ISO 27001 资讯安全管理系统 【解析】(十八)

第二个要考量的风险是针对资讯安全管理系统范围内的机密性、完整性及可用性损害的风险，在此我想要开始用完整的风险管理来叙述後面条文的做法。ISO 27005是根据ISO 27001系列所发展的风险管理指引，所以它的作法会完整符合条文的规范，但这并不是说采用其他的指引或方法论就不符合条文的要求，仍视组织如何设计规画及运用这些方法。为了比较能够深入了解条文的要求，就以ISO 27005标准来说明整个风险管理的机制及运作。
一、ISO 27005 概论
风险究竟是甚麽？是一种事情发生的机率，例如明天下雨的机率是20%；而资讯安全风险就是发生损害机密性、完整性及可用性之事件的机率。触发事件的因素有很多种，区分为内部及外部因素，内部是事物本身的特性、外部则是事物之外的状况，举例来说：最近病毒流行，感染冠状病毒的机率有多高？这个机率就是我们所说的风险，所以是感染病毒的风险，内部因素是身体本身的抵抗力、防护力(勤洗手、手不摸脸部等)，外部因素就是病毒，後果就是生病、住院或死亡。
整理一下，内部因素通常称为弱点、外部因素通常称为威胁、後果通常以冲击来说明。
风险 = f (威胁 * 弱点 * 冲击)
弱点：物件或情境的内部
威胁：利用弱点造成事件发生的机率
冲击：後果
在前面的案例中就是：
风险：感染病毒
弱点：不洗手、手经常摸脸
威胁：病毒
冲击：生病、住院或者死亡
回到资讯安全风险来看，我们要分析的有资产、弱点及威胁。
(一)资讯资产
资讯资产是单位的资源或产出，对单位具有重要价值，资产若受到破坏时会影响业务进行，甚至造成中断或瘫痪。资讯资产可区分有形资产(例如：资讯设备、储存媒体、人员、基础设施等)、无形资产(例如：应用系统、业务流程、知識、个人资料、单位声誉等)。
(二)威胁
足以造成资讯资产危害之狀况或事，例如：破坏、泄漏、篡改资料及阻断服务而危害。相对於资讯资产，威胁为外來的狀况。威胁通常可以分为：不可抗力因素(例如：地震、台风)、人为错误(例如：资料输入错误、设备操作错误)、惡意行动(例如：骇客入侵、窃取资料)。通常以发生可能性或机率进行评估。
(三)弱点
存在於资讯资产或其他组成元件的弱点，如果被威胁利用，会造成危害，例如软件测试不足、硬体设计缺失、内部控制程序不足等。弱点存在於资讯资产本身，为资产之特性，例如：所在之地理位置、适用材质、使用、设计或管理方式。优点也可能成为弱点，例如：携带方便之随身碟或笔记型电脑。通常以「被威胁利用之难易程度」进行评估。