NO.66 | 2020.04.30
banner
title有備而來 友善列印>>
CISSP課程心得分享-資安風險與管理框架

<資通安全組/徐瑋辰>

  資訊科技帶給人們各種劇烈改變,從1996年瘋養電子雞到2016年怒抓寶可夢;從單向瀏覽網頁、互動式網站、到你沒有想跟他互動卻接收到各種被認為你有興趣的內容,帶來各種驚奇、歡樂與便利的體驗。近日來,為了控制新型冠狀病毒疫情,視訊會議應用為在家工作、上課帶來了解方,然而資訊安全意識抬頭,應用軟體的資安漏洞也成為社會關注焦點,故紛紛停用存在資安漏洞之產品,試圖規避威脅對其產生之風險(risk)。

  教育部字典稱風險為可能發生的危險、危機,常聞「投資一定有風險,申購前應詳閱公開說明書」,對投資者而言風險造成的可能危害就是財產損失。而資訊安全風險,係威脅利用弱點對資產造成衝擊的可能性。

 
圖1 資訊安全風險
(圖片來源:TTC整理)

  提到風險,就會討論到風險管理。聖嚴法師被問及如遇煩惱如何重拾愉快心情時曾言:「禪的態度是:知道事實,面對事實,處理事實,然後就把它放下。簡言之就是:面對它、接受它、處理它、放下它。」風險管理亦然,常見可區分為規避風險、接受風險、降低風險還有轉移風險。若風險成因較單純,則可以選擇規避該風險。在有限的資源下,遇到成因較複雜的風險往往必無可避,僅能透過減弱風險發生的可能性、或者降低風險發生後所造成的衝擊。是以安全管控(security control),並不是完全移除風險,而係透過策略性的控制風險到可接受程度(reasonable)。若組織較單純,所面對風險的數量少,或許風險僅需時常溝通則得以控管至可接受程度;如為較龐大的組織,需要面對大量的風險,往往會造成部分風險處理不當造成不可接受的衝擊,則勢必需要書面治理(written governance),即政策、標準、指引與程序,亦為風險之管理框架。
 
圖2 風險之管理框架
(圖片來源:TTC整理)
 
  政策是管理階層所訂定,所有組織的運作需要符合政策,是最高指導原則。標準是外部引用或者內部訂定之強制規定,組織政策須指名應符合之標準,若沒有符合該標準則追究其責任。指引是組織用以規範活動運作的非強制規定,組織可以制定指引輔助成員更明確地遵循政策和程序,換言之指引使得相對抽象的政策更具體化、形象化。程序是最低階、卻也是最詳細的,程序描述人員實際運作以達成任務的各種行為,透過程序的遵循,不同的人操作亦能達成組織政策與目標。
 
  孟子曾言:「離婁之明、公輸子之巧,不以規矩,不能成方圓」;對風險處理而言,風險管理框架就是規矩,至於組織是否可以憑藉著這套規矩闖過一波波險峻的資安風暴,則有待管理階層識人是否能如離婁之明、組織成員能發揮公輸子的巧勁,齊心戮力落實風險管理。