信息安全管理制度风险评估手册

目 录

一前言 ................................................................................................. 错误！未定义书签。 二本文 ................................................................................................. 错误！未定义书签。 1 風險的定義及其本質 ........................................................................ 错误！未定义书签。 2 風險管理對資訊安全管理系統的重要性 ............................................ 错误！未定义书签。 3資訊風險管理與資訊風險評估之關連 ................................................ 错误！未定义书签。 4各種資訊風險評估作業程序之比較與建議 ......................................... 错误！未定义书签。 5結論 .................................................................................................. 错误！未定义书签。 6參考文件與標準 ................................................................................ 错误！未定义书签。 三作者簡介： ....................................................................................... 错误！未定义书签。

编序

自从行政院于民国九十年一月十七日第二七一八次院会通过「建立我国通信息基础建设安全机制计划」，并成立「国家资通安全会报」后，即开始结合内政、外交、国防、财政、教育、法务、经济、交通等部会，针对电力、电信、金融、交通等国家基础建设之安全防护，共同研讨相关因应作为，其中对于教育训练的重视与人才之培育，更是重点工作项目之一。

依照国家资通安全会报综合业务组之规划，整个教育训练的时程大致上可分为资通安全基础训练建置，资通安全防护及运用训练，资通安全专业训练三大阶段；而编撰本手册之源由，系配合国家资通安全会报对于政府机构建立信息安全的基本防范能力，以及建立信息安全的防范体系所做的一连串配套措施之一，旨在提升政府机构人员对于信息安全管理系统的基本认知以及针对实际建置管理系统所需的程序提供相关教育训练。

本手册编撰由中华民国计算机稽核协会负责，将发行给政府单位作为执行信息安全管理制度时之参考书籍。有鉴于大多数政府机关人员对于信息安全管理系统及其建置程序并未有完整之观念，或是仍存有部份之迷思，其中有关于信息风险评估的原理及执行程序是最易令人产生困惑之处，因此本手册之编排方式将先针对信息风险的定义及其本质予以简介，然后说明如何管理信息风险以及介绍信息安全管理系统建置程序；最后再引导至风险评估对于整个信息安全管理系统的重要性以及介绍目前国际上较为通用的风险评估方式，期望能协助各单位有所依循且有效地执行信息安全管理制度之推行。

国家资通安全会报技术服务中心 谨订

中华民国九十二年四月

Page:2 of 25

一、前言

运用信息技术尚需注意人性的管理：

很多人在一接触到信息安全管理系统(Information Security Management System，简称ISMS)时，首先浮现的念头大多是「一种非常专业的知识，只有信息相关的从业人员才可以胜任」。但有趣的是，当发生了信息安全事件时，信息人员也常表示「我们己经提供了最佳设备及软件，也对相关人员实施了相关的教育训练」；那么信息安全事件何以还是在我们的周遭不断地重复发生呢？

当从新闻媒体或是报章杂志得知了台湾又发生了信息安全事件时，很多人总想一探究竟地了解到底在安全系统中是哪里出现了漏洞，让为非做歹者有机可乘。而事实是，不论是在金融业、公共事业或是其它与信息相关的产业，绝大部份造成信息安全事件的原因都不是专业技术的层面，而是在人性面上出现的漏洞所导致。不可否认的是，蓄意犯罪的人员的专业素养及用功认真的程度是远高过于我们一般的从业人员，尤其在信息安全事件方面，有鉴于此，我们也必须要有一套能在组织中展开的信息安全管理机制，藉由组织内人员的知识及警觉来形成信息安全的防护网，使得有心人士不会那么容易的得逞，即使是提高了犯罪的成本或是难度，这也就是某种程度的信息安全防护了。

风险评估是信息安全管理制度的重要建置步骤：

…… 此处隐藏2329字 ……

信息风险系指可能影响资产、流程、作业环境或特殊企业组织之威胁，威胁性质包括财务、法令、策略、科技、数据运用及可能影响企业环境之结果。信息安全管理系统的建置人员应着重于与信息安全管理三要素有关之风险等级，此等风险等级通常容易产生信息机密性、完整性或可获得性之损失。

而信息风险的要素可表现于下列方面：

A. 外部威胁、内部弱点、需要保护的作业或信息资产。

B. 依据资产之威胁及弱点之影响做成冲击分析(Impact Analysis)。

C. 依管理目标与现实状况所做之差异分析(Gap Analysis)及评估风险可能发生之机率。

1.5 信息风险的种类：

Page:5 of 25