根據Rainer等人 (1991) 的定義,資訊風險是指「易受威脅的資訊資產」。在資訊系統運作過程中,遭受到外力威脅時,因資訊資產本身存在的弱點所可能引發的各種威脅,例如資料處理錯誤、網路損壞、設備/資料遭竊、軟體錯誤、電腦詐欺、未經授權的存取、電腦元件故障、被人蓄意破壞、自然環境災害、設備誤用、病毒木馬,或是資訊服務停機等等 (黃士銘等人,2006;Fitzgerald,1995)。尤其當資訊系統愈趨複雜,也會同時強化資訊風險問題的嚴重性。這些風險可以進一步歸納成系統面與管理面兩部份。基本上,系統面的資訊風險就包括軟體、硬體、資料與網路四個部份;管理面的資訊風險則有實體、人為,以及管理層面的問題 (Icove等人,1999)。
風險的來源是資安策略重點
資訊安全策略制定的問題,有許多學者提出許多方法協助組織有系統地建立其可行的資訊安全政策。一般來說,影響組織資訊安全策略的因素,主要來自組織資訊環境的四個部份,分別是組織資訊內部環境的資訊資源、組織特性、以及外部環境的資訊科技機會與組織產業地位。因此,電子化程度就會與組織整體資訊安全策略的擬定,具有相當高的依存關係。而電子化程度則與企業的資訊策略、資訊部門結構、資訊系統架構,以及資訊應用的重點與領域等特徵息息相關。資訊安全策略的擬定過程包含風險評鑑、風險辨識、風險評估、風險處理,以及風險承擔等,這與目前ISO/IEC 27001資訊安全國際標準的作法非常類似。因此,也有學者 (Siegel,2002) 建議MIS主管可以藉由導入這些標準來協助組織制定相關管理程序與執行要點。
企業要建構並制定完整的資訊安全策略並不是件容易的事。MIS主管可以從企業整體電子化程度與資訊資產風險評鑑活動的結果來思考適切的資訊安全策略,如圖一所示。從李東峰、林子銘 (2001),以及葉桂珍與張榮庭 (2006) 等人的研究結果來看,電子化程度較低的企業,其資訊需求大都會放在對企業內部例行性作法或行政管理等活動上。所以,這類的資訊風險會比較偏系統面的議題,像對網路穩定度或連通度,相對應的資訊安全要求標準就應該被填入低電子化與系統面交集的方格中,成為組織資訊安全策略的一環。
電子化程度中等的企業,電子化應用的觸角則會延伸到一般決策活動上。資訊安全策略的內涵,除了對資訊基礎建設高可用度的要求外,還必須思考資料與人為風險的問題,例如資料錯誤或設備誤用等議題。因此,MIS主管可以考慮導入一些國際資訊安全標準,例如ISO 27001,透過PlanàDoàCheckàAction的循環不斷提昇與改進資訊安全管理系統的穩健度。
最後,在電子化程度高的企業,資訊安全策略的內涵會因為企業電子化應用重點的不同與豐富性,具備投資組合的概念,MIS主管可以系統面與人為面向為因素分類的基礎,就適法性、外在競爭環境的變遷、資產風險評估原則、資產價值,以及相關資訊服務對企業目前/未來業務的衝擊等因素,條列出與事件情境相關的包括威脅的識別、受影響的資產,以及資產脆弱點,才能逐步研擬出適合的資訊安全策略。