K書筆記本-Information Security & Risk Management (07)

做完了風險的識別、資產的評估,那選擇何種保護措施才是對的呢?其實沒有對錯,重點在於Owner的想法
舉個很簡單的例子,有一個資訊資產可能產生的風險是會對它造成極大的損傷,但是導入一個風險控制措施 …

做完了風險的識別、資產的評估,那選擇何種保護措施才是對的呢?其實沒有對錯,重點在於Owner的想法
舉個很簡單的例子,有一個資訊資產可能產生的風險是會對它造成極大的損傷,但是導入一個風險控制措施
只需要費資訊資產本身千分之一不到的費用,您要不要導入呀??

續前題,但是,假設導入的控制措施所需花費的費用和風險所造成的損失是相同的,那麼要不要導入呢???
看Owner怎麼去評估,不過,如果站在可用性的角度來看,這個重要資訊資產若受到這個風險可能會停擺
會讓企業蒙受極大的損失,那麼Owner則必須去選擇是要選擇可用性,還是選擇接受損失
這個部與BCM(Business Continuity Management)有相關的關係,所以這個議題就待到BCM時再來跟大家討論。

即然已經知道了資產可能的風險,那麼應該如何降低這些風險(Risk Mitigation)呢?
Risk Acceptance(接受風險):風險也不一定都是很大不了的事情,當風險發生時可能對資訊資產的衝擊非常的低,而且是可以接受的範圍。
Risk Reduction(減少風險):選擇一項控制措施可以去降低曝露因子或是減少損失,並且將風險降低至可以接受的範圍。
Risk Transference(風險轉嫁):將風險轉移給其它公司去負責,例如:買保險、簽署維護合約。
Risk Avoidance(規避風險):當風險是企業無法再持續下去的的流程或是處理底線時,可以選擇退出這個市場或是退出本項資產來規避風險。
Risk Ignorance(未清楚風險):這個項目看起來很像是一個很吸引企業的控制,但它並不是一個接受降低風險的政策,一般來說它是個現像,
可能太過於依賴現有的風險管理做法,而造成風險未被識別的,然而等於未做保護的資產。

安全不是閉門造車,不是有風險都非得要完全消滅,但是一個對的安全管理措施應該要考慮到Cost及value之間的平衡
在選擇制措施前必須先考量的就是cost effective(成本效益),因此第一步就是cost/benefit analysis(金錢利益分析),計算出保護措施的總價值
Accountability(可歸責性):每個控制措施必須至少有一個專人負責,結合直接與效能的覆核。
Absence of Design Secrecy(缺乏安全設計):雖然已經選擇了一個控制措施但是缺乏信賴,例如警衛的共謀,是一種安全控制,但是沒有控制到更深層的安全。
Audit Capability(稽核能力):必須有能力測試,包含有稽核在設計及履行的能力。

風險的來源最多的問題來自於人為、硬體問題,因此在風險管理的部份對於人的控制應該要擺在第一要點,並且要能保證當風險發生時,受到風險脅的資產能夠達到安全的管控,並且得到高階主管的支持,這個才是整個資訊安全最重要的一個環結


Anything keeps Availability.
Anywhere keeps Integrity.
Anytime keeps Confidentiality.
keep A.I.C. = Information Security