ISO 27001 资讯安全管理系统【解析】(二十二)

识别威胁
在前面的概论中，我们知道威胁是外来的，他必须配合资产才会产生风险，所以资产与威胁是相互之间的关系。上一个步骤中我们找到资产清单，利用资产清单，可以找到相对应的威胁，还需要检视曾经发生过的事故或事件，例如：曾经感染的病毒、曾经中断服务的原因等，所以我们可如此透过资产找到相关的威胁还有其来源。需要注意的是先按类型识别威胁，而且一个威胁可能影响多个资产；应识别估算威胁发生可能性所需的输入资讯；另外威胁是持续变化的，不能用一成不变或是以往的方式进行持续的识别，会造成盲点。在前面我们有讨论到几个资讯安全的基本要素，这些要素都是不断地持续在变化，例如：软硬体的问题并不是都一样的，每隔一段时间都有新的问题被发现，所以要不断调整识别的方式，才能正确找到需要面对的威胁。再举个例子：WPA3 是无线传输的加密机制，後来被发现破解方法，此时如果再继续使用WPA3这种加密方式等同没有加密，这样我们要识别的威胁就有所不同。

识别现有控制措施
清点资产并找到对应的威胁後，就要检讨目前现有的控制措施，资讯安全的议题是持续性的，所以会不断采取对应的措施去应付威胁，这个阶段就是要寻找已经采取的控制措施，例如：已经安装防毒软件来控制中毒的威胁，所以先要将已有的控制措施及风险处理计画列出一个清单，检查有没有不充分或不合理的地方，确认控制措施的有效性，找出不必要的工作及花费，藉由内部稽核或管理审查确认控制措施的成效，最後产出现有及计画的控制措施清单、实施方式与可使用状态，以便进一步分析。
识别弱点
从前面三项已经识别的资产、威胁及现有控制措施的清单中，我们可以经由程序、例行的管理、个人行为、实体环境、资讯系统的组态设定、软硬体及通讯装备等等事项去识别可能被威胁利用以对资产或组织造成损害的弱点。从下面的图片中可以知道，资产位於中间，威胁是外来的，资产外面有一些现有的防护措施(红色部分)，但是仍不够，有一些威胁还是可以轻易地利用弱点或漏洞(蓝色部分)去侵害到资产，所以这个步骤就利用已知的资讯去找到弱点，最後的结果是与资产、威胁和控制措施相关的弱点清单还有待检视与威胁不相关的弱点清单。