1、 1 印行年月 94 年 10 月 本標準非經本局同意不得翻印 中華民國國家標準 CNS 總號 類號 ICS 35.040.00 14929-1X6046-1經濟部標準檢驗局印行 公布日期 修訂公布日期 94 年 5 月 13 日 年月日 (共 20 頁 )資訊技術資訊技術安全管理指導綱要第 1 部:資訊技術安全概念與模型 Information technology Guidelines for the management of IT security Part 1: Concepts and models for IT security 目錄 節次 頁次 導論 3 1. 適用範圍 . 4
2、 2. 參考文件 . 4 3. 用語釋義 . 4 4. 結構 5 5. 目標 5 6. 背景 5 7. IT 安全管理的概念 6 7.1 方法 . 6 7.2 目標、策略和政策 6 8. 安全元件 . 8 8.1 資產 . 8 8.2 威脅 . 8 8.3 脆弱性 9 8.4 衝擊 . 10 8.5 風險 . 10 8.6 保護措施 10 8.7 殘餘風險 11 8.8 限制條件 11 9. IT 安全管理的過程 12 9.1 組態管理 12 9.2 變更管理 13 9.3 風險管理 13 9.4 風險分析 13 9.5 可歸責性 14 9.6 安全認知 14 9.7 監視 . 14 2 CN
3、S 14929-1, X 6046-1 9.8 應變計畫和災難的復原 15 10. 模型 15 11. 彙總 19 英中名詞對照表 . 20 3 CNS 14929-1, X 6046-1 導論 本標準之目的為提供資訊技術 (Information Technology; IT)安全管理方面的指引,並非提供解決的方法。組織內負責 IT 安全的相關人員,可採用本標準的內容以符合其特定的需求。本標準的主要目標是: 定義及描述與 IT 安全管理有關的概念。 識別 IT 安全管理與一般 IT 管理之間的關係。 呈現一些可以被使用於解釋 IT 安全的模型。 提供 IT 安全管理的一般指引。 本系列標準分
4、為 5 部。第 1 部提供基本概念之概觀與使用於描述 IT 安全管理的模型。這部的內容適合負責 IT 安全之管理者與負責組織整個安全程式的人員。 第 2 部描述管理與規劃方面。這部是與負責關於組織之 IT 系統的管理者有關。包含: 負責監督 IT 系統的設計、實作、測試、採購、或操作的 IT 管理者。 負責 IT 系統之實際使用活動的管理者。 第 3 部描述牽涉專案生命週期中之管理活動 的安全技術,例如:規劃、設計、實作、測試、獲取或操作。 第 4 部提供保護措施之選擇的指引,且如何藉由基準版本模型與控制的使用以支援這些指引。它也描述如何補充在第 3 部所描述的安全技術,與如何使用額外評鑑之方
5、法於保護措施的選擇。 第 5 部針對負責管理 IT 安全的人員,提供關於網路與通訊的指引。本指引支援建立網路安全需求時,必須考量的通訊相關要素的識別與分析。它也包含一個可能的保護措施領域之簡短的導論。 4 CNS 14929-1, X 6046-1 1. 適用範圍 本系列標準包含資訊技術 (Information Technology, IT)安全管理的指引。本標準介紹 IT 安全管理本質的基本管理概念和模型。這些概念和模型將於以後各部進一步討論和發展 (develop)以提供更詳細的指引。這幾部可集合起來用以協助識別和管理IT 安全的各方面。要完全了解本系列標準,第 1 部不可或缺。 2.
6、參考文件 CNS 13204-2 資訊處理系統開放系統互連基本參考模型第 2 部:安全架構 3. 用語釋義 下列用語釋義適用於本系列標準第 1 部至第 3 部。 3.1 可歸責性 (accountability):保證個體 (entity)的動作可被唯一地追溯到 此個體的性質 (CNS 13204-2)。 3.2 資產 (asset):對組織有價值的任何事物。 3.3 鑑別性 (authenticity):本性質確保物件或資源之識別如所聲稱者。鑑 別性會應用至個體,諸如:使用者、過程 (process)、系統及資訊。 3.4 可用性 (availability):經授權個體因應需求之可存取及可
7、使 用的性質 (CNS 13204-2)。 3.5 基準控制措施 (baseline controls):為系統或組織建立之保護措施的最小集合。 3.6 機密性 (confidentiality):使資訊 不可用或不揭露給未經授權之個人、個體或過程的性質 (CNS 13204-2)。 3.7 資料完整性 (data integrity):尚未以未經授權方式來改變或銷毀資料的性質(CNS 13204-2)。 3.8 衝擊 (impact):不想要的意外事故的結果。 3.9 完整性 (integrity):參見資料完整性和系統完整性。 3.10 資訊技術安全 (IT security):關於定 義
8、、完成以及維持機密性、完整性、可用性、可歸責性、鑑別性和可靠性的所有方面。 3.11 IT 安全政策:用以統理在組織及其 IT 系統內,資產 (包括敏感資訊 )如何管理、保護與分發的規則、指令 (directives)及實務 (practices)。 3.12 可靠性 (reliability):與預期行為和結果一致的性質。 3.13 殘餘風險 (residual risk):在實作保護措施之後剩餘的風險。 3.14 風險 (risk):已知威脅利用單一或一群資產的脆弱性造成資產損失 或損壞的潛在可能性。 3.15 風險分析 (risk analysis):識別安全風險、決定它們的程度,以及識
9、別需要保護措施區域的過程。 3.16 風險管理 (risk management):識別、控制以及排除或最小化可能影響 IT 系統資源的不確定事件的全部過程。 3.17 保護措施 (safeguard):降低風險的實務、程序或機制。 3.18 系統完整性 (system integrity):系統在免於故意或意外未授權系統操作之未損害的情況下,執行其預定功能的性質。 5 CNS 14929-1, X 6046-1 3.19 威脅 (treat):因不需要的事故而可能造成系統或組織傷害的潛在可能性。 3.20 脆弱性 (vulnerability) :包含會受到威脅利用的單一或一群資 產的弱點(
10、weakness)。 4. 結構 本標準結構如下:第 5 節點出本標準的目標 (aim)。第 6 節提供 IT 安全管理所需求的背景資訊。第 7 節指出 IT 安全概念和模型的一般概觀。第 8 節細數 IT 安全的基本元件。第 9 節討論 IT 安全管理使用的過程。第 10 節提出數個對於了解本標準所要表現的概念相當有用的模型和一般性的討論。最後,本標準彙總於第 11 節。 5. 目標 (aim) 本系列標準係為各式各樣的讀者所寫。本標準旨在描述 IT 安全管理範圍內多樣的主題,並提供基本的 IT 安全概念和模型的簡要介紹。為了提供高階管理概觀,所以內容維持簡潔,應可適合組織內負責安全的資深管
11、理者以及對本系列標準其他部有興趣的人員給予 IT 安全簡介。第 2 和 3 部是以第 1 部所提出的概念和模型為基準,提供更廣泛的資訊和內容,適合於直接負責執行和監視 IT 安全的個別人員。 本系列標準無意建議 IT 安全的特定管理方法。相反地,本系列標準以有用的概念和模型的一般性討論為起點,而以討論 IT 安全管理可使用的特定技術和工具做為結束。本題材屬一般性且適用於許多不同風格的管理和組織環境。本系列標準的組織方式,允許修改題材,以符合組織的需要及其特定管理風格。 6. 背景 政府和商業組織大量依賴利用資訊來進行營運活動。失去資訊和服務的機密性、完整性、可用性、可歸責性、鑑別性和可靠性將會
12、對組織有不利的衝擊。因此,保護資訊以及管理組織內資訊技術 (IT)系統安全是急迫需要。在今天的環境下保護資訊的需求特別重要,因為許多組織利用資訊系統的網路做內部和外界的連接。 IT 安全管理是一個用來達到並維持適當等級的機密性 、完整性、可用性、可歸責性、鑑別性和可靠性的過程。 IT 安全管理功能包括: 判定 (determining)組織 IT 安全的目標 (objective)、策略和政策。 判定組織 IT 安全的需求。 識別並分析組織內 IT 資產安全上的威脅。 識別並分析風險。 規定適當的保護措施。 監視所需要之保護措施的 實作和操作,以便於合乎成本效益地保護組織內資訊和服務。 發展並
13、實作安全認知 (awareness)計畫。 事故的偵測和反應。 為了滿足 IT 系統的這些管理責任,安全必須是組織整體管理計畫不可缺少的一部分。結果,述明於本標準的幾個安全主題具有較廣的管理意涵。本標準並沒有著重在寬廣管理議題上的意圖,而是寧可著重在安全方面的主題以及它們與一般管理的關係。 6 CNS 14929-1, X 6046-1 7. IT 安全管理的概念 採取依據考量組織經營文化和環境需求的觀念,對於整體安全有重大的影響,以及會衝擊到那些負責保護組織特定部分的事物。並且在一些情況下,政府應該要負責而且要加強法令和法律的實施。而其他的情況下,認定要負責資訊安全的是擁有者或管理者。這個議
14、題對於採用的觀念會有相當的影響。 7.1 方法 在組織內對 IT 安全需求的識別需要系統化的方法,對於 IT 安全的實作以及其進行中的管理也是如此。此過程被稱為 IT 安全管理並包括以下的活動: IT 安全政策的發展。 識別組織內的角色和責任。 涉及識別和評鑑 (assessment)下列各項的風險管理: 被保護資產。 威脅。 脆弱性。 衝擊。 風險。 保護措施。 殘餘風險。 限制條件。 組態管理。 變更管理。 應變規劃和災難復原規劃。 保護措施的選擇和實作。 安全認知。 後續作為,包括: 維護。 安全稽核。 監視。 審查。 事故處理。 7.2 目標 (objective)、策略和政策 組織的
15、安全目標、策略和政策 (參照圖 1)需整合以作為組織內 IT 安全的基礎。其支援組織的營運,並一起確保所有保護措施之間的一致性。目標識別出應該達成什麼、策略識別出如何達成這些目標,而政策則識別出需要完成什麼。 7 CNS 14929-1, X 6046-1 圖 1 目標、策略和政策之階層圖 、企業的目標 策略和政策、企業安全的目標 策略和政策、企業IT安全的目標 策略和政策IT系統安全 (1) 、的目標 策略和政策、企業財務的目標 策略和政策、企業人員安全的目標 策略和政策IT系統安全 (n) 、的目標 策略和政策目標、策略和政策可能要從企業至組織的營運層級上階層式的發展。其宜反映組織上的需求
16、及計入任何組織上的限制條件,同時,其宜確保每個層級至所有層級都維持一致性。安全是組織內所有的管理層級的責任,並且在系統生命週期的所有階段發生。目標、策略和政策宜以定期的安全審查 (例如:風險分析、安全稽核 )的結果及企業目標之更迭為基準,予以維護並且更新。 企業的安全政策,本質上為了組織整體是由安全原則及指令所組成。企業的安全政策必須反映廣泛的企業政策,包含指出個人權利、法律要求和標準。 企業的 IT 安全政策必須反映本質上的的安全原則及指令,以適用於組織內之企業安全政策及 IT 系統的一般用途。 IT 系統安全政策必須反映包含於企業 IT 安全政策中的安全原則及指令。其亦宜包含需實作之特別安
17、全需求以及保護措施的細節,和如何正確地使用其以確保適足的安全。不管在任何情況下,對於組織營運所需要有關的有效執行是重要的。 IT 系統安全的目標、策略和政策代表何者是 IT 系統安全項目所期待的。通常其以自然語言表達,不過可能有需要利用到一些較正式的數學語言型式表達。其宜強調 IT 安全的考量,例如: 機密性。 完整性。 可用性。 8 CNS 14929-1, X 6046-1 可歸責性。 鑑別性。 可靠性。 目標、策略和政策將對組織建立安全等級、對風險接受度之臨限以及組織應變需求。 8. 安全元件 以下各節大體描述涉及安全管理過程的主要元件。每一元件皆會予以簡介並識別其主要功能因素。此元件更
18、詳細的描述和討論及其關連參照本系列標準其他各部。 8.1 資產 適當的資產管理對於組織的成功是相當 重要,而且是所有管理層級的主要責任。組織的資產包括: 實體資產 (例如:電腦硬體、通訊設施、建築物等 )。 資訊 /資料 (例如:文件、資料庫等 )。 軟體。 生產產品或提供服務的能力。 人員。 無形的資產 (例如:商譽、形象 )。 這些資產大部分或全部可被視為是有價值的,足以保證某種程度的保護。如果這些資產不加以保護,則需要可接受的風險評鑑。 從安全的觀點而言,如果沒有識別組織的資產,不可能實作和維護成功的安全計畫。在許多的情況下,能夠在非常高的層級下完成識別資產的過程並鑑定其值,而且,不需要
19、耗錢、詳細及耗時的分析亦能達成。分析之詳細程度必須依據時間和費用對該資產價值來衡量。在任何情況下,詳細的程度宜以安全目標為基礎而做判定。在許多情況下,其有助於集團資產。 要考量的資產屬性包括其價值及 /或敏感度以及任何固有的保護措施。保護資產的需求會受到其在特定威脅存在下的脆弱性而左右。如果資產擁有者明白這些面向,宜於此階段掌握住它們。組織的經營環境和文化可能會影響資產及其屬性。例如:一些企業文化會認為個人資訊的保護非常重要,但其他企業則不認為重要時。這些環境和文化的差異對於國際組織及其跨國 IT 系統的使用深具意義。 8.2 威脅 資產很容易受到許多種類的威脅。威脅有可能發生不想要的事故而對
20、系統或組織及其資產造成傷害。此傷害出現係由於 IT 系統或服務正在處理的資訊受到直接或間接的攻擊所導致,例如未經授權的破壞、揭露、修改、毁壞和不可用或損失。威脅需要利用資產存在的脆弱性,以便成功地造成資產的傷害。威脅可能是天然或人為因素,而且可能是意外或故意的。意外與故意兩種威脅都應該要加以識別,並評鑑它們的等級以及可能性。 威脅之範例: 9 CNS 14929-1, X 6046-1 人為 環境 故意 意外 竊聽 資訊修改 系統侵入 惡意的程式 竊盜 錯誤和疏忽 檔案刪除 不正確的選路 (routing) 實體的意外 地震 閃電 水災 火災 可以使用關係到許多環境威脅型式的統計資料,組織宜於
21、威脅評鑑過程中取得並使用此資料。威脅可能衝擊到組織的特定部分,例如:個人電腦的分解。某些威脅可能對系統或組織存在的特定位 置的周圍環境造成一般性的衝擊,例如:颶風或閃電對建築物的傷害。威脅可能來自於組織內發生,例如:員工罷工,或者來自於外界,例如:惡意的侵入或企業的間諜活動。不想要的意外所造成的傷害可能是暫時性本質或是如同資產毀滅情況下的永久性傷害。 每次威脅發生所造成傷害的程度會變化多端,例如: 軟體病毒依照它的動作可能造成不同程度的傷害。 於特定地點地震,每次可能有不同強度。 此類威脅常有與其相關之嚴重性量測,例如: 可能用破壞性或非破壞性描述病毒。 地震強度可能用芮氏地震儀的強度描述。
22、一些威脅可能影響到一個以上的資產,在這種情況下,它們可能依據被影響的資產而有不同的衝擊。例如:電腦病毒在單一個人電腦可能是有限或局部的衝擊,不過,相同的電腦病毒在網路為基礎的檔案伺服器可能有蔓延的衝擊。其他的威脅或者相同的威脅在不同的位置所造成的傷害程度可能一樣。如果威脅造成一致的傷害,將要用同屬的方法。不過,如果是廣泛而且多種的傷害,威脅的發生則需更特定的防治方法。 威脅具提供關於威脅本身有用資訊的特性,此資訊範例包括: 來源,例如內部人員或外部人員。 動機,例如:財務利益、競爭利益。 發生頻率。 威脅嚴重性。 組織所在的環境和文化對於組織如何處理威脅有重大關係和影響。極端的例子是,有些威脅
23、在某些文化下可能不被認為會有傷害。因此,在提擬組織威脅時,必須要考量環境和文化方面。 8.3 脆弱性 與資產相關的脆弱性包括實體排列、組織、程序、人員、管理、行政、硬體、軟體或資訊的弱點。它們可能會被造成 IT 系統或營運目標傷害的威脅所利用。脆弱性本身不會造成傷害,脆弱性只是 可能讓威脅影響資產的一個或一組條 10 CNS 14929-1, X 6046-1 件。需要考量不同來源所發生的脆弱性,例如那些資產本質。脆弱性可能持續存在,除非資產本身改變導致脆弱性不再出現。 脆弱性包括能夠被利用並可能導致不預期結果的系統弱點。它們是可能會讓威脅造成傷害的機會,例如:欠缺存取控制機制 (mechan
24、ism)是一個能夠讓侵入的威脅發生並且失去資產的脆弱性。在特定系統或組織的範圍內不是所有的脆弱性都容易導致威脅。具有對應威脅的脆弱性才是立即的關鍵事務 (concern),不過當環境是動態變化時,應該要監視所有的脆弱性以識別那些變成已曝露的舊有或新的威脅。 脆弱性分析是檢查那些可能已識別的威脅所利用的弱點。這個分析必須進行考量環境和目前的保護措施。一特殊系統或資產對於威脅的脆弱性是系統或資產可能被傷害的容易性聲明。 8.4 衝擊 衝擊是故意或意外所造成不想要的事故的結果,此結果會影響到資產。這結果可能是某種資產的毀滅、 IT 系統的損害以及失去機密性、完整性、可用性、可歸責性、鑑別性或可靠性。
25、可能的間接影響包括財務、市場佔有率或公司形象的損失。衝擊的衡量可以在不想要事故的結果和防止不想要事故所需保護措施費用之間做一個平衡。需要估算不想要事故發生的頻率,當每次發生此事故所造成的傷害是低的,但合計許多事故的全部時間的影響就會有傷害的時候,發生頻率的估算就非常重要。衝擊的評鑑對於風險的評鑑和保護措施的選擇是一個重要的元件。 可採用數種方式達成衝擊的定量和定性測定,例如: 制定財務成本。 指定嚴重程度的經驗尺度,例如從 1 到 10。 從預先定義的表列中選出使用的形容詞,例如:低、中、高。 8.5 風險 風險是某威脅將利用脆弱性直接或間接 造成組織一個或一群資產受到漏失或損害的可能性。單一
26、或數個威脅可能利用單一或數個脆弱性。 風險情節描述特定或一群威脅可如何利用特定或一群脆弱性傷害資產。風險是用兩個因素的結合來定其特性,此二個因素是不想要之事故的發生可能性以及其衝擊。資產、威脅、脆弱性和保護措施的任何變更可能對於風險有重大效應。早期偵測或環境或系統中變化之知識,會增加採取適當動作降低風險的機會。 8.6 保護措施 保護措施是能夠防止威脅、降低脆弱性、限制不想要之事故的衝擊、偵測不想要之事故以及促進復原的實務、程序或機制。有效的安全性經常需要不同保護措施的組合,以提供資產多層次的安全性。例如:用於電腦的資產控制機制應有稽核控制、人事程序、訓練和物質安全的支援。一些保護措施可能已經
27、存在成為環境的一部分或已成為資產固有面向,或者可能已經在系統或組織裏。 保護措施可被視為履行一個以上的下列功能,包括:偵測、防止、避免、限制、 11 CNS 14929-1, X 6046-1 修正、復原、監視和認知。適當的選擇保護措施是適當地實作安全計畫的根本。許多的保護措施提供數個功能。選擇會滿足數個功能的保護措施通常有較高的成本效益。一些能使用保護措施的領域其範例包括: 實體環境。 技術環境 (硬體、軟體和通訊 )。 人事。 行政管理。 安全的認知是一種保護措施,並且關係到人事的領域。由於其重要性,所以將在第 9.6 節討論。組織的營運環境和文化可能會關係到選擇的保護措施以及組織的安全認
28、知。某些保護措施會傳送關於組織對於安全的態度的送有力且清楚的訊息。在此考量下,選擇對於組織營運之文化及 /或社會不會冒犯的保護措施是重要的。 保護措施的範例是: 網路防火牆。 網路監視和分析。 機密性的加密。 數位簽章。 防毒軟體。 資訊的備份複本。 備用電源。 存取控制機制。 8.7 殘餘風險 保護措施通常只能減輕部分風險。部分減輕通常都可以達成,而要減輕更多就要花費更高。這表示經常有殘餘的風險。判斷安全是否適合組織需要的部分是殘餘風險的接受度。此過程即為風險接受度。 管理者宜認知所有殘餘風險的衝擊以及事件發生的可能性。必須由那些將受到發生不想要事故的衝擊影響的人員,以及如果無法接受殘餘風險
29、時,能夠授權實作額外保護措施的人員,來決定殘餘風險的接受與否。 8.8 限制條件 限制條件通常由組織管理階層設定或認定,並受到組織營運環境所影響。一些要考量的限制條件實例如: 組織。 財務。 環境。 人員。 時間。 法律。 技術。 12 CNS 14929-1, X 6046-1 文化 /社會。 在選擇和實作保護措施時,必須要考慮所有的因素。定期要審查目前和新的限制條件,並識別任何的變更。亦宜注意限制條件會隨著時間、地點及社會演進而改變,組織文化亦然。組織的經營環境和文化可能關係到數個安全元件,特別是威脅、風險和保護措施。 9. IT 安全管理的過程 IT 安全管理是進行中的過程由若干其他過程
30、所組成。 諸如組態管理和變更管理等一些過程,亦適用於安全以外的範圍。經驗已證明,在 IT 安全管理中非常有用的一項過程是風險管理暨其風險分析子過程。圖 2 所示為各方面的 IT 安全管理,包括風險管理、風險分析、變更管理以及組態管理。 9.1 組態管理 組態管理為針對系統持續追蹤變更系統的過程,並且,正式或非正式地執行。組態管理的主要安全目標是確保變更系 統不會降低保護措施的效力以及整體組織的安全。 組態管理的安全目標是去知道已經發生何種變更,而不是使用安全來當作避免改變 IT 系統的手段。在某些情況下,可能有些理由要做會降低安全的改變。在這些情況下,應該要評鑑降低安全的風險,同時要做以所有相
31、關因素為基礎的管理決策。換句話說,系統變更必須適當地說明安全考量。組態管理的另一個目標是確保系統變更反映到其他的文件,諸如災難復原和應變計畫。如果屬主要改變,則可能需要再次分析一些或全部的系統保護措施。 圖 2 IT 安全管理的面向 IT安全管理變更管理組態管理風險管理監視安全認知風險分析 13 CNS 14929-1, X 6046-1 9.2 變更管理 變更管理是當 IT 系統發生改變時,用來協助識別新安全需求的過程。 IT 系統和他們操作的環境固定地改變。這些改變是新的 IT 功能和服務之可用性的結果或者是發現新的威脅和脆弱性。 IT 系統的改變包括: 新程序。 新功能。 軟體更新。 硬
32、體改版。 包括外界群組或不具名群組的新使用者。 額外的網接 (networking)和互連。 當發生或規劃變更 IT 系統時,判定該變更將對系統安全有什麼衝擊是重要的。如果系統有組態控制委員會或者其他組織性結構來管理技術性的系統變更,則宜指派 IT 安全官 (security officer)到這個委員會,並給予決定關於變更是否會衝擊到安全的責任,以及如果會衝擊的話,其程度為何。針對涉及購買新硬體、軟體或服務等主要變更,將需要分析以判定新的安全需求。另一方面,系統的許多變更在本質上屬輕微,而不需要重大變更才需要的廣泛分析。對於這兩種型式的變更,宜進行考量利益和成本的風險評鑑。對於較小的變更,可
33、能會在會議裏非正式的執行,不過應該於文件記載結果和管理者的決定。 9.3 風險管理 如果風險發生在整個系統發展生命週期內,風險管理是最有用的方法。風險管理過程本身是一個主要工作週期。當新的系統遵照整個週期的時候在承續系統的情況下,能夠在系統生命週期的任一點開始。這策略可能會指定在系統生命週期的某一點或預定的時間完成審查。可能有先前審查的後續動作以及檢查保護措施實作進展的目標。在設計和開發系統期間可能有完成風險管理的需要,如此可確保是在最有成本效益的時間上設計和執行保全。當規劃系統要重大改變時,也應該要開始進行風險管理,第 10 節圖 4 顯示風險管理所涉及的元件。 不管使用何種風險管理方法或技
34、術,在仍然確保所有系統是受到適當的防護,與保護資源以最少的時間和花費在識別與實作保護措施之間,提供良好的平衡是重要的。 風險管理是比較評鑑風險以及保護利益和 /或成本,並推導出與企業 IT 安全政策和商業目的一致的執行策略與系統安全政策的過程,應該要考量不同型式的保護措施並且完成成本和 /或利益分析 。選擇關係到風險和可能衝擊的保護措施。同時也要考量殘餘風險的接受度。 亦宜注意保護措施本身也可能包含脆弱性,並因此造成新的風險。如此必須要小心地選擇適當的保護措施,不但降低風險而且也不引入潛在性新風險。 以下的各節提供關於風險管理過程之額外細節。 9.4 風險分析 風險分析識別需要被控制或接受之風
35、險,在 IT 安全的全景中, IT 系統的風險 14 CNS 14929-1, X 6046-1 分析涉及資產價值、威脅和脆弱性之分析。以破壞機密性、完整性、可用性、可歸責性、鑑別性或可靠性所造成的潛在衝擊評鑑風險。審查風險分析之結果是資產風險可能性的聲明。 風險分析是風險管理的一部分,並且,針對所有系統執行初始簡短分析,而無需投資額外的時間和資源就能完成。這將判定實務作業準則或基準控制措施能適當地保護哪些資訊系統,以及那些將從詳細風險分析審查而獲益的系統。實務作業準則是由一組能夠用來當作協定 及最佳實務作業之一般基礎的指引和基準控制措施所組成,以符合基準保護需求。 9.5 可歸責性 有效的安
36、全需要可歸責性與明確指定及認可的安全責任。需要指定責任和義務給 IT 系統的資產擁有者、提供者和使用者。因此,資產所有權及相關安全責任,搭配履行安全稽核,對於安全之有效性是很重要的。 9.6 安全認知 安全認知是有效安全的基本元件。組織內人員缺乏安全認知與不足之安全實務將會大大的降低保護措施的效果。組織內的個人通常會被認為是安全環節最弱的一環。為了確保目前存在於組織內安全認知程度的足夠性,制定並維持有效的安全認知計畫是重要的。安全認知計畫的目的要向員工、夥伴和供應者說明: 安全目標、策略和政策。 安全的需要與它們相關的角色及責任。 計畫的設計除了宜刺激員工、夥伴和供應商以外,同時要確保他們接受
37、保全的責任。 安全認知計畫宜實作於負責每天活動從 最高管理層級到個人之組織內的所有層級。時常需要發展和傳遞不同的認知資料給組織不同部門及不同角色和職責之人。以階段性的方式發展與傳送廣泛之安全認知計畫。每個階段以先前的課程為基礎,從安全概念開始到安全的實作和監督的職責。 組織內之安全認知計畫包括 各種工作。其中一個工作是安全認知資料 (例如:海報、公告、小冊子或簡報 )的發展與配送。資料之目的是增加員工和承包人員一般的認知能力。另一個工作是利用適當之安全實務訓練特定員工的演出課程。最後之課程必須提供特定安全主題的專業級教育。 在一些情況下,將安全訊息併入到其他的訓練計畫是有效的。無論是單一或二擇
38、一的安全認知課程之外,都應該要考慮增加這個方法。若要發展綜合特定組織的文化和管理需求的安全認知計畫,需要考慮以下事項: 需要的分析。 課程的傳達。 監視。 認知課程的內容。 9.7 監視 宜監視使用的保護措施以確保它們適當地作用,不會讓環境的改變造成失效, 15 CNS 14929-1, X 6046-1 並強制實施該 可歸責性 。自動審查和分析系統日誌對於協助確保預定功效是一個有效的工具。這些工具也能夠用來偵測不想要的事件,而且它們的使用可能有不一樣的效果。 宜定期查證安全保護措施的成效。這是由監視及遵循性檢查來完成,以確保保護措施正在以預期方式作用中且使用中。許多保護措施會產生應該要確認的
39、重大安全事件報表 (例如:日誌、警報 )。一般系統的稽核功能可以從安全透視圖提供有用的資料並可以用在這事項上。 9.8 應變計畫和災難的復原 當含資訊系統在內的支援過程惡化或無法使用時,應變計畫包含有關如何經營業務的資訊。這些計畫宜述明若干情節的可能複合,其中包括: 各種中斷時間的長短。 不同型式的設施的損失。 完全無法出入實體建物。 如果沒有發生災難,就必須回到已經存在的狀態。 災難復原計畫描述如何恢復操作受到不想要事故影響的 IT 系統。災難復原計畫包括: 構成災難的準則。 啟動復原計畫的職責。 各種復原活動的職責。 復原活動的描述。 10. 模型 已知 IT 安全管理存在有許多模型。不過
40、在本標準介紹的模型提供了解資訊安全管理議題所必要的概念。下列的模型將被描述: 安全元件的關係。 風險管理的關係。 IT 安全管理的過程。 先前介紹的概念以及組織的營運目的一起形成之組織的 IT 安全計畫、策略和政策。這最主要的目標是確保組織有能力在把風險限制在一個可接受的程度下,仍能推行業務。沒有任何安全措施是完全有效的,而且訂定事故復原的計畫以及建構安全防治以限制損害的程度是重要的。 IT 系統的安全是一個能夠用不同觀點檢視的多面向問題。因此為了判定和實作全球一致的 IT 安全策略和政策,組織應該考慮所有相關的面向。圖 3 顯示資產是如何潛在的遭受若干威脅的影響。收集到的威脅經常隨時間不斷地
41、改變而且僅有一部分被知曉而已。 模型表示: 具有不斷改變的威脅而且僅有一部分被知曉的環境。 組織的資產。 16 CNS 14929-1, X 6046-1 圖 3 安全元件的關係 環境:圖例 R-風險RR-殘餘風險S-保護措施T-威脅V-脆弱性資產VVVVVVSSSSRRRRRRRTTTTT 那些資產的脆弱性。 保護資產並降低威脅影響所選用的保護措施。 修正風險的保護措施。 組織可接受的殘餘風險。 如圖 3 所示,有些保護措施對於降低關連數個威脅及 /或數個脆弱性的風險可能有效。有時需要數個保護措施將殘餘風險降低到可接受的程度。在某些情況下,風險可以接受時,即使威脅存在仍然不需實作保護措施。另
42、外的情況是雖然存在脆弱性,不過沒有已知的威脅會利用它。保護措施可能被用來監視環境威脅以確保沒有發展出威脅可利用脆弱性。在圖 3 並沒有顯示對會影響保護措施選擇的限制條件 (constraints)。 圖 4 說明經常與風險管理關連的安全元件之間的關係。為了要清晰的表示,所以只有顯示其主要的關係。 17 CNS 14929-1, X 6046-1 圖 4 風險管理的關係 防護需求價值(潛在的營運衝擊)風險防護措施 資產威脅 脆弱性被滿足曝露防止有利用指示增加 增加增加降低備考:在任何兩個方塊之間標示的箭頭描述這兩個方塊之間的關係 圖 5、 6 和 7 分別顯示保護的需求和威脅、脆弱性以及資產價值
43、之間的關係。一些IT 安全管理方法可能只強調說明這些圖形的其中之一。不過,如此的方法可能忽略了一些重要的面向,因此,圖 4 提供更一般的方法,並用來當做本系列標準第2 部和第 3 部的基礎。 18 CNS 14929-1, X 6046-1 防護需求價值(潛在的營運衝擊)資產防護需求資產脆弱性防護需求資產威脅圖 5 威脅觀點圖6 脆弱性觀點圖7 衝擊觀點 19 CNS 14929-1, X 6046-1 IT 安全管理是必須考慮安全生命週期之持續進行的過程。這些方面在本系列標準第2 部裏有更多的描述。本系列標準第 3 部闡述安全管理的技術。圖 8 說明的 過程 模型把有關 IT 安全管理的安全
44、元件帶在一起。在本系列標準第 2 部詳細檢查圖 8。 圖 8 資訊安全管理的過程 風險管理保護措施的實作後續作為IT安全政策 組織的面向11. 彙總 本標準討論的概念和模型可用以發展保護組織 IT 資產的策略。此策略和相關的安全政策在組織內需要持續審查,以考量因應技術及資訊服務之發展與使用的快速變化。本系列標準之其他各部分將進一步描述如何有效地使用這些概念和模型於組織中。 引用標準: CNS 17799 資訊技術資訊安全管理之作業要點 CNS 14644 銀行及相關金融服務業資訊安全指引 相對應國際標準: ISO/IEC TR 13335-1:1996, Information technol
45、ogy Guidelines for the management of IT Security Part 1: Concepts and models for IT Security 20 CNS 14929-1, X 6046-1 英中名詞對照表 - A - Accountability 可歸責性 Aim 目標 Asset 資產 Authenticity 鑑別性 Availability 可用性 - B - Baseline controls 基準控制措施 - C - Concern 關鍵事務 Confidentiality 機密性 Constraints 限制條件 - D - Data integrity 資料完整性 - G - Guidance 指引 Guideline 指導綱要 - I - Impact 衝擊 Integrity 完整性 - O - Objective 目標 - R - Reliability 可靠性 Residual risk 殘餘風險 Risk 風險 Risk analysis 風險分析 Risk management 風險管理 - S - Safeguard 保護措施 System integrity 系統完整性 - T - Threat 威脅 - V - Vulnerability 脆弱性 - W - Weakness 弱點