資訊化打造核心能力——談研發資訊保安(四)(轉)
4 通用風險對策矩陣(General Risk Treatment Matrix)
在計算機每項資產風險值後,必須決定各個重大性及可能性等及的資產的風險對策,因而作才從或有損失會計處理原則,類推出通用風險對策矩陣,作者依據經驗,將控制措施依效果區分為三大類:
--- 預防控制:人員執行作業後作業之前,必須先完成確保資產安全事件不會發生的控制程式,獲得核准後才能開始工作。
--- 一般控制:人員執行作業之前,無須完成確保資產安全事件不會發生的控制程式,但必須適時回報主管,或是留下記錄以供查核驗證。
--- 補償控制:以事後定期檢查的方式確認人沒是否依規定執行工作,或是透過教育訓練,增強人員的資訊保安認知。
接下來針對不同的風險值,訂定資訊資產控制程式,基本上區分成四種控制程式:
--- 預防控制:對於價值搞、風險發生可能性高的資產,應採取預防控制。
--- 一般控制:對於價值高、風險發生可能性為中等,或是價值中等而風險發生可能性高的資產,應採取一般控制措施。
--- 補償控制:對於價值高但是風險發生可能性為低,或是價值與風險發生可能性皆為中等,而風險發生可能性為高但是價值低的資產,可採取補償性控制措施。
--- 暫不控制:其他風險值的資產則可以暫不控制。
選擇控制
在得到各項資產風險值後,必須先決定每項資產應予控制的專案,再依據通用風險對策矩陣,決定每一個控制專案的方式以及必須達成的效果,因而如何選擇每項資產應彩的控制元件目,是資訊保安體系匯入另一個重要問題。
在作者的專案經驗中,發現BS7799同際標準所提供用來選擇控制的工具“Risk Analysis Tool,RA Tool”,在實務上可行性不高,因而作者依據RA Tool的邏輯,另外開發了一套工具軟體,稱之為“超簡單工具(Super Sample Tool,SST)”,透過此項工具,只要輸入各資產適用的弱點,威脅專案以及風險值,系統立即產生資產應採用的控制元件目以及控制程度(須達成效果的資料等)。
風險相應計劃與資訊保安標準、作業程式、窗體:
決定每項資產應採用的控制元件目以及控制程式後,企業必須參考資訊保安專定意見,制定詳細的資訊保安標準、各項作業程式以及窗體,在制定這些細項規則時,必須確定每個控制元件目皆達到風險對策矩陣中要求的控制程度,如果目前企業由於經營環境限制,無法達成控制程度,必須針對這些無法降低水平的風險專案,擬定改善計劃,即“風險相應對策(Risk Treatment plan)”,以便在可預期有未來將到可接愛水平,減少意外事件對企業造成的傷害。
資訊保安體系與運作
資訊保安體系在建立之後,必須持續維護運作,以確保效果,然而企業在建立專案結束之後,常常因為不知道該如何維護資訊保安體系,一段時間之後,資產安全體系去了原有效果,企業又回去高風險的經營環境,這此,作者設計出特有的“風險評估作業程式(Risk Evaluation Procedure,REP)”,協助企業建立資訊保安組織,加上風險分析技術移轉,進供資產安全體系動轉輔導以及定期檢查與意見提供等方法,協助資訊保安體系在企業內部真正落實。[@more@]
在計算機每項資產風險值後,必須決定各個重大性及可能性等及的資產的風險對策,因而作才從或有損失會計處理原則,類推出通用風險對策矩陣,作者依據經驗,將控制措施依效果區分為三大類:
--- 預防控制:人員執行作業後作業之前,必須先完成確保資產安全事件不會發生的控制程式,獲得核准後才能開始工作。
--- 一般控制:人員執行作業之前,無須完成確保資產安全事件不會發生的控制程式,但必須適時回報主管,或是留下記錄以供查核驗證。
--- 補償控制:以事後定期檢查的方式確認人沒是否依規定執行工作,或是透過教育訓練,增強人員的資訊保安認知。
接下來針對不同的風險值,訂定資訊資產控制程式,基本上區分成四種控制程式:
--- 預防控制:對於價值搞、風險發生可能性高的資產,應採取預防控制。
--- 一般控制:對於價值高、風險發生可能性為中等,或是價值中等而風險發生可能性高的資產,應採取一般控制措施。
--- 補償控制:對於價值高但是風險發生可能性為低,或是價值與風險發生可能性皆為中等,而風險發生可能性為高但是價值低的資產,可採取補償性控制措施。
--- 暫不控制:其他風險值的資產則可以暫不控制。
選擇控制
在得到各項資產風險值後,必須先決定每項資產應予控制的專案,再依據通用風險對策矩陣,決定每一個控制專案的方式以及必須達成的效果,因而如何選擇每項資產應彩的控制元件目,是資訊保安體系匯入另一個重要問題。
在作者的專案經驗中,發現BS7799同際標準所提供用來選擇控制的工具“Risk Analysis Tool,RA Tool”,在實務上可行性不高,因而作者依據RA Tool的邏輯,另外開發了一套工具軟體,稱之為“超簡單工具(Super Sample Tool,SST)”,透過此項工具,只要輸入各資產適用的弱點,威脅專案以及風險值,系統立即產生資產應採用的控制元件目以及控制程度(須達成效果的資料等)。
風險相應計劃與資訊保安標準、作業程式、窗體:
決定每項資產應採用的控制元件目以及控制程式後,企業必須參考資訊保安專定意見,制定詳細的資訊保安標準、各項作業程式以及窗體,在制定這些細項規則時,必須確定每個控制元件目皆達到風險對策矩陣中要求的控制程度,如果目前企業由於經營環境限制,無法達成控制程度,必須針對這些無法降低水平的風險專案,擬定改善計劃,即“風險相應對策(Risk Treatment plan)”,以便在可預期有未來將到可接愛水平,減少意外事件對企業造成的傷害。
資訊保安體系與運作
資訊保安體系在建立之後,必須持續維護運作,以確保效果,然而企業在建立專案結束之後,常常因為不知道該如何維護資訊保安體系,一段時間之後,資產安全體系去了原有效果,企業又回去高風險的經營環境,這此,作者設計出特有的“風險評估作業程式(Risk Evaluation Procedure,REP)”,協助企業建立資訊保安組織,加上風險分析技術移轉,進供資產安全體系動轉輔導以及定期檢查與意見提供等方法,協助資訊保安體系在企業內部真正落實。[@more@]
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/7839396/viewspace-958318/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 資訊化打造核心能力——談研發資訊保安(二)(轉)
- 資訊化打造核心能力——談研發資訊保安(一)(轉)
- 資訊化打造核心能力——談研發資訊保安(三)(轉)
- 談劍峰:資訊保安核心技術必須掌握在國人手中
- 湖南發力資訊保安產業產業
- 智慧賦能醫療資訊保安能力建設
- 研發內部控制淺談(四)(轉)
- 05全國網路與資訊保安技術研討會召開(轉)
- 打造網路資訊保安“國際技術交流”平臺
- 【資訊保安】SELinuxLinux
- 周曉江-淺談製造業的資訊保安
- 安全管理 | 淺談資訊保安管理體系建設
- 工業資訊保安(四川)創新中心管理團隊來訪綠盟科技調研交流
- 物聯網資訊保安
- 資訊保安入門指南
- CipherTrust釋出即時資訊保安方案(轉)Rust
- 研發流程(四)(轉)
- 綠盟科技分享工業資訊保安應急響應能力建設思路
- 曹政資訊保安課筆記-常見資訊保安的常識錯誤筆記
- 分享資訊保安工作小記
- 人工智慧與資訊保安人工智慧
- 如何保障Cookie的資訊保安Cookie
- 資訊保安策略建立步驟
- 網路資訊保安論述
- 《資訊保安保障》一2.2 我國資訊保安保障工作主要內容
- 《資訊保安技術 災難恢復能力評估準則》正式釋出
- 打造大資料時代資訊化平臺大資料
- CPG2018核心打造資訊化平臺攜藍月亮、珀萊雅深入IT業務轉型之路
- 智慧網聯汽車資訊保安開發解決方案
- 回民檢察院“四個注重”加強資訊保安保密工作
- 資訊系統束縛創新能力?(轉)
- 企業資訊化的核心和靈魂是資訊資源管理
- 中新賽克夯實資訊保安,助力通訊部件國產化
- 網路視覺化守衛“數字中國“資訊保安視覺化
- 淺談ERP普及不等於企業資訊化普及 (轉)
- 古代密碼學與資訊保安密碼學
- 資訊保安與Linux系統Linux
- DefenseCode — 資訊保安測試工具