《資訊科技風險管理》PPT课件.ppt-得力文库

资源描述

《《資訊科技風險管理》PPT课件.ppt》由会员分享，可在线阅读，更多相关《《資訊科技風險管理》PPT课件.ppt（31页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、ISBN 978-957-729-752-5資訊管理：理論與實務(六版)謝清佳、吳琮璠著第13章資訊科技風險管理ISBN 978-957-729-752-5資訊管理：理論與實務(六版)謝清佳、吳琮璠著本章大綱q13.1 網路通訊環境之威脅與挑戰q13.2 企業與IT風險架構q13.3 企業資訊科技風險管理q13.4 資訊科技風險管理制度之導入與推行q13.5 資訊安全管理 ISBN 978-957-729-752-5資訊管理：理論與實務(六版)謝清佳、吳琮璠著網路通訊環境之威脅與挑戰(1/6)q現今整個電腦環境因為網際網路的蓬勃發展，對資訊風險產生無比的挑戰，因為：l有更多破解功能強大

2、的網路入侵工具l電腦病毒橫行l大量連接點需要監測l跨平台管理l系統及網路的複雜度l管理人員對於安全概念參差不齊q實例說明：電腦犯罪實例 q實例說明：辦公用個人電腦被植入木馬程式 ISBN 978-957-729-752-5資訊管理：理論與實務(六版)謝清佳、吳琮璠著網路通訊環境之威脅與挑戰(2/6)qCOSO企業風險管理整合架構 l目標設定(Objective setting)企業風險管理確保在實際執行時能夠達成以下四個項目目標：策略的目標營運的目標報告的目標法令遵循的目標 ISBN 978-957-729-752-5資訊管理：理論與實務(六版)謝清佳、吳琮璠著圖13-1 企業風險管理整合

3、架構（ERM Framework）ISBN 978-957-729-752-5資訊管理：理論與實務(六版)謝清佳、吳琮璠著網路通訊環境之威脅與挑戰(3/6)q事件確認(Event identification)q風險評估(Risk assessment)l風險評估係指企業辨認風險並加以分析之過程，以作為該風險應如何管理之依據。q風險回應(Risk response)l在選定風險回應措施之後必須擬定風險回應之計劃。q控制活動(Control activities)l控制活動乃是控制性的作業活動。q資訊及溝通(Information and communication)l係指對有關資訊以適時有效

4、之方式予以辨識、蒐集並傳遞予相關人士，使其有效履行其責任。ISBN 978-957-729-752-5資訊管理：理論與實務(六版)謝清佳、吳琮璠著網路通訊環境之威脅與挑戰(4/6)q資訊及溝通(Information and communication)l係指對有關資訊以適時有效之方式予以辨識、蒐集並傳遞予相關人士，使其有效履行其責任。q監督(Monitoring)l監督係評估內部控制執行品質之過程。l若未做好風險管理可能的損害有以下幾點：阻礙組織創造之價值或侵蝕組織現有價值無法有效連結策略、風險、風險回應非預期風險及損失產生組織或企業危機ISBN 978-957-729-752-5資訊管理

5、：理論與實務(六版)謝清佳、吳琮璠著網路通訊環境之威脅與挑戰(5/6)發生組織倒閉投資人、企業界人士及其他利害關係人遭受巨大損失。l實例說明：家用產品公司使命、策略性目標、風險胃納與風險容忍之關係 qCOBITl是國際電腦稽核協會(ISACA)完成之一套實用的資訊系統稽核與控制標準，用以提供CISA與CISM人員執行業務時之參考。ISBN 978-957-729-752-5資訊管理：理論與實務(六版)謝清佳、吳琮璠著圖13-2 風險管理的理念模式 ISBN 978-957-729-752-5資訊管理：理論與實務(六版)謝清佳、吳琮璠著圖13-3 使命、目標、風險胃納與風險容忍度之關係 I

6、SBN 978-957-729-752-5資訊管理：理論與實務(六版)謝清佳、吳琮璠著圖13-4 COBIT組成架構 ISBN 978-957-729-752-5資訊管理：理論與實務(六版)謝清佳、吳琮璠著網路通訊環境之威脅與挑戰(6/6)lCOBIT設計為下列三種特殊對象使用：管理階層使用者稽核人員l實例說明：KPMG與英國審計總署風險管理最佳實務 ISBN 978-957-729-752-5資訊管理：理論與實務(六版)謝清佳、吳琮璠著企業資訊科技風險管理(1/2)q企業IT風險 l受IT資產與程序影響的四項企業風險，包括不能達成以下四個目標的風險：可用(Availability)：存

7、取(Access)正確(Accuracy)靈活(Agility)l可用的風險使用內部資源實例說明：銀行提款離線備援程序使用外部資源 ISBN 978-957-729-752-5資訊管理：理論與實務(六版)謝清佳、吳琮璠著圖13-5 企業資訊科技風險管理 ISBN 978-957-729-752-5資訊管理：理論與實務(六版)謝清佳、吳琮璠著企業資訊科技風險管理(2/2)l存取的風險l正確的風險實例說明：資料正確性是電腦的錯還是人的錯l靈活(Agility)的風險實例說明：IT風險因子調查 ISBN 978-957-729-752-5資訊管理：理論與實務(六版)謝清佳、吳琮璠著圖13-6

8、IT風險金字塔 ISBN 978-957-729-752-5資訊管理：理論與實務(六版)謝清佳、吳琮璠著圖13-7 IT風險管理應由各事業單位與專責單位分工負責制定(調整)政策監控並報導風險管理專責單位各事業單位對應窗口單位辦認風險種類訂定優先次序風險處理ISBN 978-957-729-752-5資訊管理：理論與實務(六版)謝清佳、吳琮璠著圖13-8 公司風險描述圖 ISBN 978-957-729-752-5資訊管理：理論與實務(六版)謝清佳、吳琮璠著資訊科技風險管理制度之導入與推行q如何導入IT風險管理制度l一個組織推行導入IT風險管理制度可歸納成以下四方向：型塑風險管理文

9、化培養風險意識，建立風險圖提升風險管理能量支持系統l實例說明實例說明：Motorola安全風險地圖實例說明：Pacific Life Insurance IT風險管理專案 ISBN 978-957-729-752-5資訊管理：理論與實務(六版)謝清佳、吳琮璠著圖13-9 風險管理導入運作模式 ISBN 978-957-729-752-5資訊管理：理論與實務(六版)謝清佳、吳琮璠著圖13-10 IT風險地圖(用以訂定優先次序與監督實際風險情形)ISBN 978-957-729-752-5資訊管理：理論與實務(六版)謝清佳、吳琮璠著圖13-11 日常風險監督確保最重要的風險快速處理 ISBN

10、 978-957-729-752-5資訊管理：理論與實務(六版)謝清佳、吳琮璠著圖13-12 太平洋集團組織圖 ISBN 978-957-729-752-5資訊管理：理論與實務(六版)謝清佳、吳琮璠著圖13-13 IT共用系統組織 ISBN 978-957-729-752-5資訊管理：理論與實務(六版)謝清佳、吳琮璠著圖13-14 太平洋保險IT共用系統與IT治理模型 ISBN 978-957-729-752-5資訊管理：理論與實務(六版)謝清佳、吳琮璠著資訊安全管理(1/2)q資訊安全管理的迷思qBS7799資訊安全管理制度 l實例說明：銀行BS7799之導入q網路入侵偵測技術之發展

11、與運用l實例說明：某政府機關評估安全措施有效性（由高至低排序）l實例說明：資訊安全經理人(CISM)考試q數位證據與電腦鑑識 l實例說明；美國資通安全鑑識組織q資訊系統稽核 l實例說明：政府機關無線網路稽核 ISBN 978-957-729-752-5資訊管理：理論與實務(六版)謝清佳、吳琮璠著圖13-15 IDS偵測器配置架構圖 ISBN 978-957-729-752-5資訊管理：理論與實務(六版)謝清佳、吳琮璠著圖13-16 防範、網路竊取資料的有效性(某機關內部評估有效性高至低排序)ISBN 978-957-729-752-5資訊管理：理論與實務(六版)謝清佳、吳琮璠著圖13-1

12、7 C政府機關無線區域網路資訊安全分項稽核評估綜合說明表受查單位：C政府機關稽核日期：_年_月_日稽核項目稽核現況綜合說明資訊技術安全管理政策待改進事項：BS7799 3.1.1、3.1.2建議：立即改進項目完成後再予以檢視待改進部分。安全處理事件立即改進事項：BS7799 6.3.1、6.3.2待改進事項：6.3.3建議：1.能適當的處理意外事件，防止安全或法令遭致破壞。2.能避免意外事故導致作業中斷(如設備停電問題)，不會造成資訊可用性喪失。3,具備蒐集證據的能力。4.具備通報系統，能事故作適切的通報。5.人員對通報體系要有充分的認知，能適切通報安全事故。6.即時通報安全事故，不會有重

13、複發生的事故。7.能避免導致企業作業中斷安全上的弱點，使資訊保持可用性。8.具備通報系統，能對安全弱點做適切的通報。9.人員對通報體系要有充分的認知，能適切通報安全弱點。10.即時通報安全弱點，避免安全遭致破壞。11.立即改進項目完成再予以檢視待改進部分。需建立文件：建立安全事件通報類別及流程、資訊安全警訊分析與發佈機制。人員待改進事項：BS7799 6.2.1建議：立即改進項目完成後再予以檢視待改進部分。操作議題待改進事項：BS7799 8.6.3建議：1.可避免資訊輸出、入不正確機制。2.具備安全相關控制項目。3.具有完整的資訊控管程序，避免組織和個人資料遭到不當揭露、修改或遺失。4.立即

14、改進項目完成後再予以檢視待改進部分。需建立文件：資訊處理及儲存程序。實體安全待改進事項：BS7799 7.1.4、7.1.5、7.2.1、7.2.2建議：立即改進項目完成後再予以檢視待改進部分。資訊技術之邏輯存取控制和稽核立即改進事項：BS7799 9.4.3待改進事項：BS7799 9.1.1、9.2.1、9.2.2、9.4.1、9.4.2、9.4.5、9.4.8、9.6.1建議：1.未經授權無法存取資訊與網路。2.具備良好的使用者鑑別系統。3.具有蒐集證據的能力。4.立即改進項目完成後再予以檢視待改進部分。資訊技術之防護惡意程式碼待改進事項：BS7799 8.3.1建議：立即改進項目完成後再予以檢視待改進部分。資訊技術之網路管理待改進事項：BS7799 8.2.2建議：立即改進項目完成後再予以檢視待改進部分。資訊技術之密碼學待改進事項：BS7799 10.3.3、10.3.4、10.3.5建議：立即改進項目完成後再予以檢視待改進部分。ISBN 978-957-729-752-5資訊管理：理論與實務(六版)謝清佳、吳琮璠著圖13-18 緊急應變順序示意 ISBN 978-957-729-752-5資訊管理：理論與實務(六版)謝清佳、吳琮璠著資訊安全管理(2/2)q營運持續管理(Business Continuity Plan)l實例說明：主管機關對銀行營運持續管理之規範

展开阅读全文