資訊化打造核心能力——談研發資訊保安(二)(轉)
資訊資產
從財會角度來看,資產是指企業由於過去的交易而獲得,具有未來經濟效益的事物,例如企業花費巨資購買機器裝置,或是取得某項專利技術,可以為企業製造產品,創造收入及獲利,從營運角度來看,任何對於企業營去有幫助的都算是資產,例如計算機系統及裝置等,企業必須透過這些系統裝置才能處理客戶訂單,所以也是重要資產,只要認定為資產,必然有其價值,不論有形無形,都必須列清單予以保管,然而過去資產管理重點放在有形資產上,例如現金、廠房、辦公室、機器裝置、原材料等,比較少針對無形資產列賬控及盤點。
從資訊的角度來看,除了計算機裝置外,有許多無形資產對企業營也非常重要,如資訊系統、網站系統、軟體工具、交易資料及客戶資料、甚至是資訊人員等,都是公司非常重要的資產,也需要列示清單及管理,所以在資訊保安方法論中,將資產分為以下五類:
* 資料:主要指電子形式的檔案,例如:客戶資料、交易資料、軟體程式原始碼等。
* 檔案:指書面檔案,例如會計傳票、系統開發檔案、使用手冊、部門年度計劃、部門管理辦法、窗體憑證等。
* 軟體:例如應用軟體、作業系統、程式開發工具等。
* 硬體:包括伺服器、個人計算機、印表機、傳真機、電話、磁帶及其他相關外圍裝置等。
* 人員:資訊部門主管、資料庫管理員、作業系統管理員、網路管理員、網站設計人員、程式維護人員、機房管理員、電子郵件系統管理員、防毒軟體管理員、防火牆管理員、行政助理人員等。
從資訊保安與風險管理角度來看,資訊資產須適當分類,標示,儲存及保護,並明確劃分保管責任,資訊資產須定期盤點及更新,資訊資產之標示,使用,傳遞及保管須有相對應的控管程式。
弱點與威脅
如同前面所提,弱點指的是資產本身脆弱的地方,就資訊資產而言,弱點可能以下列形式出現:
* 資產本身會受到破壞,例如有形資產的實體,一旦實體損壞就會喪失功能,所以必須保護資產實體。
* 資產一旦被其他人取得,很難排除或發現其他人使用,例如計算機軟體,他人取得執行程式可以安裝在自己的計算機使用,因而衍生智慧財產權問題。
* 資產可以開放修改或調整,例如系統軟體的程式原始碼,劃是主機系統設定,既然可以修改或調整,就有正確性問題,系統軟體原始碼版本不正確,會導致交易處理時發生錯誤。
* 資產數量有限,例如銀行使用的大型IBM主機,一旦毀損,可能必須由美進口才能取得替代裝置,因而重要計算機裝置有可用性(Availahility)的問題。
*資產必須是完整的才能發揮效用,例如消費者透過網路購買商品,在網站輸入交易資料或信用卡資料,必須完整傳送到廠商訂單系統或資料庫,整個交易才會獲得承認,因而輸入的交易資料有完整性的問題。
弱點本身並不會自己引起損害,如果沒有威脅,損害就不會發生,例如計算機裝置本身雖然有實體,但是不會無緣無故自己燃燒起來,但是資產本身的弱點,會成為組織中資訊保安的缺點或漏洞,若不能有效控管這些缺點或漏洞,那到威脅就可能利用弱點對資產造成危害,並造成企業損失,所以弱點與威脅就可能利用弱點對產造成危害,並造成企業損失,所以弱點與威脅實為一體兩面,例如資產實體為易燃物,其面臨的威脅就是火災,兩者合起來就是企業資產因火災而損壞的機率,再乘上資產價值,可以得到預期損失,也就是企業承受的風險。
基本上,從資訊資產角度來看,威脅大概可以分成以下幾個來源:
* 天然災害:例如雷擊、地震、水災以及非人為因素的火宵等。
* 人為惡意破壞:例如偷竊,搶奪、人力敲打等。
* 技術問題:例如機件故障,流得超載而引發網路斷線或系統中斷等。
* 意外事件:例如車禍等意外事件所造成的破壞。
控制措施可以保護資產弱點、減少威脅、降低風險,所以針對重大風險專案,必須設計適當控制措施。例如有實體的資訊資產(如計算機主機),可以放置在設有安全系統的機房內,如此資產弱點就會比較不明顯,而計算機主機遭竊或遭到惡意破壞的威脅也會減輕,其他控制措施還有像安裝網路防火牆,防毒軟體,不斷電系統,或是加強資訊保安教育訓練等。
然而所謂控制措施只是針對個別資訊資產或風險專案,而不是企業整體風險,因此在設定控制措施時除了考慮成本效益,還要顧及彼此的關聯性及互補性,以英國建立的國際資訊保安標準為例,完整的資訊保安架構(Information Security Management Structure,ISMS)包含十個專案,詳細內容請參考BS7799發行的資料:
*資訊保安政策
*資訊保安組織
*資訊資產分類與控管
*人員安全
*裝置與環境的控管
*通訊與作業程式控管
*系統發展與維護控管
*存取控管
*企業永續經營管理
*遵循控管
在這個管理架構中,我們可以看到許多並不是針對特定資產或風險的控管專案,但是對於企業整體資訊保安有很大影響,如管理層對於資訊保安的看法及態度,外來單位存取組織內資訊處理設施時的安全管理,委外加工處理時相關資訊的安全管理,降低人為錯誤,偷竊,欺騙或裝置誤用的風險等,此外整個架構還強調企業必須思考如何在發生重大系統失效或人為疏失時,不會因此中斷企業活動,且能保護企業關鍵流程持續運作,除了將損害降至最小外,在事後還能從中學習並監督以後類似事件是否發生,另一方面還要顧及避免觸犯任何刑事或民事法和已成文的規範,合約義務及資訊要求等。
建立資訊保安體系
根據BS7799方法論,整個資訊保安體系的建立可以分為六個步驟:
* 定義資訊保安政策
* 定義資訊保安體系範圍
* 執行風險評估程式
* 決定風險可接受水平
* 選擇與設計控制措施
* 提出適用性宣告[@more@]
從財會角度來看,資產是指企業由於過去的交易而獲得,具有未來經濟效益的事物,例如企業花費巨資購買機器裝置,或是取得某項專利技術,可以為企業製造產品,創造收入及獲利,從營運角度來看,任何對於企業營去有幫助的都算是資產,例如計算機系統及裝置等,企業必須透過這些系統裝置才能處理客戶訂單,所以也是重要資產,只要認定為資產,必然有其價值,不論有形無形,都必須列清單予以保管,然而過去資產管理重點放在有形資產上,例如現金、廠房、辦公室、機器裝置、原材料等,比較少針對無形資產列賬控及盤點。
從資訊的角度來看,除了計算機裝置外,有許多無形資產對企業營也非常重要,如資訊系統、網站系統、軟體工具、交易資料及客戶資料、甚至是資訊人員等,都是公司非常重要的資產,也需要列示清單及管理,所以在資訊保安方法論中,將資產分為以下五類:
* 資料:主要指電子形式的檔案,例如:客戶資料、交易資料、軟體程式原始碼等。
* 檔案:指書面檔案,例如會計傳票、系統開發檔案、使用手冊、部門年度計劃、部門管理辦法、窗體憑證等。
* 軟體:例如應用軟體、作業系統、程式開發工具等。
* 硬體:包括伺服器、個人計算機、印表機、傳真機、電話、磁帶及其他相關外圍裝置等。
* 人員:資訊部門主管、資料庫管理員、作業系統管理員、網路管理員、網站設計人員、程式維護人員、機房管理員、電子郵件系統管理員、防毒軟體管理員、防火牆管理員、行政助理人員等。
從資訊保安與風險管理角度來看,資訊資產須適當分類,標示,儲存及保護,並明確劃分保管責任,資訊資產須定期盤點及更新,資訊資產之標示,使用,傳遞及保管須有相對應的控管程式。
弱點與威脅
如同前面所提,弱點指的是資產本身脆弱的地方,就資訊資產而言,弱點可能以下列形式出現:
* 資產本身會受到破壞,例如有形資產的實體,一旦實體損壞就會喪失功能,所以必須保護資產實體。
* 資產一旦被其他人取得,很難排除或發現其他人使用,例如計算機軟體,他人取得執行程式可以安裝在自己的計算機使用,因而衍生智慧財產權問題。
* 資產可以開放修改或調整,例如系統軟體的程式原始碼,劃是主機系統設定,既然可以修改或調整,就有正確性問題,系統軟體原始碼版本不正確,會導致交易處理時發生錯誤。
* 資產數量有限,例如銀行使用的大型IBM主機,一旦毀損,可能必須由美進口才能取得替代裝置,因而重要計算機裝置有可用性(Availahility)的問題。
*資產必須是完整的才能發揮效用,例如消費者透過網路購買商品,在網站輸入交易資料或信用卡資料,必須完整傳送到廠商訂單系統或資料庫,整個交易才會獲得承認,因而輸入的交易資料有完整性的問題。
弱點本身並不會自己引起損害,如果沒有威脅,損害就不會發生,例如計算機裝置本身雖然有實體,但是不會無緣無故自己燃燒起來,但是資產本身的弱點,會成為組織中資訊保安的缺點或漏洞,若不能有效控管這些缺點或漏洞,那到威脅就可能利用弱點對資產造成危害,並造成企業損失,所以弱點與威脅就可能利用弱點對產造成危害,並造成企業損失,所以弱點與威脅實為一體兩面,例如資產實體為易燃物,其面臨的威脅就是火災,兩者合起來就是企業資產因火災而損壞的機率,再乘上資產價值,可以得到預期損失,也就是企業承受的風險。
基本上,從資訊資產角度來看,威脅大概可以分成以下幾個來源:
* 天然災害:例如雷擊、地震、水災以及非人為因素的火宵等。
* 人為惡意破壞:例如偷竊,搶奪、人力敲打等。
* 技術問題:例如機件故障,流得超載而引發網路斷線或系統中斷等。
* 意外事件:例如車禍等意外事件所造成的破壞。
控制措施可以保護資產弱點、減少威脅、降低風險,所以針對重大風險專案,必須設計適當控制措施。例如有實體的資訊資產(如計算機主機),可以放置在設有安全系統的機房內,如此資產弱點就會比較不明顯,而計算機主機遭竊或遭到惡意破壞的威脅也會減輕,其他控制措施還有像安裝網路防火牆,防毒軟體,不斷電系統,或是加強資訊保安教育訓練等。
然而所謂控制措施只是針對個別資訊資產或風險專案,而不是企業整體風險,因此在設定控制措施時除了考慮成本效益,還要顧及彼此的關聯性及互補性,以英國建立的國際資訊保安標準為例,完整的資訊保安架構(Information Security Management Structure,ISMS)包含十個專案,詳細內容請參考BS7799發行的資料:
*資訊保安政策
*資訊保安組織
*資訊資產分類與控管
*人員安全
*裝置與環境的控管
*通訊與作業程式控管
*系統發展與維護控管
*存取控管
*企業永續經營管理
*遵循控管
在這個管理架構中,我們可以看到許多並不是針對特定資產或風險的控管專案,但是對於企業整體資訊保安有很大影響,如管理層對於資訊保安的看法及態度,外來單位存取組織內資訊處理設施時的安全管理,委外加工處理時相關資訊的安全管理,降低人為錯誤,偷竊,欺騙或裝置誤用的風險等,此外整個架構還強調企業必須思考如何在發生重大系統失效或人為疏失時,不會因此中斷企業活動,且能保護企業關鍵流程持續運作,除了將損害降至最小外,在事後還能從中學習並監督以後類似事件是否發生,另一方面還要顧及避免觸犯任何刑事或民事法和已成文的規範,合約義務及資訊要求等。
建立資訊保安體系
根據BS7799方法論,整個資訊保安體系的建立可以分為六個步驟:
* 定義資訊保安政策
* 定義資訊保安體系範圍
* 執行風險評估程式
* 決定風險可接受水平
* 選擇與設計控制措施
* 提出適用性宣告[@more@]
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/7839396/viewspace-957797/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 資訊化打造核心能力——談研發資訊保安(一)(轉)
- 資訊化打造核心能力——談研發資訊保安(三)(轉)
- 資訊化打造核心能力——談研發資訊保安(四)(轉)
- 【資訊保安】PAM模組的研究(二)
- 談劍峰:資訊保安核心技術必須掌握在國人手中
- 湖南發力資訊保安產業產業
- 智慧賦能醫療資訊保安能力建設
- 05全國網路與資訊保安技術研討會召開(轉)
- 研發內部控制淺談(二)(轉)
- 打造網路資訊保安“國際技術交流”平臺
- 【資訊保安】SELinuxLinux
- 周曉江-淺談製造業的資訊保安
- 安全管理 | 淺談資訊保安管理體系建設
- 物聯網資訊保安
- 資訊保安入門指南
- CipherTrust釋出即時資訊保安方案(轉)Rust
- 綠盟科技分享工業資訊保安應急響應能力建設思路
- 曹政資訊保安課筆記-常見資訊保安的常識錯誤筆記
- 分享資訊保安工作小記
- 人工智慧與資訊保安人工智慧
- 如何保障Cookie的資訊保安Cookie
- 資訊保安策略建立步驟
- 網路資訊保安論述
- 資訊化專案“監理”究竟“監理” (二)(轉)
- 《資訊保安保障》一2.2 我國資訊保安保障工作主要內容
- 《資訊保安技術 災難恢復能力評估準則》正式釋出
- 打造大資料時代資訊化平臺大資料
- 研發流程(二)(轉)
- CPG2018核心打造資訊化平臺攜藍月亮、珀萊雅深入IT業務轉型之路
- 智慧網聯汽車資訊保安開發解決方案
- 資訊系統束縛創新能力?(轉)
- 企業資訊化的核心和靈魂是資訊資源管理
- 中新賽克夯實資訊保安,助力通訊部件國產化
- 網路視覺化守衛“數字中國“資訊保安視覺化
- 淺談ERP普及不等於企業資訊化普及 (轉)
- 古代密碼學與資訊保安密碼學
- 資訊保安與Linux系統Linux
- DefenseCode — 資訊保安測試工具