《資訊科技風險管理》PPT课件.ppt

第13章資訊科技風險管理 本章大綱 13 1網路通訊環境之威脅與挑戰13 2企業與IT風險架構13 3企業資訊科技風險管理13 4資訊科技風險管理制度之導入與推行13 5資訊安全管理 網路通訊環境之威脅與挑戰 1 6 現今整個電腦環境因為網際網路的蓬勃發展 對資訊風險產生無比的挑戰 因為 有更多破解功能強大的網路入侵工具電腦病毒橫行大量連接點需要監測跨平台管理系統及網路的複雜度管理人員對於安全概念參差不齊實例說明 電腦犯罪實例實例說明 辦公用個人電腦被植入木馬程式 網路通訊環境之威脅與挑戰 2 6 COSO企業風險管理整合架構目標設定 Objectivesetting 企業風險管理確保在實際執行時能夠達成以下四個項目目標 策略的目標營運的目標報告的目標法令遵循的目標 圖13 1企業風險管理整合架構 ERMFramework 網路通訊環境之威脅與挑戰 3 6 事件確認 Eventidentification 風險評估 Riskassessment 風險評估係指企業辨認風險並加以分析之過程 以作為該風險應如何管理之依據 風險回應 Riskresponse 在選定風險回應措施之後必須擬定風險回應之計劃 控制活動 Controlactivities 控制活動乃是控制性的作業活動 資訊及溝通 Informationandcommunication 係指對有關資訊以適時有效之方式予以辨識 蒐集並傳遞予相關人士 使其有效履行其責任 網路通訊環境之威脅與挑戰 4 6 資訊及溝通 Informationandcommunication 係指對有關資訊以適時有效之方式予以辨識 蒐集並傳遞予相關人士 使其有效履行其責任 監督 Monitoring 監督係評估內部控制執行品質之過程 若未做好風險管理可能的損害有以下幾點 阻礙組織創造之價值或侵蝕組織現有價值無法有效連結策略 風險 風險回應非預期風險及損失產生組織或企業危機 網路通訊環境之威脅與挑戰 5 6 發生組織倒閉投資人 企業界人士及其他利害關係人遭受巨大損失 實例說明 家用產品公司使命 策略性目標 風險胃納與風險容忍之關係COBIT是國際電腦稽核協會 ISACA 完成之一套實用的資訊系統稽核與控制標準 用以提供CISA與CISM人員執行業務時之參考 圖13 2風險管理的理念模式 圖13 3使命 目標 風險胃納與風險容忍度之關係 圖13 4COBIT組成架構 網路通訊環境之威脅與挑戰 6 6 COBIT設計為下列三種特殊對象使用 管理階層使用者稽核人員實例說明 KPMG與英國審計總署風險管理最佳實務 企業資訊科技風險管理 1 2 企業IT風險受IT資產與程序影響的四項企業風險 包括不能達成以下四個目標的風險 可用 Availability 存取 Access 正確 Accuracy 靈活 Agility 可用的風險使用內部資源實例說明 銀行提款離線備援程序使用外部資源 圖13 5企業資訊科技風險管理 企業資訊科技風險管理 2 2 存取的風險正確的風險實例說明 資料正確性是電腦的錯還是人的錯靈活 Agility 的風險實例說明 IT風險因子調查 圖13 6IT風險金字塔 圖13 7IT風險管理應由各事業單位與專責單位分工負責 圖13 8公司風險描述圖 資訊科技風險管理制度之導入與推行 如何導入IT風險管理制度一個組織推行導入IT風險管理制度可歸納成以下四方向 型塑風險管理文化培養風險意識 建立風險圖提升風險管理能量支持系統實例說明實例說明 Motorola安全風險地圖實例說明 PacificLifeInsuranceIT風險管理專案 圖13 9風險管理導入運作模式 圖13 10IT風險地圖 用以訂定優先次序與監督實際風險情形 圖13 11日常風險監督確保最重要的風險快速處理 圖13 12太平洋集團組織圖 圖13 13IT共用系統組織 圖13 14太平洋保險IT共用系統與IT治理模型 資訊安全管理 1 2 資訊安全管理的迷思BS7799資訊安全管理制度實例說明 銀行BS7799之導入網路入侵偵測技術之發展與運用實例說明 某政府機關評估安全措施有效性 由高至低排序 實例說明 資訊安全經理人 CISM 考試數位證據與電腦鑑識實例說明 美國資通安全鑑識組織資訊系統稽核實例說明 政府機關無線網路稽核 圖13 15IDS偵測器配置架構圖 圖13 16防範 網路竊取資料的有效性 某機關內部評估有效性高至低排序 圖13 17C政府機關無線區域網路資訊安全分項稽核評估綜合說明表