信息資產(chǎn)
從財會角度來看�,資產(chǎn)是指企業(yè)由于過去的交易而獲得�,具有未來經(jīng)濟效益的事物�,例如企業(yè)花費巨資購買機器設(shè)備���,或是取得某項專利技術(shù),可以為企業(yè)制造產(chǎn)品,創(chuàng)造收入及獲利�,從營運角度來看,任何對于企業(yè)營去有幫助的都算是資產(chǎn)����,例如計算機系統(tǒng)及設(shè)備等,企業(yè)必須通過這些系統(tǒng)設(shè)備才能處理客戶訂單����,所以也是重要資產(chǎn),只要認定為資產(chǎn)�,必然有其價值���,不論有形無形�,都必須列清單予以保管�����,然而過去資產(chǎn)管理重點放在有形資產(chǎn)上����,例如現(xiàn)金、廠房����、辦公室����、機器設(shè)備��、原材料等�����,比較少針對無形資產(chǎn)列賬控及盤點���。
從信息的角度來看��,除了計算機設(shè)備外���,有許多無形資產(chǎn)對企業(yè)營也非常重要,如信息系統(tǒng)����、網(wǎng)站系統(tǒng)、軟件工具�����、交易數(shù)據(jù)及客戶數(shù)據(jù)、甚至是信息人員等��,都是公司非常重要的資產(chǎn)�,也需要列示清單及管理,所以在信息安全方法論中��,將資產(chǎn)分為以下五類:
* 資料:主要指電子形式的檔案����,例如:客戶數(shù)據(jù)、交易數(shù)據(jù)�����、軟件程序原始碼等���。
* 文件:指書面文件,例如會計傳票��、系統(tǒng)開發(fā)文件��、使用手冊����、部門年度計劃��、部門管理辦法���、窗體憑證等。
* 軟件:例如應(yīng)用軟件�����、操作系統(tǒng)�����、程序開發(fā)工具等����。
* 硬件:包括服務(wù)器、個人計算機����、打印機、傳真機����、電話、磁帶及其他相關(guān)外圍設(shè)備等�����。
* 人員:信息部門主管、數(shù)據(jù)庫管理員�����、操作系統(tǒng)管理員�、網(wǎng)絡(luò)管理員、網(wǎng)站設(shè)計人員��、程序維護人員����、機房管理員、電子郵件系統(tǒng)管理員����、防毒軟件管理員、防火墻管理員���、行政助理人員等。
從信息安全與風(fēng)險管理角度來看��,信息資產(chǎn)須適當分類�,標示�,儲存及保護����,并明確劃分保管責(zé)任,信息資產(chǎn)須定期盤點及更新��,信息資產(chǎn)之標示�,使用,傳遞及保管須有相對應(yīng)的控管程序��。
弱點與威脅
如同前面所提���,弱點指的是資產(chǎn)本身脆弱的地方�,就信息資產(chǎn)而言����,弱點可能以下列形式出現(xiàn):
* 資產(chǎn)本身會受到破壞,例如有形資產(chǎn)的實體�����,一旦實體損壞就會喪失功能���,所以必須保護資產(chǎn)實體�。
* 資產(chǎn)一旦被其他人取得,很難排除或發(fā)現(xiàn)其他人使用�,例如計算機軟件,他人取得執(zhí)行程序可以安裝在自己的計算機使用����,因而衍生知識產(chǎn)權(quán)問題。
* 資產(chǎn)可以開放修改或調(diào)整���,例如系統(tǒng)軟件的程序原始碼�,劃是主機系統(tǒng)設(shè)定���,既然可以修改或調(diào)整����,就有正確性問題���,系統(tǒng)軟件原始碼版本不正確�����,會導(dǎo)致交易處理時發(fā)生錯誤���。
* 資產(chǎn)數(shù)量有限,例如銀行使用的大型IBM主機�,一旦毀損,可能必須由美進口才能取得替代設(shè)備��,因而重要計算機設(shè)備有可用性(Availahility)的問題����。
*資產(chǎn)必須是完整的才能發(fā)揮效用,例如消費者透過網(wǎng)絡(luò)購買商品�,在網(wǎng)站輸入交易數(shù)據(jù)或信用卡數(shù)據(jù),必須完整傳送到廠商訂單系統(tǒng)或數(shù)據(jù)庫���,整個交易才會獲得承認�,因而輸入的交易數(shù)據(jù)有完整性的問題���。
弱點本身并不會自己引起損害���,如果沒有威脅,損害就不會發(fā)生��,例如計算機設(shè)備本身雖然有實體����,但是不會無緣無故自己燃燒起來����,但是資產(chǎn)本身的弱點�����,會成為組織中信息安全的缺點或漏洞���,若不能有效控管這些缺點或漏洞�,那到威脅就可能利用弱點對資產(chǎn)造成危害���,并造成企業(yè)損失�����,所以弱點與威脅就可能利用弱點對產(chǎn)造成危害��,并造成企業(yè)損失����,所以弱點與威脅實為一體兩面����,例如資產(chǎn)實體為易燃物���,其面臨的威脅就是火災(zāi)��,兩者合起來就是企業(yè)資產(chǎn)因火災(zāi)而損壞的概率����,再乘上資產(chǎn)價值,可以得到預(yù)期損失��,也就是企業(yè)承受的風(fēng)險��。
基本上��,從信息資產(chǎn)角度來看�,威脅大概可以分成以下幾個來源:
* 天然災(zāi)害:例如雷擊、地震���、水災(zāi)以及非人為因素的火宵等���。
* 人為惡意破壞:例如偷竊,搶奪�、人力敲打等。
* 技術(shù)問題:例如機件故障,流得超載而引發(fā)網(wǎng)絡(luò)斷線或系統(tǒng)中斷等�。
* 意外事件:例如車禍等意外事件所造成的破壞。
控制措施可以保護資產(chǎn)弱點�����、減少威脅��、降低風(fēng)險�,所以針對重大風(fēng)險項目,必須設(shè)計適當控制措施�。例如有實體的信息資產(chǎn)(如計算機主機),可以放置在設(shè)有安全系統(tǒng)的機房內(nèi)����,如此資產(chǎn)弱點就會比較不明顯,而計算機主機遭竊或遭到惡意破壞的威脅也會減輕��,其他控制措施還有像安裝網(wǎng)絡(luò)防火墻�,防毒軟件,不斷電系統(tǒng)����,或是加強信息安全教育訓(xùn)練等。
然而所謂控制措施只是針對個別信息資產(chǎn)或風(fēng)險項目�,而不是企業(yè)整體風(fēng)險����,因此在設(shè)置控制措施時除了考慮成本效益�����,還要顧及彼此的關(guān)聯(lián)性及互補性��,以英國建立的國際信息安全標準為例�,完整的信息安全架構(gòu)(Information Security Management Structure,ISMS)包含十個項目���,詳細內(nèi)容請參考BS7799發(fā)行的資料:
*信息安全政策
*信息安全組織
*信息資產(chǎn)分類與控管
*人員安全
*設(shè)備與環(huán)境的控管
*通訊與作業(yè)程序控管
*系統(tǒng)發(fā)展與維護控管
*存取控管
*企業(yè)永續(xù)經(jīng)營管理
*遵循控管
在這個管理架構(gòu)中���,我們可以看到許多并不是針對特定資產(chǎn)或風(fēng)險的控管項目,但是對于企業(yè)整體信息安全有很大影響�,如管理層對于信息安全的看法及態(tài)度,外來單位存取組織內(nèi)信息處理設(shè)施時的安全管理��,委外加工處理時相關(guān)信息的安全管理��,降低人為錯誤��,偷竊���,欺騙或設(shè)備誤用的風(fēng)險等�����,此外整個架構(gòu)還強調(diào)企業(yè)必須思考如何在發(fā)生重大系統(tǒng)失效或人為疏失時����,不會因此中斷企業(yè)活動,且能保護企業(yè)關(guān)鍵流程持續(xù)運作���,除了將損害降至最小外���,在事后還能從中學(xué)習(xí)并監(jiān)督以后類似事件是否發(fā)生,另一方面還要顧及避免觸犯任何刑事或民事法和已成文的規(guī)范����,合約義務(wù)及信息要求等。
建立信息安全體系
根據(jù)BS7799方法論���,整個信息安全體系的建立可以分為六個步驟:
* 定義信息安全政策
* 定義信息安全體系范圍
* 執(zhí)行風(fēng)險評估程序
* 決定風(fēng)險可接受水平
* 選擇與設(shè)計控制措施
* 提出適用性聲明
【?發(fā)表評論?0條?】