相信組織內部有導入或建置管理系統(Management System;又可稱之為管理制度)經驗的人,對於風險評鑑這個名詞都不會太陌生,因為有不少管理制度皆是採用風險導向,以風險評鑑結果作為管理制度建置與維運的基礎,例如ISMS、PIMS、BCMS等,從這些制度中,我們都可以找到與風險評鑑相關的作法或標準來參考運用。
簡要來說,風險就是風險發生機率乘以風險帶來的衝擊;亦有另外一種常見定義,風險就是(外在)威脅利用(內部)弱點對(資訊)資產造成損害的可能性。因應這些基本定義與參考公式,風險評鑑在過去幾年內曾經出現幾種不同的方法論,依筆者所見,可歸納出兩項演進趨勢:
(1) 從定性分析走向定量分析,目前常見作法為定性與定量並重:如果風險有歷史資訊可以參考的話,建議多運用定量分析,至於沒有歷史資訊的風險,仍然需要借重風險評鑑人員的經驗或參考其他外來相關資訊。
(2) 從簡單的矩陣對照走向複雜的計算公式,前者是指將機率與衝擊畫成二維矩陣圖,從矩陣中去對照風險的低、中、高或代表數值,而後者則考量到多項因子,例如資產價值、威脅發生機率、弱點遭利用程度、衝擊程度等,每項因子又可以細化成多項子因子來計算,每項因子再運用相乘或相加而得到一項風險數值,目前常見作法為運用簡要公式或複雜矩陣得出風險值,或者是這兩種方式的整合運用。
從這兩項趨勢來看,混合運用將會是較為合適的風險評鑑方式,其實不論採用何種風險評鑑方法,最重要的精神就是找出風險所在與其發生根因(Root Cause),並判斷出風險值的相對高低,從而決定風險處理的優先順序與組織資源投入的重點區域。
從資訊資產到個資風險評鑑 兩者如何整併?
許多企業都有推動資安管理系統(ISMS)的經驗,過去2年來,隨著新版個資法通過,個資管理制度的討論聲浪也愈來愈高,無論ISMS或個資管理制度,兩者皆提到要進行風險評鑑作業,但在作法上有些許差異,主要有兩個不同點(表1):
(1) 評鑑對象:資安管理系統的風險評鑑對象是資訊資產,資訊資產所涵蓋的資產類別相當多元化,從軟體、硬體、人員、服務、到資訊等;而個資管理機制的風險評鑑對象則為個資項目,通常包含紙本與電子型式兩種。
(2) 風險分析角度:資安管理系統可從流程、管理、系統、設備等不同構面,進行資產盤點與風險分析,而個資管理機制則需要結合個資生命週期與組織業務面,進行個資盤點與風險分析。
表1、資安與個資管理制度的風險評鑑方法比較表
|
|
資安管理系統
|
個資管理制度
|
|
評鑑對象
|
資訊資產,形式如下:
軟體、硬體、人員、服務、資訊。
|
個人資料,形式如下:
紙本、電子。
|
|
風險分析角度
|
流程面、管理面、系統面、設備面。
|
個資生命週期、組織業務。
|
資料來源:《資安人》整理,2012/8。
雖然資安管理系統的風險評鑑方式與個資管理制度有差異,但這些差異並非互斥,而是有機會可以整合運用,對於已經建置資安管理系統的企業來說,可運用此基礎延伸發展出組織適用的個資風險評鑑方式。
舉例來說,個資項目其實也算是資訊類資產的一種,但因為個資管理機制所著重的個資項目更完整精細,所以需要從組織業務面去做區隔,而且在評定個資項目的價值或衝擊時,還要考量到個資法規範,將法規遵循性與違反法規要求所帶來的衝擊都納入評估。
另外,因為這兩個管理機制的風險評鑑精神與部分特性類似,所以組織可以選擇套用資安管理系統的風險評鑑計算模式(不用再設計另外一個計算模式),只是在進行風險分析時,需要從個資生命週期、組織業務活動去找出風險發生的可能根因,亦即找出引發風險的威脅與弱點。
簡單來說,風險評鑑模式(公式)不變,只要調整屬於個資項目(個資相關)的資訊類資產盤點方式與評價原則,並增訂相對應的威脅/弱點列表內容,依此再去計算出個資項目的風險值。另外要注意的是,在進行個資風險評鑑時,個資項目應該只跟其他個資項目進行風險評估與相對比較,不適合跟其他與個資無關的資訊類資產以及其他類別資產放在一起來進行風險評估。
個資風險評鑑的5大原則
如果組織本身沒有建置資安管理系統,或者不想引用既有資安管理系統的作法,也可參照下列原則自行規劃個資風險評鑑方式:
(1) 從個資生命週期與組織業務活動切入,找出個資相關項目,並從個資屬性(特種個資/一般個資)、個資數量(大量/少量)、個資保存型式(紙本/電子)去定義與評定個資價值。
(2) 從組織業務活動角度出發,先描繪出個資生命週期,也就是蒐集、處理、利用、國際傳輸、銷毀等各個階段,再從中找出可能導致個資外洩或不當運用的風險項目,以及該風險項目的可能發生機率。在思考風險項目時,應從威脅/弱點配對的角度去思考,舉例來說,惡意人士運用社交工程手法與個資保管機制疏漏去竊取個資,這就是一種風險項目,至於風險發生機率,則應考量組織現有的控管措施與控管成熟度。
(3) 找出當個資相關風險項目發生後,可能帶給組織哪些衝擊或影響,可從有形或無形衝擊的角度去思考評估。
(4) 個資價值、風險項目可能發生機率、與衝擊/影響程度都可選擇用數字或文字來表達,例如1、3、5或低、中、高。
(5) 在評定風險值時,須同時考量個資價值、風險項目可能發生機率、與衝擊/影響程度,可將三者以數學公式計算(相乘或相加),或是設計矩陣表對照出風險(值)並評定其高低。
風險評鑑的重點在於,識別出風險發生的原因、可能性以及所帶來的損害,並從而排定風險(值)的相對高低,做為風險改善(處理)的基礎。因此,只要能夠找到一套作法可以達到上列重點,且評鑑出來的結果與既有感受或實際營運經驗相符合(至少要做到不背離),就是一個值得評估採用的方法論,建議企業可參考一些風險評鑑的國際標準/實作準則,或徵詢其他組織的實作經驗以及相關服務廠商的執行建議,來規劃組織適用的風險評鑑作法。
個資風險評鑑的前置作業
當組織在籌備或進行個資風險評鑑作業時,可考量採用下列措施,讓整個作業過程能夠更順利。
(1) 先從教育訓練或宣導活動著手:
在推動各項個資管理活動前,例如:個資盤點、個資風險評鑑、個資控管措施實施、個資內部稽核等,應先完成相關教育訓練或認知宣導活動,讓執行人員先了解做這些事的目的與價值,再讓他們去熟悉運作方式與相關執行細節。
(2) 先動手做、再來修正:
一開始就要規劃出一套很完善的風險評鑑方法論是比較困難的,因此建議組織先訂出一套可行作法後就開始實作,從作業過程與執行成果中,找出原先方法論不足之處,然後再去修正,修正後再去實施,不斷地持續改善,這也是體現PDCA(規劃/執行/檢核/改善)管理循環的精神。
(3) 擴大參與層面、盡量讓組織內各部門皆參與並提供回饋:
個資通常會在組織各部門間流通運用,很難有部門可以完全置身事外,因此在執行個資盤點與風險評鑑作業時,為求廣度,建議可擴大參與層面,讓更多部門加入,就算在完成個資盤點作業後,發現某些部門只有極少數或完全沒有個資,那也是一種個資盤點作業的具體結果。
而且因為有不同部門的參與投入及互動回饋,可幫助其他部門找到原先自己所沒有發現的盲點或缺漏處,同時也能強化風險評鑑作業的深度。另外為促使更多部門都能夠積極投入,高階主管的支持是一個不可或缺的重要因素,建議高階主管可適時參與其中一些活動,例如籌備說明會或評鑑結果審查,並表示意見與鼓勵,讓組織成員能夠更加感受到高階主管的決心。
凡事起頭難,尤其在建立管理機制時更是如此,所以在擬訂個資風險評鑑作法時,必須先掌握風險管理的精神,而不要拘泥於特定形式或程序,透過做中學習與持續調整,相信能找到一個適用於所屬組織的良好作法,讓組織與相關執行人員可以運用較少資源獲得更多的個資保護效益。
本文作者現為企業資安人員。如您對本文有任何感想,歡迎來信交流:isnews@newera.messefrankfurt.com。