資訊安全風險評鑑驗證系統

A Risk Assessment Verification System on Information Security

在資訊科技應用普及的時代，由於對資訊與網路的高度依賴與企業營運不可中斷要求下，資訊安全觀念截然成形。在企業組織導入資訊安全管理系統後，是否真如預期能達到安全效益，保護我們企業組織資訊系統安全？當組織面對資訊資產的風險需要採取對策時，如何取得編制預算上的依據進而調整適當投資成本，準確的投資在控管要點上，提供最好的資訊安全投資報酬率？企業可藉由資訊安全風險評鑑的方法論，找出組織營運流程中每項資訊資產的風險。定量風險評估是以量化數據評估資訊安全事件發生的頻率與發生後的影響，因此定量化風險評估提供企業有效率的方法，適當地將資源分配給需要控管的資產。目前台灣對於類似的定量風險評估並不多，大部份也都採取猜測或估計等主觀性的方法，憑著個人經驗或知識來判斷資訊資產的安全與風險，無法客觀上的評估與結果。本研究提出之資訊安全風險評鑑驗證系統，建構在資訊安全資訊管理系統上，開發強化模組補強資訊安全資訊管理系統在資產價值評鑑與風險控管成效分析不足的部份，提供風險評鑑時客觀的量化數據資訊。本系統利用歷史趨勢分析與稽核軌跡分析，檢視風險管理改善計畫執行之改善成效，提供企業在評估風險控制關鍵點與控管成效的衡量指標，協助管理高層準確檢視資訊安全系統執行效益，達到全量化的風險評鑒。

The proposed paper builds an enhance module for providing objective quantification information into the risk assessment process to supply the shortage of information asset valuation and risk management analysis in the information security management system. Besides, our system evaluates critical control point and key performance factor to assist manager accurately understand the benefit of information security system and achieves the total quantification risk assessment.