1 / 52

資訊系統鑑別

管理顧問諮詢服務. Draft Text Here. 資訊系統鑑別. 資誠企業管理顧問股份有限公司 梁亦銘. 本文件僅供當次教育訓練使用. CISA Successfully completed a ISO 27001 LA course Successfully completed a IT Service Management System LA Successfully completed a Business Continuity Management (BS 25999) LA. Curriculum Vitae. –. Position for

ria-le
Download Presentation

資訊系統鑑別

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. 管理顧問諮詢服務 Draft Text Here 資訊系統鑑別 資誠企業管理顧問股份有限公司 梁亦銘 本文件僅供當次教育訓練使用

  2. CISA • Successfully completed a ISO 27001 LA course • Successfully completed a IT Service Management System LA • Successfully completed a Business Continuity Management (BS 25999) LA Curriculum Vitae – Position for professional picture 0 非經本公司正式授權 所有圖文不得使用、複製

  3. 重要聲明 此份教材為資誠企業管理顧問股份有限公司(本公司)提供予世新大學之機密資訊,未經本公司書面同意,不得將此份教材複製或給予第三人使用。且未經本公司之書面同意,本公司不對第三人負任何責任。

  4. 目錄 頁碼

  5. 單元 1 為什麼需要分類分級 – 風險評鑑的準備

  6. 單元 1 – 為什麼需要分類分級 – 風險評鑑的準備 風險評估的概念 – 什麼是風險 • 國際標準組織(ISO)的定義 • “The chance of something happening that will have an impact upon objectives.” • 對於目標會產生影響的事件所發生的機會 • 英國會計師協會的定義 • “…risk is inherent in business. Although the nature and extent may differ, risk is as applicable to a small retailer as it is to a multinational conglomerate. A company takes risks to pursue opportunities to earn returns for its owners; striking a balance between risk and return is key to maximizing shareholder wealth.” • 在企業內風險是生而俱來的,雖然這些風險的性質或範圍可能不同,但無論對小企業或跨國性大企業而言,同樣都有風險。公司有可能為追求獲利的機會而承擔較大的風險,因此在風險與報酬間取得平衡是極大化股東利潤的關鍵 Executive Summary 2

  7. 目標 單元 1 – 為什麼需要分類分級 – 風險評鑑的準備 組織應如何看待風險ORCA (Object / Risk / Control / Alignment) 企業目標 控制 業務目標 資訊科技目標 財務目標 企業體 資訊安全目標 風險 管理面 技術面 Executive Summary 3

  8. 單元 1 – 為什麼需要分類分級 – 風險評鑑的準備 風險同時會帶來正面與負面的影響 機會 採用新方案 改變 & 創新 風險 抓住機會 及管控風險 Executive Summary 4

  9. 單元 1 – 為什麼需要分類分級 – 風險評鑑的準備 因此… • 風險是未來的不確定事件,該事件會影響組織目標的達成,包括策略、作業、財務或其他目標。 • 所有的投資都有風險 • 不一定賺得到您所想賺的錢 • 一定會有達不到的機會 • 風險越高 報酬越高 • 損失的可能性很大 Executive Summary 5

  10. 單元 1 – 為什麼需要分類分級 – 風險評鑑的準備 風險的本質 • 不確定性(Uncertainty): • 與預期不符 • ex.顧客之信任與否 • 危險(Hazard): • 不利事件之發生 • ex.營運中斷 • 機會(Opportunity) • 之開發與利用 • ex.新科技之使用 Executive Summary 6

  11. 單元 1 – 為什麼需要分類分級 – 風險評鑑的準備 管理階層對於風險看法之轉變 • 過去… • 風險監督是內部稽核之責任 • 風險只是須加以控管之負面因素 • 風險管理係依組織架構執行 • 風險管理係較低階層之責任 • 風險衡量係主觀的 • 未結構化及分歧的風險管理功能 • 現在… • 風險監督是管理當局之責任 • 危機即是轉機 • 風險管理是整合性且適用於企業整體 • 風險管理係為高階層及各執行單位之責任 • 以數量化衡量風險 • 風險管理機制建置於各企業管理系統上 Executive Summary 6

  12. 單元 1 – 為什麼需要分類分級 – 風險評鑑的準備 風險關聯圖 (1) T R T S V V Assets V T V RR T : 威脅 R : 風險 S : 保護措施 RR : 剩餘風險 V : 弱點 Executive Summary 8

  13. 單元 1 – 為什麼需要分類分級 – 風險評鑑的準備 風險評鑑方法論 辨識 報告 分析 風險管 理流程 監控 控制 威 脅 弱 點 利用 增加 增加 防止 曝露 防護措施 資 產 風 險 降低 指示 增加 有 被滿足 防護需求 價 值 Executive Summary 9

  14. 單元 1 – 為什麼需要分類分級 – 風險評鑑的準備 風險的管控 • 組織須藉著經營目標之達成方能成功 • 而目標之達成端賴有效之風險管理 • 所以,有效之風險管理是確保組織成功之關鍵因素 • 目標 : 與創造組織價值相關之目標 • 風 險 : 無法達成目標之因素 • 控制 : 降低風險之方法 • 一致性 : 確認目標、風險及因應控制之一致性 Executive Summary 10

  15. 單元 1 – 為什麼需要分類分級 – 風險評鑑的準備 弱點/威脅與風險之間的關係 高風險 高 威 脅 中度風險 中 低 低風險 低 中 高 弱 點 Executive Summary 11

  16. 單元 2 風險作用本體的分類與分級

  17. 單元 2 – 風險作用本體的分類與分級 風險作用的本體 • 組織目標 • - 由高階管理層級針對組織重要風險進行討論及後續處理 • 系統/流程 • - 由各部門針對所使用系統/流程 進行討論評估 • 人員/軟硬體/資料/文件……等 • - 細部風險評估 孰優孰劣? Executive Summary 4

  18. 單元 5 – 風險作用本體的分類與分級 資訊資產價值評估的觀點 - 業務流程 • 業務流程 • 以資訊資產所支援業務流程之重要性為決定資訊資產價值的主要考量 人員 資料 環境 業務流程 軟體 文件 硬體 通訊 Executive Summary 14

  19. 單元 5 – 風險作用本體的分類與分級 資訊資產價值評估的觀點 - 資料流 • 系統面(資料流) • 以資訊資產所支援處理或儲存的資料為決定資訊資產價值的主要考量 • 軟體 系統程式、資料庫系統 • 硬體 系統伺服器、資料庫主機、磁帶 • 資料 資料 Executive Summary 15

  20. 單元 5 – 風險作用本體的分類與分級 風險管理的策略及方法 • 降低 • 規避 • 轉移 • 接受 • 分析風險來源與弱點 • 辨識風險衝擊 • 風險預防 • 風險因應 Executive Summary 16

  21. 單元 5 – 風險作用本體的分類與分級 風險評鑑- 定量 v.s. 定性 • 定量法則 • 依據組織因不同等級、類別之風險所可能造成之營業損失(金額)來評估風險之等級。 • 因營業風險造成之損失事件類別、規模不一,又因產業別不同及潛在事件影響程度之難以估計,目前較難以定量法則評估風險等級。 • 定性法則 • 依據組織之管理架構、內部控制制度、技術、作業、環境等因素,評估風險等級。 • 以主觀方式評估風險發生之機率,必須透過討論方式,定義出合理客觀之風險值。 Executive Summary 17

  22. 單元 5 – 風險作用本體的分類與分級 資產 Assets • 定義:對組織而言是有價值的事物。 • 資產的範例: • 資料類資產:例如資料庫、資料檔、系統文件、使用者操作手冊等等 • 紙本文件:如合約、公司相關文件等 • 軟體資產:應用系統軟體、作業系統軟體等 • 實體資產:如電腦或通訊設備、儲存媒體等 • 人:員工、客戶或會員等 • 服務性資產:如水、電、瓦斯或通訊服務 Executive Summary 18

  23. 單元 5 – 風險作用本體的分類與分級 評鑑結構 Executive Summary 19

  24. 單元 3 資訊系統層級之主體辨識與分類分級辦法

  25. 單元 3 – 資訊系統層級之主體辨識與分類分級辦法 資訊系統清單的整理 由承辦單位填寫 (附件一) 先行填寫紅色框部分即可 6

  26. 單元 3 – 資訊系統層級之主體辨識與分類分級辦法 資訊系統安全等級評估 整體執行步驟 步驟 判斷施政分類 • 各資訊系統均須依循處理程序填寫「安全等級評估表」 • 步驟 判斷施政分類:資訊類別即為施政分類,(定義詳見行政院秘書處彙編「行政院施政分類架構」),資訊系統依其處理資料之性質,可包含多項資訊類別 • 步驟 評估衝擊影響:依資料保護、業務運作、法律規章、人員傷亡、組織信譽、其他(如:財物損失)等六大構面,分別評估對各資訊類別之影響衝擊,並設定影響構面等級 • 步驟 判斷業務屬性:依據資訊系統之業務屬性(分為關鍵性業務、支援性業務、行政性業務三類),檢視安全等級之合理性 • 步驟 核可:資訊系統安全等級經資訊主管、業務主管確認後,由資訊安全長核定 步驟 評估衝擊影響 步驟 判斷業務屬性 步驟 核可 6

  27. 單元 3 – 資訊系統層級之主體辨識與分類分級辦法 附表一 「(資訊系統名稱)」 安全防護要求等級評估表 步驟 判斷施政分類 步驟 評估衝擊影響 步驟 判斷業務屬性 步驟 核可 7

  28. 單元 3 – 資訊系統層級之主體辨識與分類分級辦法 步驟u:判斷業務分類業務類別的判定 – 第一層 伍、教育及體育 500 第一層請一律填 500 世新大學 電子計算機中心 • 資訊系統鑑別 8

  29. 單元 3 – 資訊系統層級之主體辨識與分類分級辦法 步驟u:判斷業務分類業務類別的判定 – 第二層 9

  30. 單元 3 – 資訊系統層級之主體辨識與分類分級辦法 步驟u:判斷業務分類業務類別的判定 – 第二層 (續) 10

  31. 單元 3 – 資訊系統層級之主體辨識與分類分級辦法 步驟u:判斷業務分類業務類別的判定 – 第二層 (續) 11

  32. 單元 3 – 資訊系統層級之主體辨識與分類分級辦法 步驟u:判斷業務分類 填寫範例 12

  33. 單元 3 – 資訊系統層級之主體辨識與分類分級辦法 步驟v:設定影響構面等級、步驟w–v:檢視資訊類別安全等級(一) 影響構面「資料保護受到損害」 13

  34. 單元 3 – 資訊系統層級之主體辨識與分類分級辦法 步驟v:設定影響構面等級、步驟w–v:檢視資訊類別安全等級 (一) 影響構面「資料保護受到損害」(續) 14

  35. 單元 3 – 資訊系統層級之主體辨識與分類分級辦法 步驟v:設定影響構面等級、步驟w–v:檢視資訊類別安全等級 (二) 影響構面「影響業務運作」 15

  36. 單元 3 – 資訊系統層級之主體辨識與分類分級辦法 步驟v:設定影響構面等級、步驟w–v:檢視資訊類別安全等級 (三) 影響構面「影響法律規章遵循」 16

  37. 單元 3 – 資訊系統層級之主體辨識與分類分級辦法 步驟v:設定影響構面等級、步驟w–v:檢視資訊類別安全等級 (三) 影響構面「影響法律規章遵循」(續) 17

  38. 單元 3 – 資訊系統層級之主體辨識與分類分級辦法 步驟v:設定影響構面等級、步驟w–v:檢視資訊類別安全等級 (四) 影響構面「人員傷亡」 18

  39. 單元 3 – 資訊系統層級之主體辨識與分類分級辦法 步驟v:設定影響構面等級、步驟w–v:檢視資訊類別安全等級 (五) 影響構面「損害組織信譽」 19

  40. 單元 3 – 資訊系統層級之主體辨識與分類分級辦法 步驟v:設定影響構面等級、步驟w–v:檢視資訊類別安全等級(六) 其它 • 由機關視本身業務特性考量可能遭遇衝擊之其他影響構面(如:財物損失),並依需求和本質自行設定分級基準 20

  41. 單元 3 – 資訊系統層級之主體辨識與分類分級辦法 步驟v:設定影響構面等級、步驟w–v:檢視資訊類別安全等級 填寫範例 (1)-人事系統 21

  42. 單元 3 – 資訊系統層級之主體辨識與分類分級辦法 步驟v:設定影響構面等級、步驟w–v:檢視資訊類別安全等級 填寫範例 (2)- 網站 22

  43. 單元 3 – 資訊系統層級之主體辨識與分類分級辦法 步驟w–u:識別業務屬性業務類別的判定 • 資訊系統依其服務之業務屬性分為行政性業務、關鍵性業務、支援性業務等三類,說明如下: • 行政性業務:係指機關內部輔助單位之業務,若輔助單位工作與機關職掌相同或兼具業務單位性質,機關得視情形調整其業務屬性。 • 關鍵性業務:機關在遭遇衝擊時,須確保持續運作之核心業務,以及與民眾生活機能相關之關鍵基礎建設(如:水、電力、通訊電信、農產運銷、金融服務等),均屬關鍵性業務。 • 支援性業務:機關內部業務單位之業務但非列核心業務者,屬支援性業務。 • 由承辦單位主管識別資訊系統之業務屬性,並與「步驟:設定影響構面等級」之結果相勾稽,以檢視所設定安全等級之合理性。 23

  44. 單元 3 – 資訊系統層級之主體辨識與分類分級辦法 步驟w–u:識別業務屬性業務類別的判定 – 不合理的判定 • 資訊系統安全等級與業務屬性通常具有高度關聯性,因此可進行勾稽如下: • 於步驟-1識別業務屬性為「行政性業務」或「支援性業務」,惟於步驟設定部分資訊類別安全等級為「高」級(即等級3)。 • 於步驟-2識別業務屬性為「關鍵性業務」,惟於步驟設定各資訊類別安全等級均為「普」級(即等級1)。 • 如有上述情形者,機關須就其合理性進行確認,如確認無誤,則應於備註欄位說明原因。 24

  45. 單元 3 – 資訊系統層級之主體辨識與分類分級辦法 步驟w–u:識別業務屬性 填寫範例 25

  46. 單元 4 分組實作練習

  47. 單元 4 – 分組實作練習 實作練習 一 • 請填寫各組室之資訊系統清單 (15 分鐘) 43

  48. 單元 4 – 分組實作練習 實作練習 二 • 依清單所列之系統 填寫安全防護要求等級評估表 44

  49. 單元 5 還沒發生的事

  50. 單元 5 – 還沒發生的事 做完了之後呢? • - 決定控管措施 • - 細部風險評鑑 Executive Summary 46

More Related