ISO27001資訊安全品質管理系統風險評鑑作業經驗分享（上）

Risk Assessment Operation of Information Security Management System for ISO27001 (I)

期望成為政府行政機關導入資訊安全管理系統(簡稱ISMS)示範願景下，經濟部標準檢驗局於95年開始全面導入ISO27001資訊安全品質管理系統，範圍涵蓋總局、六個分局及15個辦事處。ISO 27001是所有管理系統中章節最多內容也最繁鎖，除主文八個章節，還有附錄39個目標與133個控制措施需遵守，主要以「風險評鑑作業」為起點，識別出各資訊資產潛在風險並納入系統管理，過程包括資訊資產盤查清冊建立、CIAL面向指標評估資訊資產體質健康度、選擇有效風險類型衝擊、選擇風險評鑑方法論、計算風險值、判定風險等級等，最後對高風險等級採取風險處理，並透過組織年度管審會議定期追蹤，期望以管理係統PDCA模式來降低潛在風險所導致的資安事件(故)發生。本文分享風險評鑑作業技巧，並以硬體資產、隨身碟、應用程式舉例演練，經驗亦適合其它風險風險評鑑方法論參考。