Risk Management(風險管理)是資訊安全最重要的環結之一,每種Access Control(存取控制)者必須依照風險管理、BIA(商業衝擊分析)…等
來決定資訊資產需要何種保護、需要何種機密性保護,因此在風險管理可以說是左右著資訊資產的各項存取措施。…
Risk Management(風險管理)是資訊安全最重要的環結之一,每種Access Control(存取控制)者必須依照風險管理、BIA(商業衝擊分析)…等
來決定資訊資產需要何種保護、需要何種機密性保護,因此在風險管理可以說是左右著資訊資產的各項存取措施。
在風險管理當然也有各種標準、建議做法…等,不乏有NIST SP 800-30、OCTAVE、ANZ4360…等
風險管理可以協助管理者視別及簡化總風險,並且選擇可以減輕風險的策略,並且預設好可接受的殘餘風險等級,
並且在企業內導入完整的風險管理處理流程,並持續的運作及改善,將企業引導至向上向善發展的途徑上。
風險管理中每一個Owners擁有價值(Value)的資產(Assets),資產會有弱點(Vulnerabilities),有弱點就有可能有潛在的威脅(Threat Agents),
當潛在的威脅成為威脅(Threat),威脅利用資產的弱點對資產成風險(Risk),擁有者為了保護資產導入控制風險的措施(Safeguards)
控制措施保護了有弱點的資產降低了資產的風險,風險成為了residual risk(殘餘風險),但是風險不可能為零,只能降低到可以接受的範圍。 
ISO-27001中也明確的規範出針對資訊資產必須要經由風險評估(Risk Assessment)、風險分析(Risk Analysis),進而得知資訊資產的價值及其風險承受的脆弱度
在SP 800-30規範之中,將風險評鑑分為9個步驟:
1. System Characterization(系統描述):針對風險評估定義其範圍;硬體、軟體、人員…等。
2.Threat Identification(威脅的視別):目的是每個資訊資產可能的威脅來源。
3.Vulnerability Identification(弱點的視別):目的是列出可能被威脅利用的弱點。
4.Control Analysis(控制分析):置入分析後的控剄或是計劃,將可能拿來控制弱點產生的威脅。
5.Likeilhood determination(可能性測定):將分析出的弱點並給予威脅一個大略可能造成衝擊的值(低、中、高)。
6.Impact Anlysis(衝擊分析):針對每個不同機密、敏感等級的資產,分別依照衝擊的等級透過Quantitative(數值、定性分析)或是Qualitative(數量、定量分析) 來分析出資產的價值及可能對企業造成的衝擊。
7.Risk Determination(風險測定):針對衝擊分析給予資產定義IT系統的風險等級。
8.Control Recommendations(建議控制項):針對各風險等級提出合理的控制項,必須以Cost effective(成本效益)為主要考量。
9.Results Documentation(產出文件):將風險評估出的結果產出為文件,並且應將本文件交由高階主管以協助各項風險任務的管理。 
在風險評估中最重要的一環是風險分析的方法Quantitative(數量、定量)及Qualitative,Quantitative是針對資產給予一個很明確的價值,能很明確的量化,但是像商譽、商標、專利…等,可能很難給予一個很明確的價值,而Qualitative(數值、定性)則是給予資產一個大概的值(極低、低、中、高、極高),在這兩種分析之下單純的Quantitative數量分析是不可能的。
Quantitative(數量、定量)分析中必須先訂義出AV;Asset Value(資產價值),及EF;Exposure Factor%(曝露因子;可能對資產造成損失的比例)
將兩者相乘即得到SLA;Single loss expectancy(單一損失期望值),接下來針對該風險可能發生的機率求出ARO;Annual rate of occurrence(年發生概率)
將SLE乘上ARO即得到ALE;Annual loss expectancy(年損常期望值),這麼說太學理了,下面是一個例子,希望可以給大家有比較明確的概念:
有一個資訊資產價值100萬,它置放於地下室,當發生水災時可以對它造成約70%的損失,但要造成這樣的水災,十年只會發生一次
那麼SLA就是100萬X70%=70萬
ARO則是十年發生一次,所以一年只有10%的發生可能性
ALE就是70萬X10%=7萬
Qualitative(數值、定性)分析則是將資產分級,並且針對可能發生的威脅等級對映,以找出可能對資產的威脅層度。
ANZ4360 standard (Australian/New zealand)中即有基本的規範如下:
Consequence: | |||||
Insignificant | Minor | Moderate | Major | Catastrophic | |
Likelihood: | 1 | 2 | 3 | 4 | 5 |
A (almost certain) | H | H | E | E | E |
B (likely) | M | H | H | E | E |
C (possible) | L | M | H | E | E |
D (unlikely) | L | L | M | H | E |
E (rare) | L | L | M | H | H |
E | Extreme Risk: Immediate action required to mitigate the risk or decide to not proceed |
| H | High Risk: Action should be taken to compensate for the risk |
| M | Moderate Risk: Action should be taken to monitor the risk |
| L | Low Risk: Routine acceptance of the risk |
參考文件:
完成風險分析後,就這樣了嗎?當然不是,接下來還要討論到降低風險的方法、及正確的風險控制準則…等等
待續…
Anything keeps Availability.
Anywhere keeps Integrity.
Anytime keeps Confidentiality.
keep A.I.C. = Information Security