資訊化打造核心能力——談研發資訊保安(四)(轉)
4 通用風險對策矩陣(General Risk Treatment Matrix)
在計算機每項資產風險值後,必須決定各個重大性及可能性等及的資產的風險對策,因而作才從或有損失會計處理原則,類推出通用風險對策矩陣,作者依據經驗,將控制措施依效果區分為三大類:
--- 預防控制:人員執行作業後作業之前,必須先完成確保資產安全事件不會發生的控制程式,獲得核准後才能開始工作。
--- 一般控制:人員執行作業之前,無須完成確保資產安全事件不會發生的控制程式,但必須適時回報主管,或是留下記錄以供查核驗證。
--- 補償控制:以事後定期檢查的方式確認人沒是否依規定執行工作,或是透過教育訓練,增強人員的資訊保安認知。
接下來針對不同的風險值,訂定資訊資產控制程式,基本上區分成四種控制程式:
--- 預防控制:對於價值搞、風險發生可能性高的資產,應採取預防控制。
--- 一般控制:對於價值高、風險發生可能性為中等,或是價值中等而風險發生可能性高的資產,應採取一般控制措施。
--- 補償控制:對於價值高但是風險發生可能性為低,或是價值與風險發生可能性皆為中等,而風險發生可能性為高但是價值低的資產,可採取補償性控制措施。
--- 暫不控制:其他風險值的資產則可以暫不控制。
選擇控制
在得到各項資產風險值後,必須先決定每項資產應予控制的專案,再依據通用風險對策矩陣,決定每一個控制專案的方式以及必須達成的效果,因而如何選擇每項資產應彩的控制元件目,是資訊保安體系匯入另一個重要問題。
在作者的專案經驗中,發現BS7799同際標準所提供用來選擇控制的工具“Risk Analysis Tool,RA Tool”,在實務上可行性不高,因而作者依據RA Tool的邏輯,另外開發了一套工具軟體,稱之為“超簡單工具(Super Sample Tool,SST)”,透過此項工具,只要輸入各資產適用的弱點,威脅專案以及風險值,系統立即產生資產應採用的控制元件目以及控制程度(須達成效果的資料等)。
風險相應計劃與資訊保安標準、作業程式、窗體:
決定每項資產應採用的控制元件目以及控制程式後,企業必須參考資訊保安專定意見,制定詳細的資訊保安標準、各項作業程式以及窗體,在制定這些細項規則時,必須確定每個控制元件目皆達到風險對策矩陣中要求的控制程度,如果目前企業由於經營環境限制,無法達成控制程度,必須針對這些無法降低水平的風險專案,擬定改善計劃,即“風險相應對策(Risk Treatment plan)”,以便在可預期有未來將到可接愛水平,減少意外事件對企業造成的傷害。
資訊保安體系與運作
資訊保安體系在建立之後,必須持續維護運作,以確保效果,然而企業在建立專案結束之後,常常因為不知道該如何維護資訊保安體系,一段時間之後,資產安全體系去了原有效果,企業又回去高風險的經營環境,這此,作者設計出特有的“風險評估作業程式(Risk Evaluation Procedure,REP)”,協助企業建立資訊保安組織,加上風險分析技術移轉,進供資產安全體系動轉輔導以及定期檢查與意見提供等方法,協助資訊保安體系在企業內部真正落實。[@more@]
在計算機每項資產風險值後,必須決定各個重大性及可能性等及的資產的風險對策,因而作才從或有損失會計處理原則,類推出通用風險對策矩陣,作者依據經驗,將控制措施依效果區分為三大類:
--- 預防控制:人員執行作業後作業之前,必須先完成確保資產安全事件不會發生的控制程式,獲得核准後才能開始工作。
--- 一般控制:人員執行作業之前,無須完成確保資產安全事件不會發生的控制程式,但必須適時回報主管,或是留下記錄以供查核驗證。
--- 補償控制:以事後定期檢查的方式確認人沒是否依規定執行工作,或是透過教育訓練,增強人員的資訊保安認知。
接下來針對不同的風險值,訂定資訊資產控制程式,基本上區分成四種控制程式:
--- 預防控制:對於價值搞、風險發生可能性高的資產,應採取預防控制。
--- 一般控制:對於價值高、風險發生可能性為中等,或是價值中等而風險發生可能性高的資產,應採取一般控制措施。
--- 補償控制:對於價值高但是風險發生可能性為低,或是價值與風險發生可能性皆為中等,而風險發生可能性為高但是價值低的資產,可採取補償性控制措施。
--- 暫不控制:其他風險值的資產則可以暫不控制。
選擇控制
在得到各項資產風險值後,必須先決定每項資產應予控制的專案,再依據通用風險對策矩陣,決定每一個控制專案的方式以及必須達成的效果,因而如何選擇每項資產應彩的控制元件目,是資訊保安體系匯入另一個重要問題。
在作者的專案經驗中,發現BS7799同際標準所提供用來選擇控制的工具“Risk Analysis Tool,RA Tool”,在實務上可行性不高,因而作者依據RA Tool的邏輯,另外開發了一套工具軟體,稱之為“超簡單工具(Super Sample Tool,SST)”,透過此項工具,只要輸入各資產適用的弱點,威脅專案以及風險值,系統立即產生資產應採用的控制元件目以及控制程度(須達成效果的資料等)。
風險相應計劃與資訊保安標準、作業程式、窗體:
決定每項資產應採用的控制元件目以及控制程式後,企業必須參考資訊保安專定意見,制定詳細的資訊保安標準、各項作業程式以及窗體,在制定這些細項規則時,必須確定每個控制元件目皆達到風險對策矩陣中要求的控制程度,如果目前企業由於經營環境限制,無法達成控制程度,必須針對這些無法降低水平的風險專案,擬定改善計劃,即“風險相應對策(Risk Treatment plan)”,以便在可預期有未來將到可接愛水平,減少意外事件對企業造成的傷害。
資訊保安體系與運作
資訊保安體系在建立之後,必須持續維護運作,以確保效果,然而企業在建立專案結束之後,常常因為不知道該如何維護資訊保安體系,一段時間之後,資產安全體系去了原有效果,企業又回去高風險的經營環境,這此,作者設計出特有的“風險評估作業程式(Risk Evaluation Procedure,REP)”,協助企業建立資訊保安組織,加上風險分析技術移轉,進供資產安全體系動轉輔導以及定期檢查與意見提供等方法,協助資訊保安體系在企業內部真正落實。[@more@]
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/7839396/viewspace-958318/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 資訊保安
- 【三】資訊保安
- 智慧賦能醫療資訊保安能力建設
- 安全管理 | 淺談資訊保安管理體系建設
- 周曉江-淺談製造業的資訊保安
- 物聯網資訊保安
- 關於資訊保安的
- 資料庫的資訊保安管理資料庫
- 騰訊資訊保安爭霸賽的第四年:喝水人和挖井人
- 曹政資訊保安課筆記-常見資訊保安的常識錯誤筆記
- 中新賽克夯實資訊保安,助力通訊部件國產化
- 資訊保安檢查內容
- Cybellum—資訊保安測試工具
- 如何保障Cookie的資訊保安Cookie
- 分享資訊保安工作小記
- 人工智慧與資訊保安人工智慧
- 資訊保安與Linux系統Linux
- 資訊保安數學基礎
- [資訊保安] WEP 是什麼
- 員工電腦資訊保安
- DefenseCode — 資訊保安測試工具
- 資訊保安作業1——SYSU
- CPG2018核心打造資訊化平臺攜藍月亮、珀萊雅深入IT業務轉型之路
- 工業資訊保安(四川)創新中心管理團隊來訪綠盟科技調研交流
- 和CISSP並肩的資訊保安認證國際註冊資訊保安經理CISM
- 什麼是資訊保安風險評估?資訊保安風險評估的步驟?
- 大資料資訊保安問題有哪些大資料
- 騰訊研發大資料包告大資料
- 古代密碼學與資訊保安密碼學
- 資訊保安問題與防範
- Linux賬戶資訊保安深入剖析Linux
- 資訊保安概論複習3
- 資訊保安概論複習-2
- 資訊保安概論期末複習
- 無錫哲訊談食品行業如何利用SAP資訊化方案實現數字化轉型?行業
- 多部門共辦研討會 聚焦科研資訊化發展
- 《資訊保安技術 災難恢復能力評估準則》正式釋出
- 綠盟科技分享工業資訊保安應急響應能力建設思路
- 大資料時代下如何保障資訊保安?大資料