1、 1 印行年月 94 年 10 月 本標準非經本局同意不得翻印 中華民國國家標準 CNS 總號 類號 ICS 35.040.00 14929-3X6046-3經濟部標準檢驗局印行 公布日期 修訂公布日期 94 年 5 月 13 日 年月日 (共 52 頁 )資訊技術資訊技術安全管理指導綱要第 3 部:資訊技術安全管理之技術 Information technology Guidelines for the management of IT security Part 3:Techniques for the management of IT security 目錄 節次 頁次 導論 3 1.
2、適用範圍 . 4 2. 參考文件 . 4 3. 用語釋義 . 4 4. 結構 4 5. 目標 4 6. IT 安全管理的技術 . 4 7. IT 安全目標、策略和政策 6 7.1 IT 安全目標和策略 . 6 7.2 企業 IT 安全政策 7 8. 企業風險分析策略的選項 . 9 8.1 基準作法 9 8.2 非正式作法 10 8.3 詳細的風險分析 10 8.4 組合式作法 10 9. 組合式作法 11 9.1 高階風險分析 . 11 9.2 基準作法 12 9.3 詳細的風險分析 12 9.3.1 審查界限的建立 15 9.3.2 資產的識別 . 15 9.3.3 資產價值以及資產之間相依
3、關係的建立 15 9.3.4 威脅評鑑 . 17 9.3.5 脆弱性評鑑 . 18 9.3.6 現存 /已規劃保護措施的識別 19 9.3.7 風險的評鑑 . 19 9.4 保護措施的選擇 20 9.4.1 保護措施的識別 20 2 CNS 14929-3, X 6046-3 9.4.2 IT 安全架構 . 22 9.4.3 限制條件的識別 /審查 . 23 9.5 風險接受 23 9.6 IT 系統安全政策 . 24 9.7 IT 安全計畫 25 10. IT 安全計畫的實作 . 26 10.1 保護措施的實作 . 26 10.2 安全認知 . 26 10.2.1 需要性分析 28 10.2
4、.2 計畫交付 28 10.2.3 安全認知計畫的監視 28 10.3 安全訓練 . 28 10.4 IT 系統的核可 29 11. 後續作為 30 11.1 維護 31 11.2 安全遵循性檢查 . 31 11.3 變更管理 . 32 11.4 監視 33 11.5 事故處置 . 34 12. 彙總 36 附錄 A 企業 IT 安全政策內容表列的範例 . 37 附錄 B 資產估價 . 40 附錄 C 可能的威脅型式表列 . 42 附錄 D 共同脆弱性的範例 . 44 附錄 E 風險分析方法的型式 . 47 英中名詞對照表 . 52 3 CNS 14929-3, X 6046-3導論 本標準之
5、目的為提供資訊技術 (Information Technology; IT)安全管理方面的指引,並非提供解決的方法。組織內負責 IT 安全的相關人員,可採用本標準的內容以符合其特定的需求。本標準的主要目標是: 定義及描述與 IT 安全管理有關的概念。 識別 IT 安全管理與一般 IT 管理之間的關係。 呈現一些可以被使用於解釋 IT 安全的模型。 提供 IT 安全管理的一般指引。 本系列標準分為 5 部。第 1 部提供基本概念之概觀與使用於描述 IT 安全管理的模型。這部的內容適合負責 IT 安全之管理者與負責組織整個安全程式的人員。 第 2 部描述管理與規劃方面。這部是與負責關於組織之 IT
6、 系統的管理者有關。包含: 負責監督 IT 系統的設計、實作、測試、採購、或操作的 IT 管理者。 負責 IT 系統之實際使用活動的管理者。 第 3 部描述牽涉專案生命週期中之管理活動 的安全技術,例如:規劃、設計、實作、測試、獲取或操作。 第 4 部提供保護措施之選擇的指引,且如何藉由基準版本模型與控制的使用以支援這些指引。它也描述如何補充在第 3 部所描述的安全技術,與如何使用額外評鑑之方法於保護措施的選擇。 第 5 部針對負責管理 IT 安全的人員,提供關於網路與通訊的指引。本指引支援建立網路安全需求時,必須考量的通訊相關要素的識別與分析。它也包含一個可能的保護措施領域之簡短的導論。 4
7、 CNS 14929-3, X 6046-3 1. 適用範圍 本標準提供 IT 安全管理的技術,這技術是以本系列標準第 1 部及第 2 部陳述的一般指導綱要為基礎。這些指導綱要是用來協助 IT 安全的實作。精通本系列標準第1 部所介紹的概念和模型以及本系列標準第 2 部中有關 IT 安全管理和計畫的內容,對完全了解本標準是很重要的事。 2. 參考文件 CNS 14929-1 資訊技術資訊技術安全管理指導綱要第 1 部:資訊技術安全概念與模型。 CNS 14929-2 資訊技術資訊技術安全管理指導綱要第 2 部:資訊技術安全管理與規劃。 3. 用語釋義 本標準適用於本系列標準第 1 部之用語釋意
8、, 使用以下的用語:可歸責性、資產、鑑別性、可用性、基準控制措施、機密性、 資料完整性、衝擊、完整性、 IT 安全、IT 安全政策、可靠性、殘餘風險、風險 、風險分析、風險管理、保護措施、系統完整性、威脅、脆弱性。 4. 結構 本標準分成 12 節。第 5 節提供本標準目標的資訊。第 6 節提供 IT 安全管理過程的概觀。第 7 節討論企業 IT 安全政策的重要性以及其宜包括何者。第 8 節提供四種不同作法的概觀讓組織可用來識別其安全需求。第 9 節詳細地描述 所建議的作法,並接著在第 10 節描述保護措施實作,本節之中也包括安全認知計畫和核可過程的詳細討論。第 11 節描述包括數種為了確保運
9、作保護措施有效所必要執行的後續作為。最後,第 12 節提供本標準的簡短彙總。 5. 目標 本標準的目標是描述並推薦成功的 IT 安全管理技術。這些技術能用來評鑑安全需求和風險,並幫助建立和維護適當的安全保護措施,亦即正確的 IT 安全措施。循此途徑達成之結果可能需要藉由實際組織和環境所支配的額外保護措施來強化。本標準關係到組織內負責管理和 /或實作 IT 安全的每個人。 6. IT 安全管理的技術 IT 安全管理過程是以 CNS 14929-1 及 CNS 14929-2 所陳述的理論為基礎。它能夠全部或部分地應用到整個組織。圖 1 顯示這個過程的各主要的階段,以及如過程的各項結果如何回饋到各
10、部分。無論何時 (一個階段內,或者完成一或多個階段之後 )要求,均宜建立回饋迴路。以下圖 1 修改自 CNS 14929-2 圖 1,強調本標準所關切的各主題。 5 CNS 14929-3, X 6046-3圖 1 IT 安全管理 組合式作法高階風險分析詳細的風險分析 基準作法保護措施的選擇風險接受IT系統安全政策IT安全計畫企業風險分析策略選項基準作法 非正式作法詳細的風險分析組合式作法IT安全計畫的實作IT系統的核可保護措施的實作 安全認知 安全訓練IT 、安全目標 策略和政策IT安全目標和策略企業IT安全政策後續作為安全遵循性檢查 監視變 更 管 理 事故處置維護IT 安全的管理包括安全
11、需求的分析、制 定一套滿足這些需求的計畫、此計畫的實作以及已實作之安全事項的維護和行政管理。這過程從制定組織的 IT 安全目標和策略以及企業 IT 安全政策的發展開始著手。 IT 安全管理程序的一個重要部分是風險 評鑑,以及如何將它們降低到可接受的等級。將營運目標、組織和環境層面、以及每個 IT 系統的特定需求和風險均納入考量是必要的。 在評鑑 IT 系統和服務的安全需求之後,選擇企業的風險分析策略是合理的事。主要策略選項將在後面第 8 節詳細討論。所推薦之選項包含進行所有 IT 系統的高階風險分析以識別出高風險的系統。然後藉由詳細的風險分析來檢查這些系統,而基準作法則應用於其餘各系統。針對高
12、風險系統詳細考量資產、威脅和脆弱性,將會 6 CNS 14929-3, X 6046-3 導出詳細的風險分析,有利於有效保護措施的選擇以反制經評鑑之風險。利用這些選項,能夠將風險管理過程聚焦在顯著風險或是最需要之處,而且整個計畫可以做得更具成本與時間效益。 依據風險評鑑,識別出針對每個 IT 系統的適當保護措施以降低風險到一可接受等級,這些保護措施按照 IT 安全計畫的大綱實作。實作宜由認知和訓練計畫來支援,這對保護措施的成效相當重要。 而且, IT 安全管理也包括致力於各種能 導致改變早先結果和決定之後續活動的持續性任務。後續作為包括:維護、安全 遵循性檢查、變更管理、監視和事故處置。 7.
13、 IT 安全目標、策略和政策 在制定組織的 IT 安全目標之後,宜發展 IT 安全策略以構成發展企業 IT 安全政策的基礎。企業 IT 安全政策的發展基本上在確保風險管理過程的結果是適當有效的。政策的發展和有效的實作需要跨組織的管理支援。不可少的是企業 IT 安全政策將企業目標和組織特殊層面納入考量。它必須與企業安全政策和企業營運政策結合一致。利用這個組合,企業 IT 安全政策將幫助達成最有效的資源使用,並將確保跨越一定範圍之不同系統環境中對安全的一致作法。 可能有必要為每個或某些 IT 系統發展出個別且特定的安全政策。此政策宜植基於風險分析或基準之結果且為與企業 IT 安全政策一致者,因而將
14、與系統相關的安全各建議事項納入考量。 7.1 IT 安全目標和策略 作為管理 IT 安全的第一步,吾人宜考慮的問題是組織能接受何種粗略等級的風險?可接受風 險的正確等級 (以及據此而定之適當安全等級 )是成功安全管理的關鍵。由組織必須符合的 IT 安全目標來決定必要的粗略安全等級。為了評鑑這些安全目標,宜考量各資產及他們對於組織的價值。這主要是由支援組織營運進行之 IT 的重要性來決定; IT 本身的成本只是它價值的一小部分。供評鑑某組織之營運對於 IT 依賴程度的可能問題有: 沒有 IT 支援就不能完成之營運的重要 /極重要部分是什麼? 只能靠 IT 協助才能做的任務是什麼? 何種不可或缺之
15、決策係依賴由 IT 所處理之資訊的精確性、完整性、 可用性、或是該資料的更新程度而定? 何種被處理之機密資訊需要受到保護? 組織所不想要之安全事故的可能後果會是什麼? 回答這些問題能幫助評估組織的安全目標。例如:若某些營運的重要或極重要部分是依據精確或最新資訊而定,則該組織的安全目標之一便可能是去確保 IT系統中所處理資訊的完整性和適時性。而且,當評鑑安全目標時,宜考量各項重要的營運目標以及他們與安全之間的關係。 依據安全目標,宜達成這些目標的策略。所選擇的策略宜與受保護資產的價值相符,例如:若上述問題的答案有一個以上為是的,則組織可能會有高的安全需求,而且最好去選擇一個包括以滿足這些需求之努
16、力的策略。 7 CNS 14929-3, X 6046-3IT 安全政策通常以一般用語略述組織將如何達成其 IT 安全目標。此類策略宜提出之主題將會依據這些目標的數量、型式和重要性而定,而且通常是那些在整個組織中所一致提出而被組織認為重要者。主題的性質可以是相當特定或非常粗略。 作為前者的一個例子,組織可以因為它的營運性質而有一個主要的 IT 安全目標,它的全部系統宜維持一個高度的可用性。在此個案中,可以將策略主題針對透過組織全面安裝防毒軟 體而最小化病毒感染 (或者所接收到的軟體均必須通過擇定的病毒檢查站 )之上。 為以粗略等級說明後者,組織得有一個安全目標,即必須向各潛在客戶證明它系統的安
17、全性,因為它的營運是銷售它的 IT 服務。在此個案中,策略主題得為所有系統均必須由具有公信力第三者確認為安全。 由於各項特定目標或將之合併,其他針對某 IT 安全政策的可能主題可以包括: 組織層面所採用的風險分析策略和方法。 每個系統於 IT 系統安全政策的需求。 每個系統於安全操作程序的需求。 組織層面的資訊敏感性分類方案。 在和其他組織連線之前,所要滿足及檢查之連線安全條件的需求。 全體使用的事故處置方案。 一旦決定後,安全策略和它的構成主題宜被納入企業的 IT 安全政策。 7.2 企業 IT 安全政策 宜植基於已同意的企業 IT 安全目標和策略而產生企業 IT 安全政策。制定及維護與企業
18、營運、安全和 IT 政策以及與安全有關的法律和規定一致的企業安全政策是必要的。 如第 7.1 節所反映者,一個影響企業 IT 安全政策的重要事實是組織如何依賴它使用的 IT? IT 的使用越重要,組織就必須越依賴它的 IT,就越需要更多安全以保證符合營運目標。在撰寫企業 IT 安全政策時,宜在腦中想起在文化上、環境上和組織上的各種特徵,因為它們能影響面對安全的作法,例如:在某一環境可能容易地接受某些保護措施,在另一個環境可能完全無法接受。 在企業 IT 安全政策所描述的安全相關活動可以是植基在以組織目標和策略、先前安全風險分析以及管理 審查的結果、後續作為 (例如已實作之保護措施的安全遵循性檢
19、查 )的結果,每天進行的 IT 安全監視和審查的結果以及安全相關的事故報告結果。任何在這些工作期間偵測到的嚴重威脅或脆弱性都要提出,而企業 IT 安全政策描述組織處理這些安全問題的所有作法。詳細的動作則是描述在各種 IT 系統安全政策或者其他的支援性文件中 (例如安全操作程序 )。 在發展企業 IT 安全政策時,宜納編以下各功能部門代表: 稽核。 財務。 IT 系統 (技術人員和使用者 )。 8 CNS 14929-3, X 6046-3 公用事業 /基礎建設 (亦即負責建構結構和房舍、電力、空調的人員 )。 人事。 安全。 資深營運管理部門。 依據安全目標及組織為達成這些目標所採行之策略,選
20、擇企業 IT 安全政策的適當詳細等級,企業 IT 安全政策宜至少描述: 它的範圍和目標。 與法律及規則義務有關的安全目標及營運目標。 用 IT 機密性、完整性、可用性、可歸責性、鑑別性和可靠性等事項表達的IT 安全需求。 涵蓋組織和個別職責與授權的資訊安全管理。 組織採行的風險管理作法。 能夠決定保護措施實作的優先等級的各種手段。 和維持安全的粗略程序。 一般人事安全的議題。 將政策傳達給所有相關人員的手段。 宜審查政策的環境。 控制變更政策的方法。 需要更詳細的企業 IT 安全政策時,也宜考量以下的議題: 組織面的安全模型和程序。 各項標準的使用。 實作保護措施的程序。 後續作為的項目,像是
21、 安全遵循性檢查。 保護措施之監視。 安全相關的之事故處理。 IT 系統使用的監視。 聘顧外界安全顧問的環境。 附錄 A 提供企業 IT 安全政策內容表列的範例。 如同本節早先的討論,之前的風險分析和管理審查的結果、安全遵循性檢查以及安全事故可能對於企業 IT 安全政策有影響。反之,此得要求審查或精細化先前定義的策略或政策。 若要確保所有與安全相關量測的支援,組織 IT 安全政策宜由最高管理當局核准。 宜植基於企業 IT 安全政策撰寫約束所有管理者和員工的指令。此處得要求每個員工在文件上簽署,承認她 /他在組織範圍內對安全的責任。更甚者,而且宜發展並實作安全認知和訓練課程計畫以溝通這些事務。
22、宜指派某一個人負責企業 IT 安全政策以確保此政策能反應組織需求和實際狀態。此人員通常是企業 IT 安全官,他負責所有事情的後續作為。這包括安全 9 CNS 14929-3, X 6046-3遵循性檢查、事故及安全弱點的處置, 以及可能必須依照這些處理動作的結果,所導致企業 IT 安全政策的任何改變。 8. 企業風險分析策略的選項 須知為要確保本標準是完整、一致、且能在 CNS 14929-2 之外獨立被閱讀,第 8節論述與 CNS 14929-2 第 10 節相同之論題。 在開始任何風險分析工作之前,組織宜有一適當之策略供此項分析,而其各組成部分(方法、技術等)均宜文件化於企業 IT 安全政
23、策。組織宜同意各種針對選擇風險分析之手段與準則。風險分析策略宜確保所選擇之作法適合於該環境且盡全力將安全聚焦在真正需要之處。以下各選項描述四種不同的風險分析作法。每一選項間之基本差別在於風險分析的深度。由於對 IT 系統做詳細的風險分析成本往往過高,而對嚴重風險只給予極少的重視亦不具效益,故需要諸選項之間的平衡。 排除了不採任何作為之可能並接受將會有曝露至不明強度與嚴重性的若干風險後,共有四種可供事業體風險分析策略之選項: 對全部 IT 系統均使用相同的基準作法,不問面對系統的風險,且同意安全之等級得不為永遠適當的。 使用一非正式的作法以履行風險 分析,且專注於被察覺到已顯露出高風險的 IT系
24、統之上。 對全部 IT 系統,均使用正式作法舉行詳細的風險分析,或 實施高階風險分析以識別出各種已顯露出高風險且對營運具關鍵性的 IT 系統,接著是針對這些系統的詳細的風險分析,而將基準安全應用至其它所有系統。 以下討論上述針對提出安全風險的不同可能性,然後做成對較合適作法的建議。 若某組織決定對安全不採任何作為,或延後保護措施的實作,管理階層宜認知到這項決策的可能後果。由於並未要求時間、金錢、人力、或其它資源,會有若干缺點。若非組織有把握其 IT 系統的本質不具關鍵性,否則便可能會讓自己處於嚴重的後果。組織可能未遵循法律與條例,而若它遭受到安全的違犯時它的 信譽便可能受損,並顯示其未採行預防
25、行動。若組織只有少量關係到安全的顧慮,或沒有任何具營運關鍵性的系統,則這可能是一個可行的策略。無論如何,組織正位處於一個不知道真象好壞如何的情況,而這對多數組織不像是一個好的解答。 8.1 基準作法 針對第一個選項,組織可藉由選擇保護措施而將基準安全應用到所有 IT 系統。在基本文件和作業要點中建議各式標準保護措施;在第 9.2 節中可找到此作法的更細部的解釋。 此選項有若干優點諸如: 只需要最少量的資源做詳細風險分析及管理每一保護措施實作,因而減少時間和花費在選擇保護措施的工作量。 若某組織的多數系統係在一共同的環境下運作且若安全需要相近,由於相同或類似的基準保護措施無需太大的工作量便可被許
26、多系統採用,基準保護措施可提供具成本效益的解答。 10CNS 14929-3, X 6046-3 此選項的缺點為: 如果基準等級設得太高,在某些 IT 系統上的安全等級可能會太超過。 如果基準設得太低,在某些 IT 系統上可能會有安全的不足,而造成高度曝露。 在管理與安全攸關的變更時可能會有困難,例如,若將某系統升級,可能難以評鑑原始基準保護措施是否仍充足。 若某組織的所有 IT 系統只有低等級的安全需求則此可能為最具成本效益之策略。在此個案中,必須選擇出反映大多數 IT 系統所要求之保護程度的基準。多數組織將會需要符合某些最低的標準 以保護敏感資料並且遵循法律與條例(例如資料保護法)。無論如
27、何,組織內各系統的營運敏感性、規模與複雜度均不同,以一套共同標準應用到所有系統是既不合邏輯又不具成本效益。 8.2 非正式作法 第二個選項是進行實用的風險分析。非正式作法不是以結構方法為基準,而是利用個別的知識與經驗。 此選項的優點為: 通常不需要大量資源或時間。做此非正式的的分析不需要學習額外的技術,而且比詳細的風險分析更快履行。 無論如何,有若干缺點: 缺乏某些正式作法或全面性的查檢表,會升高遺漏掉某些重要細節的可能性。 循此途徑將難以判定與已評鑑之風險對抗的保護措施之實作。 僅具備最低程度過往風險分析經驗的個人在這項任務中可能缺少指引之輔助。 某些作法在過去已經是脆弱性導向者,即安全保護
28、措施係植基於脆弱性而實作卻未考慮有任何威脅是否有可能利用到這些脆弱性,亦即是否真的需要此保護措施。 得引入某個程度的主觀性;審查者的特別成見可能影響結果。 若實施非正式風險分析的人員離開該組織,各項問題可能會浮現出來。 基於上述諸缺點,對許多組織而言,此一選項並非有效的風險分析作法。 8.3 詳細的風險分析 第三個選項是對組織內的所有 IT 系統進行詳細的風險分析。詳細的風險分析包含資產的深入識別和估價,威脅對資產的評鑑,以及脆弱性的評鑑。從這些活動所得結果將隨後使用在評鑑風險然後去識別正確的安全保護措施。此作法詳述於第 9.3 節。 此作法的優點為: 很可能識別出對所有系統皆適當的保護措施。
29、 詳細的風險分析所得結果可被用在安全變更的管理。 此選項的缺點為: 由於所有 IT 系統將會被以相同詳細的方式考量而要求想像得到的大量時間去完成分析,關鍵系統之安全需要被提出時可能已太遲。 8.4 組合式作法 11 CNS 14929-3, X 6046-3第四個選項首先對所有的 IT 系統舉行初步的高階風險分析,在每一個案中集中在 IT 系統的營運價值以及它被曝露在哪些嚴重風險處。對於被識別成對組織營運為重要及 /或被曝露在高風險處的 IT 系統,宜優先舉行一詳細的風險分析。對所有其它 IT 系統,宜選擇一基準作法。這個選項,是描述在第 8.1 節基準作法和第 8.3 節各選項的最佳組合,提
30、供一將花費在識別保護措施的時間和工作量降至最低之間的良好平衡,而仍確保各高風險系統都受到適當的保護。 此選項的額外優點為: 加入一種初期迅速而簡單的作法很有可能得到風險分析進程計畫的接受。 宜為可能去迅速地建立一個組織安全計畫的策略構圖,亦即,用來當作良好的規劃輔助。 資源和金錢可被應用在最能獲利之處,而可能是最需要受到保護的系統將會被首先提出,且後續各項作為行動將會更為成功。 此選項的唯一潛在缺點為: 如果初期的風險分析是在高階,而潛在地較不精確,某些系統得不會被識別成需要詳細風險分析。無論如何,這些系統將仍受到基準安全的掩護。而且,這些系統可在必要時被重新訪查以檢查是否需要比基準作法更多。
31、 採用高階風險分析作法,再組合上基準作法及詳細風險分析是適合的,此指出大多數組織最有效的前進之路。這個作法是受到推薦的且將會在第 9 節以更詳細的方式查驗。 9. 組合式作法 本節提供實作第 8 節所建議之組合式風險分析策略的指引。 9.1 高階風險分析 首先有必要進行初始 的高階風險分析以識別何種作法 (基準或詳細的風險分析 )適用於每個 IT 系統。高階風險分析考量 IT 系統以及資訊的營運價值以及從組織營運觀點所看到的風險。輸入事項供決定某一作法適合哪一 IT 系統可從以下的考量事項得到: 使用此 IT 系統所要達到的營運目標。 組織的營運依賴 IT 系統到怎樣的程度,也就是說,是否組織
32、認為各項對其生存或營運的有效進行具關鍵地位的功能均仰賴此系統,或視此系統所處理資訊的機密性、完整性、可用性、可歸責性、鑑別性和可靠性而定。 以發展、維護和置換此系統的角度看投資在此 IT 系統的程度。 IT 系統的資產,由組織直接指定其價值。 當評鑑過這些項目之後,一般即很容易做成決策。如果系統的目標對於組織營運的進行是重要的,如果系統置換成本高,或者如果資產的價值位於高風險所在,則對系統的詳細風險分析是必要的。這些條件的任何一項便可能足以證明進行詳細的風險分析是合理的。 應用的一般性規則是:如果 IT 系統安全的不足能造成組織 /營運過程或其資產明顯的傷害或損傷時,則詳細的風險分析 (第 9
33、.3 節 )以識別各潛在風險是必要 12CNS 14929-3, X 6046-3 的。而在所有其他的情況下,應用基準法 (第 9.2 節 )就能提供適當的保護。 9.2 基準作法 基準保護的目標是建立一組保護組織的全部或某些 IT 系統的最少保護措施。使用此作法,可以將基準保護應用到全組織,而且依上述所反映者,加上使用詳細的風險分析審查以保護位於高風險所在的 IT 系統或具營運關鍵性的系統。使用基準作法減少組織必須履行風險分析審查的投資 (第 8.1 節 )。 適當的基準保護能夠經由使用一組保護措施型錄以保護 IT 系統免於最常見威脅的各種保護措施來達成。基準安全之等級能針對組織的需要調整。
34、無詳細評鑑威脅、脆弱性和風險的必要。應用基準保護所必須要做的全部事情係針對所考量的 IT 系統選擇與其相關之保護措施型錄的部分。在識別出已經在適當位置之保護措施後,便與列示在基準型錄裡的保護措施比較。凡尚未在適當位置而為適用者均宜實作之。 各基準型錄可詳細規定要使用的保護措施,或者可建議一組所要提出的安全需求無論是否適合所考量的系統之保護措施。此二作法各有其優點。本系列標準第 4 部的附錄可找到到這兩種型式的型錄。基準作法的目標之一是整個組織的安全保護措施的一致性,其都能用這兩種方式達成。 有一些已可用的文件其提供各組基準保護措施。而且,有時能夠在相同業界範圍內的企業間可看到類似的環境。在查驗
35、基本的需要之後,基準保護類別由若干不同組織使用是可能的。例如:基準保護的型錄能獲得自: 各國際和國家標準組織。 業界標準或建議。 某些其他公司,最好營運目標相似,且規模相當。 當然組織也能產生它自己的基準,制定與它的環境和營運目標相稱的基準。 9.3 詳細的風險分析 如第 8.3 節所述, IT 系統詳細的風險分析包含對相關風險的識別以及風險程度的評鑑。如對所有系統進行高階審查,即能夠在沒有不必要的時間和金錢之投資下決定對某項詳細風險分析的需要,接著只對高風險或關鍵性系統進行依第8.4 節所建議詳細的風險分析審查。 風險分析係利用識別出潛在不利於營運 之諸不想要事件的衝擊以及其發生的可能性來進
36、行。不想要事件能不利地衝擊到組織的營運、人員或任何其他有價值的個體。不想要事件的不利衝擊是由有關資產價值在風險處可能的損害所組成。發生的可能性是依據資產對潛在攻擊者的誘因如何、威脅發生的可能性、以及脆弱性可被利用的容易度而定。風險分析的結果導致識別與選擇能夠用來將已識別風險降到可接受之等級的保護措施。 詳細的風險分析包含深入的審查如圖 2 所顯示的每個步驟。它導致選擇已證明為合理的保護措施成為風險管理過程的一部分。對這些保護措施的需求係被文件化在 IT 系統安全政策和相關的 IT 安全計畫中。若干可能影響系統安全需求的事故和外在影響可能會使得它必須去重新考慮部分或全部的風險分析。這些 13 C
37、NS 14929-3, X 6046-3影響可能是:最近對系統的顯著變更、已規劃之變更、或是事故之後果而需要處理者。 已存在之履行風險分析的各種方法其 範圍從基於查檢表的作法到基於結構分析之技術。可使用自動 (電腦輔助 )或手工產品。不論組織使用何種方法或產品,宜至少提出在以下各節中已識別的論題。使用的方法配合組織文化也是重要的。 一旦已經完成第一次系統詳 細風險分析審查時,宜將審查的結果 (包括資產的價值、威脅、脆弱性和風險 等級以及保護措施的識別 )儲存起來,例如:儲存到資料庫。明顯地,具有軟體支援工具的方法會讓此工作更容易。此表示法,有時稱作模型能夠被利用在當它們對組態、所處理資訊的型式
38、的、威脅場景等的變更發生超過時間時會有顯著的效果。為便於確定必要之保護措施的效果,只需要輸入變更處。更甚者,此模型能夠快速地被使用在發展新系統期間查驗不同的選項,而正在使用中之其他性質相似的系統亦然。 14CNS 14929-3, X 6046-3 圖 2 包含詳細分析風險的風險管理 審查界限的制定(第9.3.1節)資產的識別(第9.3.2節)資產價值以及資產之間相依關係的建立威脅評鑑 脆弱性評鑑現存/已規劃保護措施的識別風險評鑑(第9.3.7節)限制的識別/審查(第9.4.3節)保護措施的選擇(第9.4節)風險接受(第9.5節)IT系統安全政策(第9.6節)IT安全計畫(第9.7節)圖 2
39、包含詳細風險分析的風險管理否是 15 CNS 14929-3, X 6046-39.3.1 審查界限的建立 如圖 2 所示,在蒐集資產識別和價值的輸入資料之前,宜先定義審查的界限。在這個階段仔細識別界限可避免不必要的工作並 改進風險分析的品質。當對所考量的 IT 系統實施風險分析審查時,界限的描述宜清楚定義出下列何者必須要考量: IT 資產 (例如:硬體、軟體、資訊 )。 人員 (例如:職員、分包者、其他的外部人員 )。 環境 (例如:建築物、設施 )。 活動 (操作 )。 9.3.2 資產的識別 資產是由組織直接指定價值並 因此組織必須保護的整個系統的一個組件或一部分。針對資產的識別,宜銘記
40、在心的是 IT 系統的組成不只有硬體和軟體。例如,資產的型式可為下列任何一種: 資訊/資料(例如:包含付款明細、產品資訊的檔案)。 硬體(例如:電腦、印表機)。 軟體,包含應用軟體(例如:文書處理程式、為特殊目的所發 展的程式)。 通訊設備(例如:電話、銅纜線、光纖)。 韌體(例如:軟式磁碟、光碟式唯讀記憶體 (CD ROMs)、可 程式化唯讀記憶體)。 文件(例如:合約)。 貨幣(例如:在自動提款機中)。 製造的貨物。 服務(例如:資訊服務、電腦運算資源)。 信任和信託服務(例如:付款服務)。 環境設備。 人員。 組織的形象。 在已制定之 審查界限範圍(見第 9.3.1 節)內的所有資產皆必
41、須要加以識別。相反地,任何在審查界限 以外的資產,不管是什麼原因,都要賦予另一項審查以確保它們不會被忘記或忽略。 9.3.3 資產估價以及資產之間相依關係的建立 利用表列要審查之 IT 系統的所有資產以滿足資產識別的目標之後,宜指定這些資產的價值。價值表示此 資產對於組織營運的重要性。可以用安全關鍵事項來表示價值,就如:資訊的揭露、竄改、無法使用及 /或破壞所造成可能對於營運和其他 IT 系統的資產的不利衝擊。因此基於組織營運需要的資產識別和評價是決定風險的主要因素。 資產評價之輸入宜由資產的擁 有者和使用者提供。執行風險分析的人員會表列出這些資產。他們宜從營 運規劃、財務、資訊系統以及為了識
42、別每個 16CNS 14929-3, X 6046-3 資產價值所做的其他相關活動 中尋求協助。所賦予的價值宜與獲得和維護資產的成本,以及失去機密性 、完整性、可用性、可歸責性、鑑別性和可靠性時,潛在於不利於營運的 各項衝擊有關。每個識別的資產宜為對組織有一定價值者。不過,沒有直 接或容易的方法可供制定所有資產的金融數值。而且它也有必要為組織以非金融 (即:定性 )術語制定價值 或重要程度。否則將會難以識別組織所宜投 入保護資產的保護等級以及資源量。例如,類似的價值刻度能區分成低、中和高,或者更詳細如下: 可忽略低中高非常高 在附錄 B,將提供利用考量可能的損害,而得到可能的詳細等級,這詳細的
43、等級是使用於指定資產評價 。不管使用的等級,評價時宜考量將會是可能損害結果的以下事項: 違反法律及 /或規定。 營運績效的減損。 商譽的損失 /聲望的負面影響。 涉及個人資訊的機密性洩漏。 危及人身安全。 法律強制性的不利效果。 商業機密性的洩漏。 公共秩序的破壞。 財務漏失。 營運活動的瓦解。 危及環境安全。 組織可能需要思考它的營運的其他重要準則,其必須加入在附錄 B 使用的準則。同時組織必須要定義類 似低或高的損害極限。例如:財務損失對於小型事業體可能是災 難而對於大型事業體而言,可能是低的或甚至可以忽略的。 在這個階段宜強調評鑑的方法 必須不只能做量化的評價,而且可以在定量評價是不可能
44、執行或 不合理的時候 (例如:失去生命或失去商譽的可能性 )做定性的評價。宜提供所使用的評價刻度的說明。 資產與其他資產的相依關係也 要加以識別,因為這可能會影響到資產的價值。例如:宜在整個處理期間 維持資料的機密性,也就是說資料處理程式的保全需要直接關係到表示所 處理資料之機密性的價值。而且,如果營運過程依賴程式產生的某種資料 完整性,此程式的輸入資料宜為有適當的可靠度。甚者,同時它儲存和處 理的資訊的完整性將會依據使用的硬體和軟體而定。而且硬體將會依據供 應的電源和空調而定。如此有關的資訊將有助於相關威脅和特殊脆弱性的 識別。它也有助於確保給予資產真正的資產價值 (經由相依關係 ),同時,
45、也因此確保提供適當程度的保護。 依據以下情況可能修改與其他資產有關的資產價值: 17 CNS 14929-3, X 6046-3如果相依資產 (例如:資料 )的價值低於或等於受考量資產 (例如:軟體 )的價值時,它的價值維持相同。 如果相依資產 (例如:資料 )的價值較高時,增加受考量資產 (例如:軟體 )的價值: 相依的程度。 其他資產的價值。 組織可能有一些可使用超過一 次以上的資產,像是軟體程式的複製品或者在大部分辦公室使用相同型式 的個人電腦。在資產評價時要考量這事實是重要的事。一方面因為這些複 製品很容易被忽略,所以必須要小心地識別所有的複製品;另一方面,它們能夠被用來降低可用性問題
46、。 本步驟最後 的輸出是列出資產以及其關係到揭露 (機密性保護 )、修改 (完整性保護 )、無法使用和破壞 (可用性保護 )和置換成本的價值。 9.3.4 威脅評鑑 威脅具有傷害正在接受審查的 IT 系統及其資產的潛在可能。如果某項威脅已發生,可能以某種途徑侵害 IT 系統並造成不想要的事故以及不利的衝擊。威脅可能是天然或人為肇 因,而且可能會意外發生或蓄意發生。威脅的來源不論是意外或蓄意均宜 識別之也宜評鑑它們發生的可能性。基本要求是勿忽略掉任何有關的威脅,因為這可能會造成 IT 系統安全的失效或脆弱性。 威脅評鑑的輸入宜為獲得自資 產的擁有者或使用者、人事部門的員工、設備規劃和 IT 專家
47、、以及負責保護組織的人員。其他像是司法單位和國家政府當局等組織可能協助之,例 如:提供威脅的統計資料。一份常見可能威脅的表列會助於履行威脅的評鑑。附錄 C 舉出一個範例。儘管如此,諮詢其他威脅類別 (可能是針對您的組織或營運 )可能是值得的,因為沒有一份表列能夠列出所有的威脅。某些最共同的威脅有: 錯誤和省略。 詐欺和偷竊。 員工的破壞。 實體和基礎建設支援的漏失。 惡意的侵入,例如經由偽裝。 惡意的程式碼。 商業間諜。 當使用威脅型錄或早期威脅評 鑑的結果時,吾人宜認知到威脅是會不斷地變更的,如果營運環境或 IT 改變時更要特別注意。例如, 90 年代的病毒比 80 年代的病毒更加複雜。亦會
48、令人感興趣的是保護措施的實作諸如病毒檢測軟體總會導致發展出對抗現存保護措施的新病毒。 在識別威脅的來源何 人及何者會造成威脅 )以及威脅的目標 (例如:系統的何種元件可能受到威脅的影響 )之後,有必要評鑑威脅的可能性,此宜計入: 18CNS 14929-3, X 6046-3 威脅的頻率 (多常發生,依據經驗、統計資料等 ),若統計可應用。 對於故意的威脅來源之動機 、能力的認知和必要性、可能攻擊者可使用的資源以及 IT 系統資產對可能攻擊者的攻擊點和脆弱性的認知。 針對意外的威脅來源之地理 因素,就如,接近化學或煉油廠,極端氣候條件上的可能性,以及可能影響人為失誤和設備故障的因素。 依照對精
49、確性的需要,可能必 須去將資產分割成許多的組件部分並將威脅關聯到各組件。例如,某實體資產剛開始可能被認為是中央資料伺服器 ,但是當識別出這些伺服器是在 不同的地理位置,因為一些威脅可能是不一樣而且是不同的等級,所以就 會將它分成中央資料伺服器 1和中央資料伺服器 2。同樣地,某 軟體資產可能首先被認為是應用軟體,但是後來會分成 2 個或更多的應用軟體。一個涉及資料資產的例子可以是首先被判定成犯罪紀錄 的資料,但是在以後分割成犯罪紀錄文字和犯罪紀錄影像。 在完成威脅評鑑的時候,將會 產生已識別威脅、他們會受影響的資產或一群資產,以及用等級 (例如:高、中、低 )量測威脅發生可能性的表列。 9.3.5 脆弱性評鑑 這個評鑑包括識別出在實體環 境、組織、程序、人員、管理、行政管理、硬體、軟體或通訊設備之中可 能被威脅利用來造成資產和其所支援的營運損害之脆弱性的來源。
