨,對於處理順境者, 有警示的效果,而為於身在逆境者,也點出機 會隨時都在。
『易經』也說「履霜堅冰至」負向風險
• 在洞悉風險的徵兆,以及預知危險的風險 意識。
7
代理通路 顧問服務 教育訓練 資安稽核
ISO 27001:2005
8
代理通路 顧問服務 教育訓練 資安稽核
ISO 27001:2013
9
代理通路 顧問服務 教育訓練 資安稽核 10
代理通路 顧問服務 教育訓練 資安稽核
風險管理原則.架構與過程交互關係
11
代理通路 顧問服務 教育訓練 資安稽核
ISO 31010風險管理-風險評鑑技術
• ISO 31010:2009 歸納出 31 種風險管理技法:
12
技法 風險識別 後果分析 機率分析 風險等級訂定 風險評估
後果/機率矩陣
極適用 極適用 極適用 極適用 適用
後果/機率矩陣為組合定性或半定量的後果與機率之分級,以產生風險等級或風險分級之方法。
代理通路 顧問服務 教育訓練 資安稽核
風險識別來源
天災
人員 軟/硬體
13
技術 很少納入
因為風險識別時大多未納入風險管理者的意見.
代理通路 顧問服務 教育訓練 資安稽核
風險識別來源
天災
•地震,水災,颱風,劇烈氣候,火山爆發等.
人禍
•人員管理漏洞,存取控制不當,內部網路控制不當等.
組織資安事件,LOG等
•硬體,軟體事件等
最新的攻擊模式等…
• APT,社交工程
14
代理通路 顧問服務 教育訓練 資安稽核
ISO 27001:2013
• 6.1.3資訊安全風險處理
15
代理通路 顧問服務 教育訓練 資安稽核
優點
將風險情境由風險擁有者納入技術白皮書與LOG/事件之優點
• 貼近資安現實與實況
• 較易得知風險處理方式
16
代理通路 顧問服務 教育訓練 資安稽核 17
代理通路 顧問服務 教育訓練 資安稽核 18
代理通路 顧問服務 教育訓練 資安稽核
可依外/內部資安議題與LOG新增風險情境
19
代理通路 顧問服務 教育訓練 資安稽核
風險識別注意事項
定期更新以反應現況
由風險擁有者識别風險準則與風險處理事項
風險情境來源除原有的管理事項外,亦可由事件,LOG等進行分析
20
代理通路 顧問服務 教育訓練 資安稽核 22
感謝聆聽 請指教
Thank You