資訊化打造核心能力——談研發資訊保安(三)(轉)

ger8發表於2007-08-15
作者以提供流程與管理顧問服務的方法論為基礎,參考BS7799國際標準的觀念,發展出完整的風險評估方法論,並協助多家公司建立資訊保安體系,以下分別說明定義資訊保安體系的範圍、進行風險評估、決定風險可接受水平以及選擇與設計控制措施的做法。

風險評估程式:閃電法

作者創作閃電法“風險評估程式(Risk Rvaluation Procedure)”大致上可分成幾個步驟,首先在風險評估之前,必須先分析企業營運模式,藉以決定整個資訊保安體系的範圍,然後透過分析企業資訊資產結構,清查所有資訊資產,予以分類,並瞭解作業流程及安全控制現況,接下來必須針對每個資訊資產類別,評估資產價值高低,資產本身弱點的面臨威脅的程式,並依據評估結果,計算資訊資產風險水平,對於各項資產高低不同的風險水平,則須依據“風險水平重大性理論(Theory of Risk Materiality)”決定安全控制的程式,並採用作者依據BS7799國際標準的RA Tool的精神自行開發的工具,為每一項資產挑選應予控制的專案,並制定相關資訊保安標準,作業程式,窗體等,最後再針對目前無法改進的風險專案,制定“風險因應對策”,以下分別說明每個步驟的簡易內容。

營運模式與安全體系範圍

從營運模式中必須分析企業經營環境概況,與下游客戶及上游供貨商的關係,核心部門及作業流程,支援性部門扮演的角色以及管理單位決策重點,然後依據企業策略或是面臨的挑戰,確定資訊保安控管首要目標,次要目標以及整個體系運作範圍。

資訊資產結構與資產清單

“資訊資產結構圖(Struture of Information Assets,SIA)”是作者從Arthur Andtesen“商業資訊架構” (Business Information Framework,BIF)的方法論以及網路拓樸圖的概念衍生而來,BIF堪稱全球分析資訊系統配置及資訊流的最佳方法,SIA則進一步針對資訊資產及關係結構做更明確的呈現,透過資訊資產結構圖,可在弄清企業有哪些資訊資產專案及類別,包括硬體、軟體、資料、檔案、人員等專案,同時確認資訊資產之間的關係,有助於瞭解整個作業流程、目前有哪些控制措施以及執行情形,因而資訊資產結構圖是企業掌握資訊資產狀誤解的重要工具。

作業流程與資訊作業控制現況瞭解

之前已提到,在確認企業資訊資產結構狀況後,必須進一步瞭解作業流程以及各項控制措施執行的現況,此部分可運用前面提到的流程設計(Process Mapping)方法及流程圖,為了協助企業內部進行有效溝通以及日後企業自行運作資訊保安體系考慮,建議在瞭解作業流程及控制現況時,產生相關輔助性檔案,如“流程及控制說明檔案(Description of Process and Control,DPC)”,根據作者經驗,DPC的功用很像ISO檔案,對於資產安全體系持續運作扮演很重要的角色。

資產價值、弱點、威脅的評估

藉由資訊資產結構圖,可以得到企業所有資訊資產的清單,予以分類併產生“資訊資產報告(Information Assert Report,IAR)”,再加上了解作業流程以及控制措施現況時,會了解到各項資訊資產的價值,本身的弱點及可的威脅,接下來可以用“資訊資產價值評估表(Information Asset Value Evaluation Template,IAVET)”以及“資訊資產弱點評估表(Information Asset Volunability & Threat Evaluation Template,IAVTET)”這兩項工具,評估每一項資產的價值、弱點值、威脅值,作為計算風險水平的基礎,這兩項工具是作者自行開發,全球獨一無二的方法論。

風險水平重大性理論

在得到每項資產風險值之後,由於風險值有高有低,在成本與效益考慮下,企業必須決定可接受風險水平,並針對風險值高於此風險水平的資產專案設計適當控制措施,所以可接受風險水平的決定在建立資訊保安體系中扮演相當生要角色,然而目前在資訊保安領域,不論是學術界或實務界都未能針對如何決定可接受風險水平提出合理的觀念或方法,為此作者藉用會計原則中對於會計確認的門檻,與或有事項會計處理以及東方學派的財會計理論,構思出全球獨一無二的“風險水平重大性理論”,並以數學推論方式強化立論基礎,作為企業決定名項資產控制方式的依據。

1 資產安全事件對企業造成損失的決定方式

資訊保安體系目的在於防範資產安全事件對企業造成的損失,所以對於會造成愈大損失的資產或事件,愈要加強控管,依據BS7799國際標準於會造成愈大損失的資產或事件,愈要加強控管,依據BS7799國際標準的看法,資產價值愈高者,遭受破壞時對企業造成的損失愈大,而資產價值之高低主要由資產的機密性、真確性、可用性決定,另一方面,BS7799認為資產本身的弱點,在面對的威脅愈大時,造成損失的可能性愈高,故資產安全事伯對企業造成損害的期望值,是由資產的機密性,完整性,可用性,弱點及威脅這五項因素所組成。

2 一般公認會計原則

資訊保安事件對企業造成損失的期望值的會計處理,可以從兩個角度來看,一個是或有事項的處理,一個是會計確認的重大性:

---或有事項(Contingencies)

所謂或有事項,是指未來某件事的發生,可能為企業帶來利得或損失,也就是具有不確定性,針對或有損失部分,會計處理主要視損失可能性以及能否合理估計而定,只有當或有損失很可能發生,且金額能合理估計時,才給、予以估計入賬,或是在財務報表上附註揭露。

從資訊保安事件的角度來看,資產價值愈高,表示與企業的獲利或損失的關聯性愈強,造成的損失金額也愈能合理估計,例如就提供電信及網路服務的寬頻業者而言,收入來源為客戶使用其服務的次數與時間,因而網路聯機的價值最高的資訊資產,如果此項資產遭到破壞,導致網路聯機的中斷,可以依據寬頻業者過去的營運資料,從中斷長短來合理估算損失金額。

其次,資訊保安事件發生機率,主要由資訊資產本身的弱點與面對的威脅決定,因而弱點與威脅愈大者,損失的可能性就愈高。

--- 會計確認的重大性門檻(Materiality)

就會計資訊而言所謂重大性是指當一項會計資訊被遺漏或錯誤表達時,可能使依賴該資訊的人所做的判斷受到影響或改變。換言之,只要該資訊會影響到投資人決策,即為重大資訊而應予表達,通常如果屬於不尋常、不適當,或屬於導致未來情況改變的預兆,皆為重要事項,從資訊保安角度來看,如果企業缺乏適當控制措施來預防資產安全事件造成的損害,代表企業經營環境風險比較高,如此將會降低投資人對其股票價值的評價,因而資產安全事件可能造成的損害就應予揭露,而且從內部控制角度來看,也就予適當的控制。

前而已說明,資訊資產遭破壞對企業造成損失的高低,是由資產的機密性、真確性、可用性決定,而破壞發生的機率,則是由資產本身的弱點,與面對的威脅決定,因而從重大性角度來看,資產安全事件對企業造成損失的重大性,可以用資產價值的重大性以及弱點與威脅的重大性代表。

3 資訊資產風險重大性的決定

在引進會計原則後,資訊資產風險重大性可拆成三個部分來決定:

---第一部分是資訊資產的機密性、完整性、可用性、弱點、與威脅五個專案權值的決定。此部分是使用作者設計的“資訊資產價值評估表Informarion Asset Value Evaluation Template,IAVET”以及“資訊資產弱點評估表Informarion Asset Vulnerability & threat Evaluation Template,IAVET”這兩專案工具,由企業參與評估而決定,這兩項工具是以資產價值的理論,弱點權值理論以及威脅權值的理論等三個理論做出來的。

---第二個部分是資產價值重大性以及損失實現的可能性,這兩個數值是以公式計算出來的。

---第三個部分是風險水平重大性門檻,是依據會計原則中或有損失及會計確認的重大性處理原則決定。

目前作者以質化方式劃分重大性等級,在資訊資產價值部分,C、I、A三項指標中,至少有兩項重大性為高,且另一項重大性為中等以上者(相加之值為8或9者),叛定其整體價值為高,而C、I、A三項指標中,至少有兩項重大性為低,且加一項重大性為中等以下者(相加之值為3或4者),叛定其整體價值為低,至於C、I、A三項指標的數值不屬於其他二者(相加之值為5、6、7者),叛定其整體價值為中。

就風險可能性部分,威脅與弱點兩個專案中至少有一項其可能性為高,且另一項之可能性為中等以上者(相乘之值為6或9者),判斷其風險可能性為高。威脅與弱點兩個專案中至少有一項其可能性為低,且另一項這可能性為中等以下者(相乘之值為1或2者),判斷其風險可能性為低,至於威脅與弱點相乘之數值不屬於以上二者,判斷其風險可能性為中。
[@more@]

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/7839396/viewspace-958316/,如需轉載,請註明出處,否則將追究法律責任。

相關文章