第十二章风险管理实施范惯例

第十二章 風險管理實施範慣例,12-1 資訊安全政策12-2 安全組織12-3 資產分類與控制12-4 人員安全12-5 實體與環境安全,12-6 電腦和作業管理12-7 存取控制12-8 系統開發與維護12-9 商務持續性管理12-10 遵行,12-1 資訊安全政策,1制定資訊安全政策，以對組織的資訊安全管理提供方向與支援在一個組織內，指導如何對資產，包括敏感性資訊進行管理、保護和分配的規則和指示。 2為確保資訊安全政策持續的適宜性和有效性，組織要定期對其進行稽核與評價當影響風險評估的基礎發生變化時，應及時對政策進行檢視。,12-2 安全組織,資訊安全工作只有得到管理階層的重視，控制活動才能得以順利開展。資訊安全三分靠技術，七分靠管理，建立有效的資訊安全管理組織機構是資訊安全管理的基礎。不健全的安全管理機制是資訊安全最大的薄弱點。,12-2-1 資訊安全組織機構,1建立資訊安全管理的議事決策機構資訊安全管理論壇 2在組織內部，建立一個內部協調機制便於資訊安全控制的實施 3明確規定保護資訊資產和執行具體安全過程的責任 4建立資訊處理設施授權程序,5建立管道，獲取資訊安全的建議6加強與其他組織間的協作 7對組織資訊安全進行獨立稽核,12-2-2 第三方存取安全,1識別出第三方存取的風險 第三方存取是指除組織員工以外的其他組織或人員對組織資訊處理設施和資訊資產的存取。 2第三方存取控制措施 根據對第三方存取風險評估的結果，採取適宜的控制方法對其進行安全管制。,12-2-3 外包控制,組織根據企業運作的需要，可能把資訊系統、網路和（或）桌面系統的管理和控制的部分或全部進行外包（委外），例如，系統的維護外包。當組織將資訊處理的責任外包到另一個組織的時候，如果控制不當，會給組織帶來很大的安全風險。,12-3 資產分類與控制,資訊具有價值，應視為資產加以妥善保護。與資訊系統有關的資產包括：資料與文件、軟體資產、有形資產、人員和服務。,12-3-1 資產責任,（1）組織可根據商務運作流程和資訊系統網路拓撲結構識別出資訊資產（2）根據資產的相對價值大小來確定關鍵資訊資產 （3）對每一項資訊資產組織的管理者應指定專人負責其使用和保護 （4）定期對資訊資產進行清查盤點,12-3-2 資訊分類,資訊分類（Information Classification）就是根據資訊的敏感性和重要程度，通過適當的分類方法將資訊劃分為不同的保護等級，明定保護要求，確保資訊安全。 1根據資訊共用和資訊限制的商業運作要求，確定資訊分類原則 2確定資訊標記和管理程序,12-4 人員安全,重大資訊安全事故通常來自組織內部，例如，員工受經濟利益驅使將公司技術圖樣出賣給競爭對手，利用內部系統從事經濟犯罪活動，也可能由於缺乏安全意識或操作技能導致錯誤操作，引起資訊系統故障等。,12-4-1 工作職責與人員考察,1明確安全角色和職責，確保安全政策及安全活動的有效執行2實施人員考察策略 3簽訂保密協定,12-4-2 用戶培訓,用戶（User）是指資訊或資訊系統使用者或操作者。來自用戶的資訊安全威脅，通常是由於安全意識淡薄、對資訊安全政策不理解或專業技能不足等原因。為確保用戶意識到資訊安全的威脅和隱患，並在他們正常工作時遵守組織的資訊安全政策，需要組織提供必要的資訊安全教育與培訓。,12-4-3 安全事故與安全故障反應,1確保及時發現問題 2對事故、故障、薄弱點做出迅速、有序、有效的回應，減少損失 3從事故中吸取教訓 4建立懲戒機制,安全事故與故障的反應過程,12-5 實體與環境安全,實體與環境安全是保護資訊系統基礎設施、設備、媒體免受非法的實體存取、自然災害和環境危害。實體與環境安全主要包括安全區域控制（或實體存取控制）、設備安全及媒體安全三個方面的安全控制。,12-5-1 安全區域,安全區域是需要被組織保護的商務場所和包含被保護資訊處理設施的實體區域，如系統機房、重要的辦公室，也可能是整個工作區域。安全區域的實體保護是透過諸如圍牆、控制台、門鎖等能夠阻擋人員進入的關卡來實現的。,12-5-2 設備安全,設備可能會受到環境因素（如火災、電磁干擾）、未授權存取、供電異常、設備故障等方面的威脅，使組織面臨資產損失、損壞、敏感資訊洩漏或商業活動中斷的風險，因此，設備安全應考慮設備位置、供電、電纜、設備維護、處所外的設備及設備處置與再利用方面的安全控制。,12-5-3 通用控制,對於資訊資產（如文件、筆記型電腦）的遷移不進行適當控制，資產會產生流失，甚至產生商業機密洩漏。為防止資訊及資訊處理設施的洩漏、被竊或毀壞，組織應制定並實施清除桌面、清除螢幕政策和對組織資產遷移進行嚴格控制。,12-6 電腦和作業管理,電腦和作業管理主要介紹作業程序和職責、系統策劃驗收、防範惡意軟體、內務管理、網路管理、媒體處理和安全、資訊和軟體交換七個方面的安全控制方法。,12-6-1 作業程序與職責,為確保資訊處理設備的正確和安全使用，應建立所有資訊處理設施的管理和作業的責任和程序，包括制定適當的作業指南和事故反應程序。應落實責任的分工，減少疏忽的風險和蓄意的系統濫用。,12-6-2 系統策劃與驗收,為使系統的故障風險最小化，應對系統將來容量進行規劃以確保足夠的容量和資源的可用性，並建立新系統的運行要求，在使用之前進行測試與驗收。,12-6-3 惡意軟體的控制,加強用戶防範惡意軟體意識，實施偵測與預防控制手段。 防範惡意軟體必須提高全體用戶的安全意識，這可以透過適當的安全責任、政策，及防範惡意軟體方法培訓來獲得。組織應根據商務運作要求確定具體的偵測與預防控制惡意軟體方法並嚴格實施。,12-6-4 內務管理,為保持資訊處理和通信服務的完整性和可用性，組織要進行資料備份、保持操作者的日常活動的記錄、進行有效處理故障等內務管理活動。,12-6-5 網路管理,網路管理就是對各種網路設備進行設定和監控，包括對網路上的應用程式的設定與監控。網路管理功能包括（1）故障管理 （2）配置管理（3）計費管理 （4）效能管理 （5）安全管理。組織應對其資訊系統進行系統的風險分析，採取一系列的控制以達到和維護網路安全的目的。,12-6-6 媒體處理與安全,1加強可移動電腦媒體的管理 2對媒體進行安全處置 3建立資訊處置與貯存程序4確保系統文件的安全系統文件是指描述應用過程、程序、資料結構、網路拓撲結構、授權過程、資訊安全管理系統結構等方面的文件類檔案。,12-6-7 資訊與軟體交換,組織因商務需要，要與其他組織（如貿易夥伴、供應商、客戶或政府機構等）進行資訊或軟體交換，資訊交換的方法各式各樣，從傳統的郵遞到現代的資料交換系統，因交換方式與所交換資訊與軟體的敏感性與重要性不同，組織所面臨的風險程度也不同，因而應根據風險評估結果確定適宜的控制方法，防止資訊與軟體在組織間交換的過程中遺失、被修改或錯誤操作。,12-7 存取控制,存取控制分為實體存取控制和邏輯存取控制，關於實體存取控制已在本章第12-5節中闡述，本節主要介紹邏輯存取控制的內容。邏輯存取需要進行兩類控制，一是預防性控制，即用於識別每一個授權用戶並拒絕非授權用戶的存取；另一類為探測性控制，即用於記錄和報告授權用戶的行為及非授權存取或存取企圖，或者說對系統的使用與存取情況進行監控。,12-7-1 存取控制政策,組織的商務運作需要資訊的支援，一方面組織要充分利用資訊資源，如透過現代的網路系統實現資訊共用；另一方面，要對資訊的使用進行一定的限制，以達到保護資訊資產的目的。,12-7-2 用戶存取管理,為防止對資訊系統非授權存取，組織應根據存取控制政策的要求對用戶（包括內部用戶和第三方用戶）存取許可權進行管理。管理內容包括用戶登記與解除登記過程、特權管理與存取許可權的稽核。,12-7-3 用戶職責,授權用戶的合作是有效保密的基本條件，要使用戶意識到他們在保持有效存取控制方面的職責，特別是密碼的使用安全與用戶設備的安全。 1用戶要安全選擇與使用密碼 2對無人看守的用戶設備採取適當的保護措施,12-7-4 網路存取控制,為保護網路服務安全，要對內部和外部網路服務的存取加以控制，即在本組織的網路和其他組織的網路或公共網路之間的介面規劃要適當。 要經由建立對用戶及其設備適當的識別機制並對用戶存取資訊服務進行控制。,12-7-5 作業系統存取控制,作業系統可能面臨未經授權的存取、不完整的登錄程序（Logon Procedure）、不能追蹤的稽核（Accountability）、品質不好的密碼，及授權用戶在脅迫的情況下濫用等威脅或薄弱點。為防止未授權的電腦存取，確保系統安全，組織要採用一定的安全設施來限制存取電腦資源。,12-7-6 應用存取控制,資訊系統會受到未授權的存取與修改的威脅，造成敏感資訊洩漏或資訊的破壞，為防止非授權存取儲存在資訊系統內的資訊，應使用應用系統的安全功能（設施）來限制存取，軟體與資訊的存取應限於授權的用戶。,12-7-7 系統存取與使用的監控,未被發現的未經授權的活動會導致重複的濫用，因此，組織應採取適當的措施對資訊系統存取與使用活動進行監視，探測與存取控制政策的偏離，記錄可監控事件，萬一有安全事故發生，能方便的提供客觀證據。對監控的結果要進行檢查，驗證與存取控制政策的一致性。,12-7-8 行動裝置與遠端工作,當使用行動裝置時，應考慮在無保護環境裏的工作風險，並採取保護措施。例如，建立政策並採取適當的控制，以規避行動裝置的風險在遠端工作的情況下，組織應對工作現場採取保護措施並確信已經做好對這種工作方法的適當安排。例如，制定政策與程序，對遠端工作進行授權與控制,12-8 系統開發與維護,本節主要介紹與系統開發與維護活動有關的安全控制方法，包括系統安全要求、應用系統安全、加密技術控制、系統檔案安全、開發和支援過程安全五個方面。,12-8-1 系統安全要來,資訊系統的許多安全控制或安全性是經由系統的開發設計予以實現的。如果在系統設計階段未對系統安全性給予充分考慮，那麼系統本身就存在著先天不足，系統就會向所有威脅公開。 組織要在風險評估與管理的基礎上來分析確定安全要求。,12-8-2 應用系統的安全,為防止應用系統中用戶資料遺失、修改或錯誤使用，應用系統（包括用戶書面應用）應設計有適當的控制、稽核追蹤或活動執行記錄。這些控制包括對輸入資料、內部處理和輸出資料的確認。,12-8-3 加密技術控制,對處於安全顧慮狀況下的資訊，並且其他控制無法對其提供充分保護時，組織要採用加密技術提供保護，為此，組織應有一個使用加密技術的政策，採用適宜的加密技術產品（硬體或軟體），並應確保金鑰的安全。,12-8-4 系統檔案的安全,系統檔案所面臨的典型威脅是使用錯誤程式版本（Versions of Program）而導致資料的錯誤處理與資料破壞，以及由於測試目的使用作業資料而導致資訊洩漏。為確保資訊技術專案和支援活動（如系統開發與測試活動、軟體升級、維護等）以安全方式進行，組織應對系統檔案的存取進行控制。,12-8-5 開發和支援過程中的安全,在應用系統的開發與維護過程中，應用程式的未授權更改、未進行稽核的作業系統的更改、未加限制的套裝軟體的更改等都會給組織應用系統帶來安全風險。為維護應用系統軟體和資訊的安全，組織應對應用系統、作業系統及套裝軟體的更改及開發外包活動進行安全控制。,12-9 商務持續性管理,為消除商務活動所出現的中斷，保護關鍵商務過程免受重大故障或災難的影響，組織應實施商務持續性管理過程（Business Continuity Management Process），即透過預防和恢復控制相結合的方式，使由災難和安全故障所引起的破壞，減至可接受的程度。,商務持續性管理流程,商務持續性管理內容,1建立並實施商務持續性管理過程2進行商務持續性和影響分析，形成一個策略計畫3編制並實施商務持續性計畫4商務持續性規劃方案5對商務持續性計畫定期進行測試、保持和重新評估,12-10 遵行,遵行就是要遵守法律的要求。為確保組織的資訊安全以及國家的資訊安全，不僅要遵行（Compliance）組織自身的資訊安全政策，而且要符合國家法律法規要求，另外，組織在進行符合性稽核時，還應考慮稽核本身對資訊安全的影響。,12-10-1 符合法律法規要求,為了確保國家、組織資訊安全和保護個人隱私，每個國家都會頒佈許多與資訊安全有關的法律法規，組織應當遵守法律法規（強制性的要求），這包括組織在其他國家從事業務時應考慮遵守當地國的法律法規。組織不僅要遵守法律法規，而且要利用法律法規保護組織的利益。,符合法律法規要求的內容,1識別出適用的法律法規2保護智慧財產權(IPR)3保護組織記錄4確保個人資訊的保密性（隱私權） 5防止濫用資訊處理設施 6遵守密碼技術管制條例7確保所收集的證據