--- # System prepended metadata title: 政府資安職能-資通系統風險管理 tags: [Exam] --- # 政府資安職能-資通系統風險管理 更新時間:2025/8/10 參考CNS27005「資訊安全風險管理」國家標準,介紹資通系統風險管理及風險評鑑方法,透過實務操作與案例分享,協助資通安全管理人員瞭解風險評鑑的技術,以利於採取適當的安全防護控制措施,降低資安風險。 參考國內標準 CNS 27001:2023 資訊安全管理系統-要求事項 CNS 27005:2013 資訊安全風險管理 CNS 31000:2021 風險管理-指導綱要 CNS 31010:2012 風險管理-風險評鑑技術 CNS 22301:2021 事業持續管理系統-要求事項 (業務持續營運管理) 國際標準 ISO/IEC 31000 風險為影響目標達成的不確定因素。 風險造成的影響有好有壞,好的叫機會,壞的叫威脅。 -------------------------------- 參考資料: 行政院及所屬各機關風險管理及危機處理作業原則 https://theme.ndc.gov.tw/lawout/NewsContent.aspx?id=10527 行政院及所屬各機關風險管理及危機處理作業手冊 https://www.ndc.gov.tw/Content_List.aspx?n=47CBA512BC0478E9 資通系統風險評鑑參考指引 https://download.nics.nat.gov.tw/api/v4/file-service/UploadFile/Common_Standards/%E8%AD%98%E5%88%A5/%E8%B3%87%E9%80%9A%E7%B3%BB%E7%B5%B1%E9%A2%A8%E9%9A%AA%E8%A9%95%E9%91%91%E5%8F%83%E8%80%83%E6%8C%87%E5%BC%95v4.1_1101231.zip 安全控制措施參考指引 https://download.nics.nat.gov.tw/api/v4/file-service/UploadFile/Common_Standards/%E5%AE%89%E5%85%A8%E6%8E%A7%E5%88%B6%E6%8E%AA%E6%96%BD%E5%8F%83%E8%80%83%E6%8C%87%E5%BC%95v4.1_1121127.zip 資通安全責任等級辦法 https://law.moda.gov.tw/LawContent.aspx?id=FL089966 附表一 資通安全責任等級A級之公務機關應辦事項 附表二 資通安全責任等級A級之特定非公務機關應辦事項 附表三 資通安全責任等級B級之公務機關應辦事項 附表四 資通安全責任等級B級之特定非公務機關應辦事項 附表五 資通安全責任等級C級之公務機關應辦事項 附表六 資通安全責任等級C級之特定非公務機關應辦事項 附表七 資通安全責任等級D級之各機關應辦事項 附表八 資通安全責任等級E級之各機關應辦事項 附表九 資通系統防護需求分級原則 附表十 資通系統防護基準 ----------------------- 知識Knowledge(K)指標 K1了解何謂風險管理 => 3題 K2了解風險管理架構與運用方法 => 6題 K3了解風險管理初期的溝通與諮詢技巧 =>2題 K4了解風險管理範圍界定方式 =>3題 K5了解風險管理基本準則規劃與定義 =>3題 K6了解風險評鑑實施做法 =>7題 K7了解風險處理重點與4種風險處理活動 =>4題 K8了解風險評鑑與控制措施的持續有效性作為 =>4題 技能Skill(S)指標 S1具備依不同業務特性而建立資安風險評鑑各項準則能力 =>3題 S2具備執行風險評鑑能力 =>6題 S3具備因應資安風險所採取策略適當能力 =>5題 S4具備可確認因應資安風險採取控制措施有效能力 =>4題 ----------------------- 第 1 單元 風險管理概論(K1) K1 了解何謂風險管理 資訊安全的特性 機密性 Confidentiality、完整性 Integrity、可用性 Availability 鑑別性 Authenticity 可歸責性 Accountability 不可否認性 Non-Repuduation 可靠度 Reliability 對於風險的定義參考CNS 31000的定義->對於組織目標之不確定影響 所謂影響係指對於預期結果的誤差,包括正向與負向的結果 組織目標可包含不同面向,如財務、健康、安全及環保等目標,可應用於不同階層,上至組織策略、專案工作,下至產品發展與過程或資安等 風險意指任何類型與大小的組織,為達成組織的目標,所面對內部及外部因素影響的不確定性,包含事件發生的改變程度與發生的可能性等。 「**行政院及所屬各機關風險管理及危機處理作業手冊**」強調風險管理是一個「**持續改善**」的反覆過程或循環過程,並建議參考之風險管理架構 風險 Risk = 威脅 Threat X 脆弱性 Vulnerability 資產 => 機密性、完整性、可用性 安全管理 => 政策/法令/法規、資訊安全管理系統標準、資訊安全機制 **資通系統風險管理過程** 風險溝通及諮詢、建立全景、風險評鑑、風險處理、風險監視與審查等5階段管理過程 P.1-12 參考CNS31000的定義 對於組織目標之不確定影響 影響指對於預期結果的誤差,包括正向與負向的結果 組織目標可包含不同面向,例如財務、健康、安全與環保目標,並且可以應用於不同階層,上至組織策略、專案工作,下至產品發展與過程,或資安均是 根據CNS 31000的定義,風險是對於組織目標之不確定影響(effect of uncertainty on objectives)。 不確定性,包含事件發生的改變程度與發生的可能性等 然後有一點點,,要留意的,概論這裡的 風險的大小是用"衝擊"和"可能性"判斷 資訊資產造成風險影響的程序或損害程度為何(複選) A)威脅 B)可能性 V C)衝擊 V D)脆弱性 答案 B, C 考題重點: 形成資訊安全風險(Risk)的因素中,哪些是增加風險的因素? A) 威脅、弱點、存取控制 B) 威脅、資產價值、存取控制 C) 威脅、弱點、資產價值 V D) 弱點、備份、數位簽章 答案 C P.1-15 多數的資安事件,都是由資通系統在開發建置或維護過程中,未評估其可能產生的風險,導致在多個潛在風險存在於資通系統內 P.1-16 安全問題綠由, 這種三塊的,分類的,職能最喜歡考,列何者不屬於XXXX 技術面 bug、未修補patch、沒標準、難以維持最新技術 流程面 未考量安全性、角色權責不清、缺乏稽核追蹤機制、缺乏災害復原計畫 人員面 認知不足、內部管理不善、缺乏承諾、聯繫溝通管道不佳、人員錯誤 資產依CNS 27002分為:資訊、軟體資產、實體資產、服務、人員及無形資產 資訊保護不當,造成遺失或外洩,導致機密性喪失危害 -公文系統這類軟體資產,若開發時有BUG,屬於完整性危害,當然也可能連帶造成可用性危害 -人員資安認知不足,隨意開始社交工程郵件,或將存有機密資訊的隨身碟隨意置放,都可能造成機密性危害 -關鍵業務主機故障,造成科室業務中斷,是可用性危害 第 2 單元 風險管理架構(K2、S1) K2 了解風險管理架構與運用方法 S1 具備依不同業務特性而建立資安風險評鑑各項準則能力 風險管理係指協同所有之活動加以指導,並控制組織所關注之風險。 政府機關所有活動均涵蓋於風險管理範圍內,需對風險進行識別與分析,並評估風險處理方法的影響,符合機關之風險條件,以達成機關之目標。 ISO 31000指出**風險管理的目的**是**創造與保護資產的價值**,規範的原則為風險管理提供有效果且有效率的指導,傳達其價值並解釋其意圖與目的。 ISO 31000提供**風險管理原則的聲明** 前5項原則為**設計風險管理措施**提供指導 原則1:框架與過程應該客製化且互相對應。 原則2:利害關係人必須適當與及時的參與。 原則3:採用結構與全面的方法。 原則4:風險管理是組織所有活動的一部分。 原則5:風險管理應依預測、發現、告知及反應而執行變更。 原則6、7及8則是與**風險管理運作**有關措施 原則6:風險管理應考慮可用資訊的限制。 原則7:風險管理的各個面向都會受到人文因素影響。 原則8:風險管理透過學習與經驗不斷改進。 原則經常被歸納為**比例性**(proportionate)、**一致性**(aligned)、**全面性**(comprehensive)、**嵌入性**(embedded)及**動態性**(dynamic),簡稱PACED 比例性->風險管理活動必須與組織所面臨的風險成比例 一致性->風險管理活動需要與組織內其他活動保持一致 全面性->為了充分發揮作用,風險管理方法必須是全面 嵌入性->風險管理活動需要嵌入到組織中 動態性->風險管理活動必須是動態的,並對新興和有影響的事物作出改變 **風險管理框架**的**目的是協助將風險管理納入所有活動與功能**。 風險管理框架=>領導與承諾、整合、設計、建置、評估、持續改善 風險管理框架的目的是協助將風險管理納入所有活動與功能。風險管理的有效性取決於整合到治理和組織的所有其他活動中 **領導與承諾** ※有考 – 將風險管理與組織的策略、目標及文化相結合。 – 建立風險管理的方法、計畫或行動方案的聲明或政策。 – 為管理風險提供必要的資源。 – 確定可能或不可能採取的風險類型(風險偏好)。 **整合** – 確定管理當責、監管角色及職責。 – 確保風險管理是組織所有功能的一部分,而不是與其分開。 **設計** – 了解組織及其內、外部背景。 – 清楚說明風險管理承諾並分配適當資源。 – 建立溝通與諮詢。 **建置** – 制定適當的實施計畫,包括最後期限等。 – 定義由誰於何時、何處及如何進行不同類型的決策。 – 在必要時修改適用的決策流程。 **評估** – 根據目的、建置及執行情形來衡量框架績效。 – 確定風險管理框架是否仍適用於實現組織目標。 **持續改善** – 不斷監測與調整框架以解決外部與內部變化。 – 採取措施以提高風險管理的價值。 – 提高風險管理框架的適用性、充分性及有效性。 P.1-22 威脅和脆弱性定義的概念 常會考何者正確, 何者為非 哪些是威脅, 哪些是脆弱性要看熟, 把握一個重點, "脆弱性存在於資產本身" 脆弱性指資產因設計不當、人為操作管理失誤或強度不足,可用於作為攻擊行動(威脅)利用的突破口之處 脆弱性存在於實體環境、資通系統及其他組成原件 (例如:系統安全程序、硬體設計及內部控制)本身 範例 脆弱性存在於資產本身 -輕巧的筆記型電腦,輕巧即為筆記型電腦本身的脆弱性 -007情報員這個威脅,會危害價值連城的資訊 -順手牽羊者,會威脅輕巧筆記型電腦 -未預警停電,會損害重要的主機設備 -不愉快的員工,會想要破壞關鍵應用系統 -病毒的威脅,會對警覺性不高的員工,或已上線的作業系統產生危害 還有P.1-23頁的攻擊手法, P.1-22,23的大雜燴, 這個很喜歡考在概念題裡 風險的概念題會有跨好幾頁之間在出的, 比較麻煩 威脅對資產本身而言是外來的 -007情報員是人為威脅 -洪水是天然威脅 -順手牽羊者是人為威脅 -未預警停電是環境威脅 -不愉快員工是人為威脅 -病毒是系統威脅 P.1-23 想要不法取得或想要傷害資訊及資通系統,稱之為攻擊手法 -007情報員這種商業間諜,以潛入工作場所攻擊手法,利用資訊價值本身價值連城的脆弱性,對資產造成危害 -洪水會淹沒廠房攻擊手法,利用製造產品的脆弱性,對廠房造成危害 -順手牽羊者會趁其不備快速行動,利用筆記型電腦非常輕巧,的脆弱性,偷走筆記型電腦 -未預警停電,停止供電會因此對重要的主機設備造成損害 -不愉快的員工,會利用惡意程式碼攻擊手法,伺機破壞關鍵應用系統 -病毒透過e-mail的社交攻擊手法,讓警覺性不高的員工誤開檔案,造成危害 P.1-26 組織所有活動均涵蓋在風險管理的範圍內,須對風險進行識別與分析,並評估風險處理方法的影響,滿足組織風險條件,以達成組織目標 框架->過程->原則 循環 P.1-28 風險管理框架的目的是協助將風險管理納入所有活動與功能,風險管理的有效性取決於整合到治理與組織的所有其他活動中,如組織在進行決策時,即應將風險管理納入考量 ※領導與承諾 -將風險管理與組織的策略、目標及文化相結合 -建立風險管理的方法、計畫或行動方案的聲明或政策 -為管理風險提供必要的資源 整合 確定管理當責、監管角色及職責 確保風險管理式組織所有功能的一部分,而不是與其分開 P.1-29 設計 了解組織及其內、外部背景 清楚說明風險管理承諾並分配適當資源 建立溝通與諮詢 建置 制定適當的實施計畫包括最後期限等 定義由誰於何時、何處及如何進行不同類型的決策 在必要時修改適用的決策流程 P.1-30 持續改善 不斷監測與調整框架以解決外部與內部變化 採取措施以提高風險管理的價值 提高風險管理框架的適用性、充分性與有效性 評估 根據目的、建置與執行情形來衡量框架績效 確定風險管理框架是否仍適用於實現組織目標 P.1-31 風險管理過程 -> 凡是流程就必考排列組合 ●溝通及諮詢 -於風險管理過程之各階段偕同不同領域專家 -協助從不同的觀點定義風險條件與評估 -提供足夠的資訊來促進風險監督與決策 -對受風險影響的人建立具包容性與歸屬感的意識 ●範圍、全景及準則 -界定風險管理活動的目的與範圍 -界定組織的外部與內部環境 -界定可接受風險與類型的風險準則 ●風險評鑑 -風險鑑別主要在發現、識別及描述可能有助於或阻止目標實現及各種有形或無形的風險影響 -對風險的類型與特徵進行風險分析,包括風險等級、風險來源、後果、可能性、事件、情境、控制及其有效性 ●風險處理 -選擇合適的風險處理方案 -設計風險處理計畫,明定如何實施處理選項 ●監視與審查 -提高過程設計、實施及效果的質量與有效性 -監視風險管理流程及其結果,監視與審查的責任須清楚界定 -計畫、收集及分析所得資訊、記錄其結果,並提供回饋 -將結果納入績效管理、衡量及報告活動 ●記錄與報告 -在整個組織內溝通風險管理活動與結果 -為決策提供資訊 -改進風險管理活動 -提供風險資訊並與利害關係者進行互動 P.1-33 行政院及所屬各機關風險管理及危機處理作業手冊 參考CNS31000之風險管理過程所擬定 P.1-34 CNS27001特別強調風險評鑑與處理過程符合CNS31000 5.7威脅情資 5.23使用雲端服務之資訊安全 5.30營運持續之ICT備妥性 7.4實體安全監視 8.9組態管理 8.10資訊刪除 8.11資料遮蔽 8.12資料洩漏預防 8.16監視活動 8.22網頁過濾 8.28安全程式設計 P.1-35 注意到 風險評鑑技術與方法 參考CNS31010提供系統化的風險評鑑方法選擇與應用的指引文件 -參考CNS 31010附錄A -摘列適用各個層級的風險評鑑方法 -依據風險評鑑過程,區分為風險識別、風險分析(含衝擊後果、發生可能性、風險等級)及風險評估等階段 P.1-35,36頁的重點大概是 高階風險評鑑法=企業衝擊分析BIA 詳細風險評鑑法=後果/機率矩陣 P.1-37 CNS 27005不提供任何資安風險管理之特定方法論 組織可自行依據,例如:ISMS範圍、風險管理全景或產業別等,定義風險管理作法 有數種方法論,能在CNS 27005描述框架下,實作資安管理系統(ISMS)之要求 遵循CNS31000之規定,以循環做法(亦稱迭代式)進行風險評鑑 循環作法提供在最小化花費,於識別控制措施之時間與耗費良好平衡時以確保高風險被式當評鑑 CNS27005資安風險管理過程,遵照CNS31000規定,並與行政院風險管理與危機處理作業手冊中,陳述的管理架構一致,均符合國際風險管理規範要求 P.1-39 高階風險評鑑 還有哪裡可以找到高階風險評鑑的蹤影 資通安全責任等級分級辦法附表九之描述 安全等級設定原則採用技術類似CNS31010企業衝擊分析, 用以評鑑機關衝擊程度,評定資通系統安全等級 安全等級分為3級,4大影響構面,分別考量資通系統於發生資安事件時,可能造成衝擊,即衡量資通系統資料外洩、資料遭竄改、系統故障等情事時,可能造成後果嚴重程度,並據以評估、設定安全等級 3級安全等級=> 普、中、高 4大影響構面=>機密性、完整性、可用性、法律遵循性 P.1-40 這邊,個資的普中高要留意,這邊常考, 一般性資料外洩不影響機關權益或輕微受損列普 涉及區域性個人資料機關權益嚴重受損列中 涉及全國性個人資料機關權益非常嚴重受損列高 P.1-42 評估本影響構面安全等級(可用性)時,應考量資通系統可容許中斷時間,服務受影響程度等 常考的是中斷時間較長,還有短,還有非常短的定義 容許中斷時間72小時以上列為普 中斷時間短影響社會民生嚴重列為中 中斷時間非常短影響社會民生嚴重30分鐘以內高 P.1-44頁容易忽略到的重點 CNS 27005 列舉符合CNS 31010 後果/機率矩陣(Consequence/probability matrix)法之實務範例, 但不以此為限 P.1-45 詳細風險評鑑 資產價值 依據資產之建置成本或置換成本,加以估價,再轉換成對應的量測尺度,實務會採用評估CIA組合,對資訊及資通系統加以衡量 發生可能性-威脅 將威脅發生可能性區分為低、中、高3級 脆弱易被利用之程度 將威脅利用脆弱性之容易程度區分為低、中、高3級 P.1-47 詳細風險評鑑 將後果(資產價值)因素,與威脅發生可能性(脆弱性層面納入考量)相互關聯 依據預先定義尺度,尺度採用 1-5,評估各受威脅資產後果:資產價值(b) 依據預先定義尺度,尺度採用 1-5,評估個威脅發生可能性(c) 藉由相乘(bxc)計算風險量測(d) 依風險相關量測順序,排序威脅(e) 第 3 單元 風險溝通與諮詢(K3、S1) K3 了解風險管理初期的溝通與諮詢技巧 S1 具備依不同業務特性而建立資安風險評鑑各項準則能力 **溝通及諮詢** – 於風險管理過程之各階段協同不同領域專家。 – 協助從不同的觀點定義風險條件與評估。 – 提供足夠的資訊來促進風險監督與決策。 – 對受風險影響的人建立具包容性(inclusiveness)與歸屬感(ownership)的意識。 **風險管理初期階段,便應發展溝通與諮詢方法**,俾利風險管理過程中各階段,向機關外部與內部之利害關係人溝通與諮詢。 風險溝通是決策者與其他利害關係人藉由交換或分享風險資訊,於風險管理上達成協議的活動,其所獲得之資訊包含(但不限於)風險之存在、本質、形式、發生可能性、衝擊嚴重程度、處理之方法及風險可接受之程度等。 機關應**納編各部門成員及各領域專家**,組成完整之溝通與諮詢團隊,並提供以下的協助: ● 協助建立適當的全景。 ● 確認利害關係人所關切之議題已被了解並納入考量。 ● 協助確認風險已被充分的識別。 ● 協同不同領域專家進行風險分析。 ● 協助從不同的觀點定義風險條件與評估。 ● 提供保證並支持處理計畫。 ● 於風險管理過程中,強化適當的變更管理。 ● 發展適當的外部與內部溝通與諮詢的計畫。 為讓負責實施風險管理的人員了解決策的基礎,以及為何需要執行特定的風險管理活動,雙向溝通是十分重要的。在溝通風險議題時,由於風險管理相關人員與決策者對於假設、觀念、需求及關切議題等差異,對風險的認知可能不同,因而對風險的可接受性判斷也會有所差異,因此,如何確保風險管理相關人員對風險的認知是特別重要的。 機關應發展正常運作與緊急情況下之風險溝通與諮詢計畫,成立作業小組並與機關內之公關部門或發言人合作,以協調風險溝通相關事務。 執行風險溝通與諮詢,期達到以下目的: ● 提供組織風險管理結果並提供保證。 ● 蒐集風險資訊。 ● 分享風險評鑑的結果,並提出風險處理計畫。 ● 避免或降低因決策者與利害關係人間因缺乏互相了解,而導致資安漏洞之發生與後果。 ● 支援決策者所作決策。 ● 取得新的資安知識。 ● 與其他機關協調並規劃應變機制,以降低任何事件所造成之後果。 ● 賦予決策者及利害關係人對於風險之責任感。 ● 強化對於風險之認知。 風險管理初期階段,應發展溝通與諮詢方法,以利風險管理過程中,向機關外部與內部 利害關係人溝通與諮詢 ※有考 "風險溝通是決策者與其他利害關係人,藉由交換或分享風險資訊,於如何管理風險上,達成協議的活動,其所獲得資訊包含(但不限於)風險之存在、本質、形式、發生可能性、衝擊嚴重程度、處理方法及風險可接受程度等" ※有考 應納編各部門成員與各領域專家,組成完整溝通與諮詢團隊,並提供以下協助 -協助建立適當全景 -確認利害關係人所關切之議題,已經被了解並納入考量 -協助確認風險已經被充分識別 -偕同不同領域專家,進行風險分析 -協助從不同觀點定義風險條件與評估 -提供保證並支持處理計畫 -於風險管理過程,強化適當變更管理 -發展適當的外部與內部溝通與諮詢計畫 執行目的 團隊溝通的目的,為了讓負責實施風險管理人員 -了解決策基礎 -了解為何需要執行特定的風險管理活動 溝通風險議題時,由風險管理相關人員與決策者,對假設、觀念、需求及關切議題等差異,對風險的認知不同,因而對風險可接受性判斷,也會有差異,所以如何確保風險管理相關人員,對風險有一致認知,是特別重要的 應發展正常運作與緊急情況下,風險溝通與諮詢計畫,成立作業小組與機關內部公關部門或發言人合作,已協調有關風險溝通事務 執行風險溝通與諮詢,期望達到下列目的 -為組織風險管理結果提供保證 -蒐集風險資訊 -分享風險評鑑結果,並提出風險處理計畫 -避免或降低決策者與利害關係人間,因缺乏相互了解,而導致資安漏洞發生與後果 -支援決策者做決策 -取得新的資安知識 -與其他機關協調並規劃應變機制,降低任何事件造成之後果 -賦予決策者及利害關係人,對於風險之責任感 -強化風險認知 第 4 單元 建立風險全景(K4、K5、S1) K4 了解風險管理範圍界定方式 K5 了解風險管理基本準則規劃與定義 S1 具備依不同業務特性而建立資安風險評鑑各項準則能力 **建立全景階段** 政府機關應依資通安全管理法及其施行細則要求,訂定資通安全維護計畫,每年度應盤點資訊及資通系統資產,並製作「資訊及資通系統資產清冊」,據以執行風險評鑑,同時規劃與定義「風險評估準則」、「衝擊準則」及「風險接受準則」等風險管理基本準則。 ※有考 "另外,實作風險評鑑之前,政府機關也應先將**風險評鑑範圍**界定出來,並**清查盤點該範圍內所有相關資通系統**,同時整合這些資通系統與資訊及資通系統資產可能涉及的跨部門業務成員,共同組成資通系統風險評鑑組織,將有助於執行與落實風險評鑑的成效。" ● 範圍、全景及準則 – 界定風險管理活動的目的與範圍。 – 界定組織的外部與內部環境。 – 界定可接受風險與類型的風險準則。 – 界定評估風險重要性與支持決策的準則。 風險管理過程的高階觀點係遵循ISO 31000之規定首先建立全景,然後進行風險評鑑。若能提供充分資訊以有效修正風險至可接受等級所需之措施,則評鑑工作完成後即展開風險處理。**若資訊不充分,則需再進行一次修訂全景**(如風險評估準則、風險接受準則或衝擊準則)之風險評鑑循環,此循環可能僅及於整體範圍之有限部分,風險決策點1。 風險處理之有效性係依**風險評鑑結果**而定,可能無法立即將剩餘風險降至可接受等級,若有需要可變更全景參數(如風險評鑑、風險接受或衝擊準則),進行另一次風險評鑑循環,再執行更進一步之風險處理,風險決策點2。 P.1-59頁 建立全景階段,需要識別機關內、外部方面的安全需求,請問內部環境包含什麼: a.機關治理 V b.組織架構 V c.政策目標 V d.競爭環境 P.1-61 風險管理做法 可依據風險管理範圍與目標,採用不同作法,例如:高階風險評鑑作法或詳細風險評鑑作法 在每一循環中,作法可能不同,故在不同階段,選擇或發展適切風險管理作法 建議 Step1.先進行高階風險分析 依據資通安全責任等級分級辦法附表九所定資通系統逢護需求等級分級原則完成資通系統分級,以省時省力方式,進行高階風險分析 依據資通安全責任等級分級辦法附表十所定資通系統防護基準執行控制措施,進行風險處理作業 Step2.將高安全等級系統,執行詳細風險評鑑 資通系統經分級結果,屬高安全等級者,可在時間與資源允許情況下,或資安事件發生後,進一步進行詳細風險評鑑作法,以尋求更適當的風險處理方案 P.1-62頁 何者是用來決定**風險處理的先後順序** 答案是:**風險評估準則** 請特別留意, 這題會一個選項是”風險接受準則” , 這個選項是錯的 P.1-63 衝擊準則 分三塊 機密性、完整性、可用性 等級分三級 普、中、高 鑑別資訊及資通系統資產價值時,可用事件發生時,破壞機密性、完整性及可用性CIA所造成之後果來鑑別 P.1-64頁 請留意這裡會有一個考點, 就是考風險值的算法和嚴重程度。例如: 每機關的全資資訊網,其資產價值為3,威脅發生的可能性是2,弱點利用的難易度是3,請問風險值的高低分別是多少 選項可能是 18、 高級風險; 18、中級風險 答案就是 18、高級風險 (他會特別用一個中級風險來釣你) P.1-66頁小心, 概論這裡講的更清楚, 如果可以的話, 你要看一下概論的內容 重點在 有三種情形, 是可以接受的風險 二種情形, 是一定不可以接受的風險 -> 人身安全和違反法律 P.1-67頁就傳說中的情境題 P.1-69 風險的邊界 這裡會考 定義風險管理範疇與邊界,應考量下列項目 看清楚, 沒有機關內的資源分配 P.1-71 風險評鑑組織 ※有考 -掌管規範與審查->風險審查與推動小組 -審核風險評鑑的結果,與風險處理計畫 -審核資通安全相關文件,例如資通安全維護計畫實施情形、資通安全手冊、程序及指引 -設小組執行秘書乙名 -審查風險評鑑內容,包括風險處理計畫的風險評鑑報告 -審查因風險評鑑結果而需要修改的資通安全相關文件 -根據風險評鑑報告,鑑別需要採取的安控機制 ※有考 -掌管風險評鑑與處理->風險評鑑執行小組 -定期執行風險評鑑 -檢視機關同仁提列之資訊及資通系統資產項目及相關安控機制,並與各單位同仁討論或修改相關安控機制 -針對提列資訊及資通系統資產項目,鑑別價值與安全需求,並分析安控機制實施狀況 -盤點與鑑別各部門之資訊及資通系統資產價值 -鑑別潛在風險與提出需求 彙總機關內各單位同仁的風險評鑑結果 -撰寫風險評鑑報告 -與風險審查與推動小組執行秘書,討論風險評鑑報告,應修改撰寫內容 -陳報風險評鑑報告,給風險審查與推動小組召集人 -研議安控目標與機制,並進行安控機制建置 -與風險審查與推動小組執行秘書,討論並建議修復等級 -撰寫風險處理計畫 -陳報風險處理計畫,給風險審查與推動小組 -依據風險處理計畫,實施建議之安全控制措施 第 5 單元 風險評鑑(K6、S2) K6 了解風險評鑑實施做法 S2 具備執行風險評鑑能力 風險評鑑方法,依據**風險評鑑之過程**,區分為**風險識別**、**風險分析(含衝擊後果、發生可能性、風險等級)及風險評估等階段,標示所列風險評鑑方法之適用性。 **高階風險評鑑作業之優點**如下: ● 一開始採用較簡單之作法,容易獲得風險評鑑參與人員之接受。 ● 可做為良好之輔助規劃,以建構機關資安之策略藍圖。 ● 可將資源及預算運用於最有利之處。 惟**由於初始採用高階風險評鑑,潛在地存在評鑑結果較不精確,可能未識別某些營運過程或系統,可視需要針對高安全等級之資產,進行詳細風險評鑑作業**。 風險評鑑採「高階風險評鑑作法者」,其控制措施之選擇可參考「安全控制措施參考指引」所建議之安全控制措施,依據風險評鑑之等級,分為「普」、「中」、「高」3級,選擇適當之安全控制措施 **詳細風險評鑑對於資產進行深度之識別與鑑別作業**,並針對資產詳細列出其可能面臨之威脅與可能存在之脆弱性,以做為評鑑其風險與風險處理方法之依據,詳細之步驟需考慮時間、耗費程度及專家意見等。 **詳細風險評鑑作法**可以是**定量或定性**的方法,**或是二者之結合**。宜**根據資產之價值,或需被保護之特性,以評鑑威脅發生之可能性**。 ※有考 在初次對資訊及資通系統資產進行詳細風險評鑑時,可能因為資安控管措施執行較少或成效不彰,導致很重要的資訊及資通系統資產之脆弱性容易被威脅所利用 ※詳細風險評鑑用的發生可能性-威脅是**低、中、高** **資產價值** 依據資產之建置成本或置換成本加以估價,再轉換成對應的量測尺度。 資產之價值可經由與資料擁有者之訪談,依據不利之營運後果可合理預期發生之最壞情境加以估計。經訪談後設定置換成本,再轉換成量測尺度,細分為0~4之5等級區分,以表示資產之價值,另實務中對於資訊及資通系統資產之衡量,亦會採用評估「機密性C」、「完整性I」與「可用性A」之組合[CIA]加以衡量。 資產價值之[CIA]組合表示,分成以下2種模式: 資產價值[CIA]=C + I + A或 資產價值[CIA]=C x I x A (若採用相乘之方式,建議將上述之量測尺度修訂為1~5等級區分,以避免相乘之後,產生資產價值為0之情形。) 不論採用相加或相乘之計算模式,經轉換成量測尺度之後,所代表之意義均是排序後之結果,代表待因應風險的優先順序,至於要採用相加或相乘方法,可視機關之需求與量測尺度範圍而定,並無優劣之分。 **發生可能性─威脅** 將威脅發生之可能性,區分為低、中、高3級。 **脆弱性易被利用之程度** 再將威脅利用脆弱性之容易程度,區分為低、中、高3級。 經由以上方法識別風險之相關量測組合,尺度由0~8,填入於矩陣之內。 另考量事件情境發生之可能性,以排序風險處理之優先順序。 簡化成為整體風險等級,例如: ● 低風險:0~2。 ● 中風險:3~5。 ● 高風險:6~8。 決定風險等級=>計算風險值 計算風險值乃是將量化的資訊及資通系統資產價值、後果對組織衝擊的嚴重性及事件發生的可能性結合,計算每一個資訊及資通系統資產的風險值。 資訊及資通系統資產風險值之計算,包括資訊及資通系統資產價值及風險值之計算 資訊及資通系統資產價值=(機密性鑑價、完整性鑑價及可用性鑑價)取最大值。 資訊及資通系統資產風險值=(資訊及資通系統資產價值) × 威脅發生可能性 × 脆弱性利用難易度。 風險評估作業在於決定「風險可接受水準」,依據建立前景階段所訂之「風險接受準則」,檢視資訊及資通系統資產清單,訂定組織可承受的風險等級,此階段再依其所負責任務的類別與性質、服務對象、內部資源及經費預算等因素,修正風險接受準則。 P.1-77 高階風險評鑑作法 依資通安全責任等級分級辦法附表九的安全等級評估方法,以全球資訊網為範例 全球資訊網:官方網站,提供機關簡介與介紹政策措施,無提供線上申辦服務 資通安全等級,取其4大影響構面安全等級最高者 機密性 普 網站資訊皆為可公開的一般性資料 完整性 普 主要提供資訊公告 可用性 普 提供一般資料瀏覽 法律遵循姓 普 必須符合智慧財產權相關法令,並遵守兒童及少年福利與權益保障法及相關規定 P.1-79 詳細風險評鑑做法 藉由系統化方式,找出資通系統中,應該優先處理的資訊及資通系統資產與對應的風險,而施予適當的防護控制措施,以維持運作 詳細風險評鑑活動程序 風險識別 1.資產識別 2.威脅與脆弱性識別 3.現有控制措施識別 4.後果識別 風險分析 5.後果評鑑(含資訊及資通系統資產價值評鑑) 6.事件可能性評鑑 7.決定風險等級 風險評估 8.決定風險可接受等級 之後是 風險處理 風險監視與審查階段 註:風險評鑑分析,並不限於描述的範例 注意到 實際作業時有可能 後果識別 跟 後果評鑑 兩個同時進行 P.1-80 風險識別-資產識別 藉由資通系統提供的業務流程活動或以資料流程圖DFD,識別資訊及資通系統資產 資訊及資通系統資產的範圍 業務流程中,資源保管人需使用的資源與規範,執行關鍵活動中,產生的紀錄、最後輸出及度量標準等 依據業務流程,條列輸入與輸出,在思考代表的相關資產,找出可能的資訊及資通系統資產與相關規範 ※那張圖有考 業務流程輸出/入=> 資產=>規範 輸入、關鍵活動、資源、資源保管人、標準/規範、紀錄、產出、度量標準、變更 資訊輸入、資訊輸出、資訊紀錄、資源(人員、實體設備、軟體/工具、通訊服務、規範) 法令、條例、客戶、組織(政策、標準、程序) P.1-97 詳細風險評鑑做法 - 風險分析 - 後果評鑑 注意到 機密性、完整性、可用性=> 量化之數字 就是 資訊及資通系統資產價值(取最高值) 資訊及資通系統資產價值評定方式,有相加、相乘、取最大值,經轉換成測量尺度,代表機關資訊及資通系統資產價值的優先順序,對於整體風險管而言並無差異 P.1-98 Likelihood => Threat、Vulnerabilities 風險分析-事件可能性評鑑 -事件可能性由威脅發生可能性,與脆弱性被運用的難易度,組合而成 -給予威脅發生的可能性,與脆弱性被運用的難易度(普、中、高)各一個值,分別代表威脅等級與脆弱性等級 -評鑑事件可能性時,在現有控制措施識別完成後,考量現有控制措施下,仍會發生事件的可能性評鑑 說明有脆弱性被利用的難易度、威脅的動機或能力及發生可能性3個因素, 彼此的關係是OR取3者最高等級 P.1-106 風險分析-決定風險等級 計算風險值 Risk 風險值 = Value 資訊及資通系統資產價值 x Vulnerabilities 脆弱性利用難易度 x Threat 威脅發生可能性 Value 資訊及資通系統資產價值 (機密性鑑價、完整性鑑價、可用性鑑價->三者取最高值) P.1-107 資訊及資通系統資產價值、威脅發生可能性、脆弱性利用難易度 (三個值相乘後就是風險值) P.1-110 風險評估-風險可接受水準 -依負責任務的類別與性質、服務對象、內部資源及經費預算等因素,訂定風險接受準則 -例如業務服務的正確性與持續性最重要=>業務需求及目標,不允許任何便民服務停頓或中斷超過4小時,因此在完整性與可用性上要求高於機密性,且便民服務業務持續運作措施須於4小時內完成 ※資源分配狀況:配合業務達成便民服務的業務持續運作措施於4小時內目標分配資源 ※經費預算:配合業務達便民服務的業務持續運作措施 -將資訊及資通系統資產清單中,完整性與可用性遭破壞的資訊及資通系統資產風險評價較高,將會造成系統停頓或中斷4小時者,列為優先處理,以確保服務正確性與持續性 -風險值高於或等於完整性與可用性遭破壞,並導致系統服務停頓或中斷4小時的風險值之所有資訊及資通系統資產,被視為該機關不可承受的風險範圍,再依現有預算、資源及時間納入 考量決定風險接受準則 第 6 單元 風險處理(K7、S3) K7 了解風險處理重點與4種風險處理活動 S3 具備因應資安風險所採取策略適當能力 **風險處理階段** 風險處理活動應依風險評鑑結果及實作風險處理方案之預期成本及預期利益等,選擇適當之行動方案,以使風險之不利後果,合理的降低。 描述風險處理活動應依據風險評鑑之結果及實作風險處理方案之預期成本及預期利益等,以選擇適當之行動方案。一般而言,宜使風險之不利後果,合理的降低。風險處理活動之選項主要有4種,包含**風險修改(風險降低)**、**風險保留(風險接受)**、**風險避免**及**風險分擔**。 ● 風險修改(風險降低) 藉由施行、移除或改變安全控制措施,以修訂或降低風險等級,使殘餘之風險得被重新評定為可接受。 控制措施可提供以下之一種或多種形式保護,包含矯正、消弭、預防、衝擊最小化、制止、偵測、復原、監視及認知,於控制措施選擇期間,應權衡控制措施之獲取、實作、行政管理、運作、監視及維護之成本,與受保護之資產價值加以比較。 ● 風險保留 根據風險評估結果,確認無進一步行動,而保留風險之決策。換言之,若風險等級符合風險接受準則,則不需實作額外之控制措施,該風險將被保留,惟需基於正式之決策過程。 ● 風險避免 風險避免係藉由從已規劃或現有活動或一組活動中退出,或變更活動運作的情況,作出完全避免風險的決定。 ● 風險分擔 依據風險評估結果,將部分之風險分擔至能有效管理該特定風險之另一方。如資訊硬體損害之風險可利用保險方案加以分擔,於重大事件發生後,可經由理賠以降低損失之程度,包含人員與資產。 P.2-7 風險處理階段 風險處理活動,應依據風險評鑑結果、實作風險處理方案之預期成本及預期利益等,選擇適當行動方案 一般而言,宜使風險不利後果合理的降低 風險處理活動 風險評鑑結果-> 評鑑是否合意(風險決策點1)->風險處理 (風險處理選擇) 風險修改、風險保留、風險避免、風險分擔 ->殘餘風險->處理是否合意(風險決策點2) P.2-16 風險避免 避免可能造成特定風險增加的活動或情況 ※有考 範例1 酒後駕車,可能造成極大後果,導致人員傷亡或財產重大損失,宜加以避免 只要喝酒就不開車 請找指定駕駛 範例2 發電機放置地下室->颱風淹水->將發電機移置樓上 社交工程攻擊,除了演練作業外,強化認知訓練與宣導,才是防範社交工程攻擊, 或是進階持續性威脅攻擊,最經濟有效的控制措施 P.2-18 控制措施選擇範例 會議室可能遭受火災的威脅,可採取的控制措施有哪些 -預防:使用防火建材、入口張貼警語(嚴禁煙火)及建置消防系統FM200 -偵測:偵煙器或溫度感知器 -回應:火災警報器與自動灑水裝置 -復原:災後重建 控制措施選擇基本概念 -預防的控制措施,用於事發前的準備工作 -偵測與回應的控制措施,用於事發當時 -復原的控制措施,用於事後工作 P.2-19 預防-增加不斷電系統(UPS)、使用防毒軟體 偵測-監控主機執行狀況、火災偵測器 回應-火災警報器、簡訊通知伺服器異常 復原-業務持續運作-復原程序、重新安裝中毒之電腦 第 7 單元 風險監控與審查(K8、S4) K8 了解風險評鑑與控制措施的持續有效性作為 S4 具備可確認因應資安風險採取控制措施有效能力 政府機關必須因應法律規章與合約、資安政策異動、內外環境變化、資訊及資通系統資產調整、資安檢查結果及資安事件應變進行風險評鑑報告之審查與變更,同時說明「內部稽核」與「外部稽核」的作法,以確保風險評鑑與安控措施實施之有效性 依據「風險評鑑測試審查」管理程序,**定期檢視風險評鑑控制措施的合適性與足夠性**,以消除與資安管理要求「潛在不符合」之原因,並防止其發生。所採取之預防措施應與潛在問題之衝擊相對應,預防控制措施應以文件化程序記錄備查,並包含以下事項: ● 識別潛在的各項不符合事項及其原因。 ● 評估控制措施的需求,以防止不符合事項的發生。 ● 決定及實作所需之預防控制措施。 ● 記錄所採取控制措施之結果。 ● 審查所採取之預防控制措施。 異動與改變應至少包含「因應法規合約改變」、「因應資安政策改變」、「因應環境異動」、「因應資訊及資通系統資產異動」、「因應資安檢查結果」及「因應資安事件應變」 要點 – 提高過程設計、實施及結果的質量與有效性。 – 監視風險管理流程及其結果,監視與審查的責任須清楚界定。 – 計畫、收集及分析所得資訊、記錄其結果,並提供回饋。 – 將結果納入績效管理、衡量及報告活動。 並且 記錄與報告 – 在整個組織內溝通風險管理活動與結果。 – 為決策提供資訊。 – 改進風險管理活動。 – 提供風險資訊並與利害相關者進行互動。 稽核分為5個階段,依序為「準備」、「開始會議」、「稽核審查」、「結束會議」及「稽核報告」 矯正預防階段 應依據「內部稽核」與「外部稽核」結果,加以「持續改進」,並針對資通系統風險評鑑不符合或需要調整改進之處,採行必要之「矯正控制措施」與「預防控制措施」,以強化與落實資通系統風險評鑑之管理成效。 持續改進 藉由資安法令法規、資安政策、內部稽核結果、外部稽核結果、監視資安事件之分析、矯正與預防控制措施並經權責主管審查,以持續且改進「風險評鑑階段」之有效性。 矯正控制措施 為防止資安事件再次發生,應決定矯正控制措施,以消除與資安管理要求不符合之原因。 ● 識別各項不符合事項。 ● 判定各項不符合之原因。 ● 評估控制措施之需求,以確保各項不符合事項不復發。 ● 決定及實作所需之矯正控制措施。 ● 記錄所採取控制措施的結果。 ● 審查所採取之矯正控制措施。 預防控制措施 應依據「風險評鑑測試審查」管理程序,定期檢視風險評鑑控制措施的合適性與足夠性,以消除與資安管理要求「潛在不符合」之原因,並防止其發生。所採取之預防措施應與潛在問題之衝擊相對應,預防控制措施應以文件化程序記錄備查 ● 識別潛在的各項不符合事項及其原因。 ● 評估控制措施的需求,以防止不符合事項的發生。 ● 決定及實作所需之預防控制措施。 ● 記錄所採取控制措施之結果。 ● 審查所採取之預防控制措施。 P.2-24 風險因素監控與審查 因應法律、法令、規章及合約方面要求的改變 -當業務屬性對法律、法令、規章及合約方面異動時,將影響機關安全要求或安全責任 -此類意度調整與改變,可能影響風險造成衝擊接受程度 P.2-25 因應資安政策改變 -資安政策異動時,表示管理階層重新界定安全要求或安全責任 -此類調整的改變,可能影響風險對於全部資通系統造成的衝擊接受程度 P.2-26 因應環境異動 -當資通系統實體或網路環境異動時,將造成威脅與脆弱性變化,實體或網路環境異動後, 可能發現新的威脅與脆弱性 -即使實體或網路環境不變,但駭客攻擊手法與入侵技術提升,也可能產生新的威脅與脆弱性 即使實體或網路環境不變,但駭客攻擊手法與入侵技術提升,也可能產生新的威脅與脆弱性 這句是重點 只要是語氣轉折的地方, 職能就很愛~~~~~~ P.2-27 因應資訊與資通系統資產異動 -當資訊及資通系統資產異動時,將造成資訊及資通系統資產本身、相關威脅或脆弱性的調整變化 包含(新程序、新功能、軟體升級、硬體升級、外部群組跨機關或不具民群組的新使用者、 額外區域或廣域網路連接、 P.2-28 因應資安檢查結果 因應資統系統資安弱點變化、內部資安健診(例如:弱點掃描、源碼檢測、社交工程演練、 滲透測試或soc監控、上級或資安演練及技術相關檢查,如因檢查結果未符合資安需求與期待, 或考量發現新的弱點與漏洞衝擊,則應對檢查結果影響的資通系統重新檢視風險評鑑報告 P.2-29 因應資安事件的應變 如果發生資安事件,則應對事件影響的資通系統,檢查在建立全景、風險評鑑程序、 及執行風險評鑑等階段中,落實不夠、效度不足或需強化處,重新調整風險評鑑報告 並進行矯正預防控制措施方案 P.2-33 內部稽核的準備階段 -蒐集前次內部稽核紀錄、已實施的安控機制清單及矯正與預防計畫 -稽核工作指派 -準備內部稽核查核表排定稽核日程、安排時程及通知受稽核單位,安排各受檢項目之受檢人員 ※建議由政風及資訊單位偕同合作共同辦理 P.2-34 內部稽核啟始會議階段 -說明稽核目的與範圍 -確認稽核所需的資源與設施均已備齊 -確認結束會議與任何中間會議的日期和時間 P.2-35 內部稽核稽核審查階段 -稽核人員依指派的稽核項目,以內部稽核查核表實施稽核,並蒐集證據,將觀察事實依標準評估與記載 -稽核標準 -未滿足要求、滿足小部分要求或滿足大部分要求,表示稽核項目未完全被發展執行,列為不符合 -滿足所有要求,稽核項目完全被發展執行,資料完整,列為符合 -依安全控制措施實施參考指引要求 -查核表列為不符合時,稽核人員需依觀察事實,記錄在稽核紀錄表並請受稽核單位簽認 P.2-36 內部稽核結束會議與稽核報告階段 -結束會議提報主要觀察事實,與整個稽核結論 -受稽核單位主管提出評語、要求及期許 稽核報告 -各稽核項目之稽核紀錄表,須由稽核人員與受稽核單位主管簽認 -稽核紀錄表,經簽認後複印1份,由稽核單位提出改善措施 -稽核項目缺點改善完成後,由稽核單位通知稽核人員,執行矯正行動追蹤確認 -稽核資料,應由稽核單位與受稽單位妥為保管 -透過資安稽核作業檢核狀況,進行持續改善 ※稽核報告宜呈資安長審閱並於管理審查會議提報 P.2-38 矯正措施執行程序 識別各項不符合事項=>判定各項不符合原因=>評估措施需求,確保各項不符合事項不復發=> 決定與實作矯正控制措施=>記錄採取的控制措施結果=>審查採取的矯正控制措施 P.2-39 ※有考 廠商修改程式,以光碟交付3個檔案,經放到正式機後,同事通報無法使用 分析原因:其中1個檔案為舊設定檔,不慎覆蓋正式機上的設定檔 矯正措施 -取得備份設定檔,覆蓋正式機上的設定檔 -將正式機上的設定檔,設為唯讀 P.2-40 ※有考 內部稽核發現,A系統仍有離職帳號 原因分析:管理者無法得知同仁離職 矯正措施 -請人事部門在人員離職時,必須通知系統管理者 -請人事部門將現職人員名單傳給系統管理者,由系統管理者核對已離職者, 立即刪除A系統的離職人員帳號 P.2-41 ※有考 內部稽核發現,A系統仍有離職帳號 原因分析:系統管理者忙碌,忘記刪除離職人員帳號 矯正措施 -將人事部門提供之離職人員名單,自動轉入資訊服務申請系統,未完成刪除作業時,無法結案 -定期(每半年)執行A系統的帳號權限審查作業 P.2-42 預防措施執行程序 識別潛在的不符合事項與原因=>評估控制措施的需求,防止不符合事項發生=>決定與實作預防控制措施 =>記錄採取控制措施的結果=>審查採取的預防控制措施 P.2-43 ※有考 廠商修改程式,以光碟交付3個檔案,經放到正式機後,同事通報無法使用 分析原因:其中1個檔案為舊設定檔,不慎覆蓋正式機上的設定檔 -預防措施 檢視其他正式機的設定檔,全面設定為唯讀,避免被不慎覆蓋 P.2-44 ※有考 內部稽核發現,A系統仍有離職帳號 原因分析:管理者無法得知同仁離職 -預防措施 -審查單位內其他系統管理者,是否均可在離職流程內,被告知有同事離職或轉調部門, 以順利刪除離職或轉調權限 -於相關規範制定每半年對所有系統,執行帳號與權限審查 P.2-45 ※有考 內部稽核發現,A系統仍有離職帳號 原因分析:系統管理者忙碌,忘記刪除離職人員帳號 -有可能無預防措施 -若從此事件,察覺A系統其他潛在可能因人為忘記,造成風險產生的其他情況,加以避免, 可視為預防措施 P.2-47 經風險評鑑結果,發現同仁對電子郵件社交工程的警覺性不足,因此決定採行教育訓練, 對同仁宣導社交工程,可能造成的問題與如何防範 請問 如何證明教育訓練,可有效提升同仁社交工程郵件的警覺性 P.2-48 教育訓練=>半年內執行2次社交工程測試演練,同仁開啟率低於10%,點閱率須低於5%=> 每次對每位同仁寄5封社交工程郵件,利用工具統計同仁開啟與點閱結果=> 實際結果開啟率8.5%與8%,點閱率4%與3.5%=>2次均符合預期目標=>實施教育訓練有效 第 8 單元 風險評鑑案例分析與實作(K1-K8、S1-S4) 多數資安事件,都是由資通系統在「開發建置」或「維護」過程中,未評估其可能產生的風險,導致多個潛在風險存在於資通系統內=>有關資通系統開發過程之資訊安全相關要求,可參閱CNS 27001 A.14系統獲取、開發及維護 =========================== 資通安全責任等級辦法 公務機關及特定非公務機關(以下簡稱各機關)之資通安全責任等級,由高至低,分為 A 級、B 級、C 級、D 級及 E 級。 主管機關應每二年核定自身資通安全責任等級。 行政院直屬機關應每二年提交自身、所屬或監督之公務機關及所管之特定非公務機關之資通安全責任等級,報主管機關核定。 ※附表一 資通安全責任等級**A級之公務機關**應辦事項 ※附表二 資通安全責任等級**A級之特定非公務機關**應辦事項 制度面向:管理面、技術面、認知與訓練 管理面辦理項目:資通系統分級及防護基準、資訊安全管理系統之導入及通過公正第三方之驗證、資通安全專責人員、內部資通安全稽核、業務持續運作演練、資安治理成熟度評估 技術面辦理項目:安全性檢測、資通安全健診、資通安全威脅偵測管理機制、政府組態基準、端點偵測及應變機制、資通安全防護 認知與訓練辦理項目:資通安全教育訓練、資通安全專業證照及職能訓練證書 ※附表九 資通系統防護需求分級原則 防護需求等級區分為:高、中、普 構面:機密性、完整性、可用性、法律遵循性 ※附表十 資通系統防護基準 防護需求等級 區分為 高、中、普 控制措施(大項):存取控制、事件日誌與可歸責性、營運持續計畫、識別與鑑別、系統與服務獲得、系統與通訊保護、系統與資訊完整性 措施內容(小項):帳號管理、最小權限、遠端存取、記錄事件、日誌紀錄內容、日誌儲存容量、日誌處理失效之回應、時戳及校時、日誌資訊之保護、系統備份、系統備援、內部使用者之識別與鑑別、身分驗證管理、鑑別資訊回饋、加密模組鑑別、非內部使用者之識別與鑑別、系統發展生命週期需求階段、系統發展生命週期設計階段、系統發展生命週期開發階段、系統發展生命週期測試階段、系統發展生命週期部署與維運階段、系統發展生命週期委外階段、獲得程序、系統文件、傳輸之機密性與完整性、資料儲存之安全、漏洞修復、資通系統監控、軟體及資訊完整性 練習題 -------------- 下列哪些項目需要標註於「資訊及資通系統資產表」中 => a.項次、b.部門、c.保管人、d.資產名稱、e.資產類別 f.數量、j.備註 透過監控主機的系統狀態產生問題時,可以自動的將系統問題透過即時的訊息傳遞管道,將訊息發佈出來」的控制措施? => 回應 「共通性系統」是指單一機關主責系統開發與規格制訂,其餘機關除使用操作外,資料主要儲存於使用機關,下列何者屬於「共通性系統」 => 公文電子交換系統 A電信台中、東山等4個加盟服務中心區域聯網「超可愛討論區」獎金區,把客戶姓名、電話號碼及費率等資料全都露,輸入電話號碼可查詢一年來洽辦門號的客戶資料,可能造成未經授權之資訊揭露,對電信公司之信譽將產生嚴重之影響。 為防止此種狀況再次發生,A 電信應該將該系統機密性的安全等級設定為哪一個等級? => 中 風險評鑑是為了要有效控制風險,而針對特定風險選擇安全控制措施,必須先了解風險形成的原因,下列哪些是必要的考量 A)威脅來源 B)資產的脆弱程度 C)風險發生的機率 關於**風險管理步驟**(1)全景建立(2)風險處理(3)風險識別(4)監控風險處理(5)風險評估,由先至後,下列排序何者正確? =>(1)全景建立->(3)風險識別->(5)風險評估->(2)風險處理->(4)監控風險處理 關於資產威脅實施風險處理流程,下列哪些為風險分擔(Risk Sharing)的方法?※複選 =>將風險分擔給委外的廠商、將此威脅造成的風險,向保險公司買保險 風險外包的風險處理實質上是什麼? =>部分控制與部分承擔 資通系統異動時,應重新評估下列哪些項目?(複選) =>威脅與脆弱性、資產清單、控制措施配置 系統異動後,若未更新風險評鑑報告,可能造成的後果為? =>風險未被納入監控 若某筆記型電腦具有「易於攜帶」的特性,則應如何正確將此特性納入風險評鑑過程? =>視為脆弱性並結合威脅進行評估 跨機關群組或不具名群組的新使用者,會啟動何種風險因素監控與審查? =>資訊與資通系統資產異動 稽核「啟始會議」應執行哪些事項?(複選) =>說明稽核目的與範圍、確認資源與設施到位、安排會議時程 風險評鑑組織中,宜包含哪些成員?(複選) =>各部門業務人員、人事與會計人員、行政與資安人員 下列哪些情況應啟動風險再評鑑?(複選) =>系統新增模組功能、人事異動導致管理人變更、環境中斷電頻率上升 在進行風險處理過程中,何種活動應進行控制措施之評估 =>風險修改 某一資訊系統因含有區域性或地區性之個人資料,一旦遭受未經授權的資訊揭露,在機關信譽上將造成可預期的嚴重負面影響,請問該系統的風險等級為? =>中 下列何者屬於「資安問題成因中的人員面」?(複選) =>認知不足、長官不支持、聯繫溝通不佳 定義風險管理範疇與邊界,應考量下列項目: (複選) =>整體風險管理作法、機關資訊及資通系統資產、利害關係人期望 風險管理過程,包含下列哪些活動?(複選) =>溝通與諮詢、建立全景、風險監視與審查 下列那一個標準是風險管理-指導綱要 =>CNS 31000 下列何者是與風險管理運作有關的風險管理原則? =>風險管理的各個面向都會受到人文因素影響 「高階風險評鑑」的特點是: =>用於第一、二年風險評估期 **預防措施執行步驟**包括:(1) 審查採取的預防控制措施 (2) 記錄採取控制措施的結果 (3) 決定實作與預防控制措施 (4) 識別潛在不符合事項與原因 (5) 評估控制措施的需求,防止不符合事項發生 =>(4)識別潛在不符合事項與原因->(5)評估控制措施的需求-> (3)決定實作與預防控制措施->(2)記錄採取控制措施的結果-> (1)審查採取的預防控制措施 下列那一個標準是風險管理-風險評鑑技術 =>CNS 31010 在資安風險管理過程中,關於**風險識別**(Risk Identification)應包括底下**哪些工作項目**?※複選 =>識別威脅(Threat)、識別脆弱點(Vulnerability)、識別資產(Asset) 關於**高階風險評鑑**,下列描述正確者?(複選) =>適用於預算有限單位、可輔助資源與預算規劃 下列何者的處理方式無法降低風險? =>風險保留(Risk retention) 下列何種是殘餘風險(複選) =>風險等級符合風險接受準則時,被保留的風險、經過風險修改後剩下來的風險、沒有評估到的風險 風險評鑑過程中包含哪些活動?※複選 =>風險鑑別、風險分析、風險評估 下列何者可以列考慮接受的原因: =>因科技的限制,尚無有效處理風險的方法 下列哪一個控制點最能體現風險管理中「動態性原則」的精神? =>遇重大事件立即調整風險控制與框架 「風險值」的計算方式通常是? =>後果 × 事件發生可能性 × 脆弱性被利用程度 下列哪些現象可能代表預防措施執行成效良好?(複選) =>相同事件未再重複、事件發生頻率下降、使用者操作錯誤率下降 以下哪一項是預防性措施的評估指標? =>不符合事項發生頻率是否下降 資訊系統若新增網路模組,最適當的因應作法為? =>啟動風險再評鑑 以下何者屬於風險避免的策略? =>停止該活動或業務流程 建立全景階段,需要識別機關內、外部方面的安全需求,請問內部環境包含什麼: (複選) =>機關治理、組織架構、政策目標 以下哪些屬於內部稽核「準備階段」的作業?(複選) =>蒐集前次稽核紀錄、通知受稽單位、安排受檢人員 下列關於風險修改的說明何者錯誤? =>可將風險值降至0 詳細風險評鑑中,「事件可能性」是如何被評估的? =>威脅發生可能性 × 脆弱性被利用的難易程度 關於風險評鑑與風險處理,下列敘述何者正確 ? =>經過風險評鑑,低風險或處理成本過高的風險項目,可能會被組織選擇接受 如果現有資訊系統,其業務服務正確性與持續性最重要,不允許任何"便民服務"停頓或中斷超過4小時,其定訂風險可接受水準時,應採用何種準則 =>優先處理風險值高於或等於完整性或與可用性遭破壞,並導玫系統服務停頓超過4小時的風險 成資訊安全風險(Risk)的因素中,哪些是增加風險的因素? =>威脅、弱點、資產價值 關於「建立全景」的階段,下列哪一項敘述正確? =>包含風險範圍與角色責任界定 企業為了減少新興市場獨資的風險,選擇與其他企業合伙投資,這是何種風險處理的方式? =>風險分擔 **詳細風險評鑑包括8個步驟**, (1) 資產識別 (2) 後果識別 (3) 威脅與脆弱性識別 (4) 現有控制控施識別 (5) 後果評鑑 (6) 決定風險可接受等級 (7) 事件可能性評鑑 (8) 決定風險等級,請問正確的排序是? (1)資產識別-> (3)威脅與脆弱性識別-> (4)現有控制控施識別-> (2)後果識別-> (5)後果評鑑-> (7)事件可能性評鑑-> (8)決定風險等級-> (6)決定風險可接受等級 詳細風險評鑑包括8個步驟 資產識別=>威脅與脆弱性識別=>現有控制措施識別=>後果識別=>後果評鑑=>事件可能性評鑑=>決定風險等級=>決定風險可接受等級 **社交工程宣導訓練,控制措施的實施與檢核步驟** (A) 教育訓練 (B)執行社交工程測試演練 (C) 設定量測指標 (D) 比較實際值和目標值,以下排列何者正確 =>A、C、B、D 教育訓練->設定量測指標->執行社交工程測試演練->比較實際值和目標值 關於風險辨識(Risk Identification),下列敘述何者正確? =>是發掘可能發生風險之事件及其發生之原因和方式 風險管理過程的第一步驟是? =>溝通與諮詢 關於風險溝通的目的,下列哪些正確?(複選) =>避免資安漏洞發生、支援決策者判斷、強化風險認知 詳細風險評鑑的最大特點是? =>評估較精確但資源需求較高 駭客攻擊手法與入侵技術提升,會啟動何種風險因素監控與審查? =>環境異動 風險管理流程的決策點是在那個流程以後 (複選) =>風險評鑑、風險處理 在選擇風險修改(降低)控制措施時,應考慮哪些要素?(複選) =>控制措施實施成本、資產的價值、威脅與脆弱性的組合 風險評鑑包含三個步驟 (1) 風險分析 (2) 風險識別 (3) 風險評估,請問三步驟的正確順序是? =>(2)風險識別 ->(1)風險分析 ->(3)風險評估 何者是用來決定風險處理的先後順序 =>風險評估準則 某機關之全球資訊網,其資產價值為3, 威脅發生的可能性是2, 弱點利用的難易度是3,請問風險值的高低為? =>18、 高級風險 3X3X2 風險的影響程度或損害程度由何因素來定義(複選) =>可能性、衝擊 風險審查與推動小組應執行哪項工作 =>審核風險評鑑結果與風險處理計劃 何者是用來決定風險處理的範圍 =>風險接受準則 風險修改的主要目的是什麼? 1.將風險責任轉移給他人 2.降低風險等級至可接受水準 V 3.將風險完全消除 4.以保險補償風險後軌 關於風險管理步驟(1)全景建立(2)風險處理(3)風險識別(4)監控風險處理(5)風險評估 ,由先至後,下列排序何者正確? 1.(1)(3)(5)(2)(4) V 2.(1)(5)(3)(2)(4) 3.(3)(5)(2)(1)(4) 4.(1)(2)(3)(4)(5) =>(1)全景建立->(3)風險識別->(5)風險評估->(2)風險處理->(4)監控風險處理 關於資產威脅實施風險處理流程,下列哪些為風險分攤(Risk Sharing)的方法?(複選) 1.將此威脅造成的風險,向保險公司買保險 V 2.藉由針對該威脅增加控制流程,而將該風險影響降低 3.將風險分攤給委外的廠商 V 4.藉由加強控制風險的措施,而將該風險威脅發生率降低 關於風險評鑑(Risk Assessment),下列敘述何者較"不"正確 1.目的是將可接受的風險與主要風險分開,並移除殘餘風險 V 2.目的是決定可接受風險的程度 3.是將預估風險和已知風險準則劑型比較的過程 4.是一種風險管理的機制 風險外包的風險處理實質上是什麼 1.部分控制與部分承擔 V 2.消除風險根源 3.完整移轉風險 4.完全避免風險 資通系統異動時,應重新評估下列哪些項目(複選) 1.控制措施配置 V 2.系統介面語系 3.資產清單 V 4.威脅與脆弱性 V 系統異動後,若未更新風險評鑑報告,可能造成的後果為? 1.風險未被納入監控 V 2.資料備份頻率過高 3.訓練成效提升 4.控制措施過度投入 某筆記型電腦具有「易於攜帶」的特性,則應如何正確將此特性納入風險評鑑過程? 1.視為脆弱性並結合威脅進行評估 V 2.視為可用性影響因素 3.視為資產價值指標 4.視為威脅因素 跨機關群組或不具名群組的新使用者,會啟動何種風險因素監控與審查? 1.環境異動 2.資訊與資通系統資產異動 V 3.資安檢查結果 4.資安事件應變 下列對於剩餘風險的詳述,何者錯誤? 1.在評估中被忽略沒有評估到的風險,非屬剩餘風險 V 2.可接受的風險也是一種剩餘風險 3.必須定期監控與考量實質BCM 4.風險降低後剩下來的風險為剩餘風險 關於風險分析,下列敘述何者較"不"正確? 1.風險分析的目的是找出風險發生的可能性 2.風險分析可分析事件發生的影響性 3.風險分析會影響風險準則的訂定 V 4.風險分析用於評估風險等級 下列哪一項不是控制措施可選擇的類型? 1.預防 2.保留 V 3.偵測 4.復原 稽核「啟始會議」應執行那些事項?(複選) 1.確認資源與設施到位 V 2.宣布不符合項目 3.說明稽核目的與範圍 V 4.安排會議時程 V 社交工程宣導訓練,控制措施的實施與檢核步驟A.教育訓練 B.執行社交工程測試演練 C.設定量測指標 D.比較實際值和目標值,以下排列何者正確? 1.A、B、C、D 2.C、B、D、A 3.A、C、B、D V 4.B、C、D、A =>教育訓練->設定量測指標->執行社交工程測試演練->比較實際值和目標值 風險評鑑組織中,宜包含哪些成員?(複選) 1.人事與會計人員 V 2.外包廠商負責人 3.行政與資安人員 V 4.各部門業務人員 V 下列哪些情況應啟動風險再評鑑?(複選) 1.系統新增模組功能 V 2.人事異動導致管理人變更 V 3.環境中斷電頻率上升 V 4.使用者操作錯誤次數下降 針對機房範圍購買火災險,係屬於下列何種風險處理控制措施? A)接受風險 B)轉移風險 V C)迴避風險 D)控制風險 在進行風險處理過程中,何種活動應進行控制措施之評估? 1.風險避免 2.風險保留 3.風險修改 V 4.風險分擔 某一資訊系統因含有區域性或地區性之個人資料,一旦遭受未經授權的資訊揭露,在機關信譽上將造成可預期的嚴重負面影響,請問該系統的風險等級為? 1.中 V 2.高 3.低 4.普 定義風險管理範疇與邊界,應考量下列項目?(複選) 1.機關資訊及資通系統資產 V 2.利害關係人期望 V 3.整體風險管理作法 V 4.機關內部的資源分配 下列何者"不"是風險處理的選項? 1.風險忽略 V 2.風險接受 3.風險降低 4.風險移轉 風險管理過程,包含下列哪些活動? (複選) 1.資安政策制定 2.溝通與諮詢 V 3.風險監視與審查 V 4.建立全景 V 詳細風險評鑑包刮8個步驟(1)資產識別(2)後果識別(3)威脅與脆弱性識別(4)現有控制措施識別(5)後果評鑑(6)決定風險可以接受等級(7)事件可能性評鑑(8)決定風險等級,請問正確排序是? 1.(1)(3)(4)(2)(5)(7)(8)(6) V 2.(1)(4)(3)(2)(5)(7)(8)(6) 3.(1)(4)(3)(5)(2)(7)(8)(6) 4.(1)(3)(4)(5)(2)(7)(8)(6) =>資產識別->威脅與脆弱性識別->現有控制措施識別->後果識別->後果評鑑->事件可能性評鑑->決定風險等級->決定風險可以接受等級 風險分析方法大致可區分成定量(Quantitative)與定性(Qualitative) 兩種風險分析方法。 請問下列敘述何者正確? A)定性風險分析方法是指,以計量方式並使用實際的數據來描述影響 B)定量風險分析方法是指,使用文字的形式或是敘述性的分類等級來描 述可能影響的程度,以及影響發生的機率 C)“人員的死亡、重傷及輕傷會分別對組織產生非常嚴重、嚴重及輕微 的衝擊”,此為定性風險分析的陳述 V D)定性與定量這兩種方法不可同時使用 下列哪一個標準是風險管理-指導綱要 1.CNS 22301 2.CNS 27005 3.CNS 31000 V 4.CNS 31010 高階風險評鑑的特點是? 1.分析的非常細緻 2.適合法遵要求高的單位 3.適合人力資源充足的單位 4.用於第一、第二年風險評估期 V 下列何者屬於 資安問題成因中的人員面 ? (複選) 1.長官不支持 V 2.patch 沒有標準 3.聯繫溝通不佳 V 4.認知不足 V 關於風險辨識Risk Identification,下列敘述何者正確? 1.是理解風險本質並且決定風險等級的流程 2.是比較風險分析結果與風險準則來決定風險或嚴重程度是否為可接受的流程 3.是組織進行風險評鑑、分析與評估的整體流程 4.是發掘可能發生風險之事件及其發生之原因和方式 V 下列何者是與風險管理運作有關的風險管理原則? 1.風險管理的各個面向都會受到人文因素影響 V 2.框架與過程該客製化且互相對應 3.採用結構與全面的方法 4.風險管理是組織所有活動的一部分 資訊安全風險管理流程中,「建立全景」的目的為下列何者? A)瞭解組織及其全景、瞭解關注方之需要及期望、決定資訊安全管理系統之範圍及資訊安全管理系統 V B)盤點資訊資產清單 C)分析資訊資產的風險 D)建立安全管理整體計畫 有關於資安風險管理,下列敘述何者不正確? A)風險評鑑必須定期重覆進行 B)資安風險管理必須包括智慧財產權的控制措施 C)風險管理有助於決定資安管理優先順序,以降低至零資安風險 V D)施行控制措施的花費與安全失效後的營運損失需相稱 預防措施執行步驟包括:(1)審查採取的預防控制措施(2)記錄採取控制措施的結果(3)決定實作與預防控制措施(4)識別潛在不符合事項與原因(5)評估控制措施的要求,防止不符合事項發生 1.(4)(5)(2)(3)(1) 2.(4)(5)(3)(2)(1) V 3.(4)(5)(1)(3)(2) 4.(4)(5)(1)(2)(3) =>識別潛在不符合事項與原因->評估控制措施的要求->決定實作與預防控制措施->記錄採取控制措施的結果->審查採取的預防控制措施 風險管理過程的第一步驟是? 1.風險評鑑 2.設定控制措施 3.溝通與諮詢 V 4.建立全景 資訊安全風險等級評估的主要目的是在於? A)決定資訊資產的權責單位 B)決定資訊資產的損失可能性 C)訂定風險等級及決定可接受風險等級 V D)訂定數位證據的證據搜集原則 下列哪一個標準是風險管理-風險評鑑技術? 1.CNS 22301 2.CNS 31000 3.CNS 31010 V 4.CNS 27005 下列何者可以考慮風險接受的原因? 1.資產損失高於風險處理的成本 2.對人員生命相關的衝擊所產生的風險只有不到1/10的機率 3.因科技的限制,尚無有效處理風險的方法 V 4.與現行法律規範稍有牴觸 下列哪些為「風險處理的作法」?(複選) A)接受風險 V B)轉移風險 V C)迴避風險 V D)放任風險 有關於風險管理控制措施,下列敘述何者不正確? A)技術脆弱性管理是資安之共同實務控制措施 B)控制措施可視為建置資安管理的良好起點 C)控制措施的選擇是基於組織對風險接受的準則 D)控制措施的選擇是基於成本考量 V 下列何者不是造成資安問題的技術面原因? 1.作業系統漏洞未更新 2.腳色權責不清 V 3.Bug未修補 4.缺乏標準化patch作業 在風險管理過程中,關於風險識別Risk identification應包括底下哪些工作項目?(複選) 1.識別風險等級Risk Level 2.識別風險脆弱點 Vulnerability V 3.識別威脅 Threat V 4.識別資產 Asset V 關於風險溝通的目的,下列哪些正確? (複選) 1.避免資安漏洞發生 V 2.確保組織文化整合 3.支持決策者的推斷 V 4.強化風險認知 V 關於高階風險評鑑,下列描述何者正確?(複選) 1.僅適用於企業,政府不可用 2.適用於預算有限單位 V 3.可輔助資源與預算規劃 V 4.評估精準度高 關於資訊資產的價值、弱點及威脅的對應關係,下列何者為正確的敘述? A)威脅與弱點的增加與資訊安全風險的增加是兩回事 B)資訊資產具有價值,並會受到資本市場波動的潛在影響 C)組織通過實施安全控制防範威脅,以降低資安的投入人力 D)威脅利用弱點對資訊資產造成影響 V 有些風險因為過低但實施的成本過高,組織在評估後,選擇進行監控而未實 施相對應的控制,這種風險稱之為何? A)先天風險 B)剩餘風險 V C)機會風險 D)成本風險 下列何者的處理方式無法降低風險? 1.風險修改 Risk modification 2.風險分擔 Risk sharing 3.風險避免 Risk avoidance 4.風險保留 Risk retention V 詳細風險評鑑的最大特點是? 1.僅適用定量的方法 2.不用清查資產 3.評估較精確但資源需求較高 V 4.適用於所有資通系統 關於風險評鑑管理程序,下列敘述何者較 "不"正確? 1.建立全景係界定風險評鑑範圍 2.風險處理若符合風險處理準則,則進入風險接受階段 3.風險評鑑若不符合風險評鑑準則,則進入風險溝通階段 V 4.詳細風險評鑑包括風險識別、風險分析與風險評估 下列何者是殘餘風險?(複選) A)風險等級符合風險接受準則時,被保留的風險 V B)沒有評估到的風險 V C)經過風險修改後剩下來的風險 V D)已避免掉的風險 經風險評鑑及內部稽核後,發現組織未針對單位內人事調整訂定權 限調整之流程檢核機制,致使調任人員擁有過當之權限,導致人員 因操作錯誤將原本不應取得資料取走,故組織增加了組內人員異動 時權限檢核機制,是以哪個量測方式可量測此控制措施的有效性最佳? A)帳號清查正確率 V B)異動時權限檢核的執行率 C)資料外洩異常事故發生率 D)資料存取覆核的執行率 關於風險降低Risk Reduction下列敘述何者"不"正確? A)其方式包括處理偶發事故的計畫 B)其方法包括契約的簽訂、保險和機關的結構,如合夥和共同投資 V C)其方式包括日常稽核遵守控制程度 D)其方式包括找出相較於現有的控制方法,新的控制方法所可能帶來的相對利益 下列哪些為「風險處理的作法」?(複選) A)接受風險 V B)轉移風險 V C)迴避風險 V D)放任風險 以下哪一項是預防性措施的評估指標? 1.記憶體使用率分析 2.發生後修復速度 3.不符合事項發生頻率是否下降 V 4.使用者滿意度調查 風險評鑑過程中包含哪些活動?(複選) 1.風險鑑別 V 2.風險處理 3.風險分析 V 4.風險評估 V 下列哪一個控制點最能體現風險管理中動態性原則的精神? 1.遇重大事件立即調整風險控制與框架 V 2.每三年修訂風險處理手冊 3.風險溝通僅由發言人統一窗口負責 4.每年固定盤點資產清單 下列何者 不 是選擇風險處理對策時的主要考量因素? 1.利害相關者的感知 2.實施成本 3.短期內可達成 V 4.法令法規 下列何者為風險評鑑(Risk Assessment)的定義? A)把預估的風險與已知的風險進行比較的過程 B)藉由協調各項活動以控管組織相關風險 C)選擇與實施控制措施以修正風險的過程 D)風險分析與風險評估的整體過程 V 在資訊安全管理系統Information Security Management System,ISMS中,風險識別 不 含下列何者? 1.識別各項資產的脆弱性 2.分析資安事故或事件對組織帶來的衝擊程度 3.評估環境或新技術帶來的威脅 4.建議購買硬體設備清單 V 駭客攻擊手法與入侵技術提升,會啟動何種風險因素監控與審查? 1.資安檢查結果 2.資安事件應變 3.環境異動 V 4.資訊與資通系統資產異動 風險管理流程的決策點是在哪個流程以後?(複選) 1.風險監控與審查 2.風險評鑑 V 3.風險處理 V 4.風險接受 風險值得計算方式通常是? 1.威脅x控制措施成熟度 2.CIA之和 (三個項目加總) 3.後果x事件發生可能性x脆弱性被利用程度 V 4.資產價值除以脆弱性等級 下列哪些現象可能代表預防性措施執行成效良好? (複選) 1.使用者操作錯誤率下降 V 2.事件發生頻率下降 V 3.稽核列為不符合 4.相同事件未再重複發生 V 資訊系統若新增網路模組,最適當的因應作法為? 1.交由廠商驗證 2.啟動風險再評鑑 V 3.不須處理,屬例行升級 4.立即啟用模組 以下何者屬於風險避免的策略? 1.停止該活動或業務流程 V 2.安裝備援系統 3.訂立罰則以遏止行為 4.與第三方簽屬SLA 建立全景階段,需要識別機關內、外部方面的安全需求,請問內部環境包含什麼?(複選) 1.機關治理 V 2.政策目標 V 3.組織架構 V 4.競爭環境 在定義及應用資訊安全風險評鑑時,組織應建立及維持下列哪些資訊安全風險準則?(複選 A)誠信倫理準則 B)風險接受準則 V C)履行資訊安全風險評鑑之準則 V D)最小化準則 以下哪些屬於內部稽核準備階段的作業? (複選) 1.通知受稽單位 V 2.撰寫改善報告 3.蒐集前次稽核紀錄 V 4.安排受檢人員 V 在選擇風險修改(降低)控制措施時,應考慮那些要素(複選) 1.資產的價值 V 2.威脅與脆弱性的組合 V 3.控制措施實施成本 V 4.稽核項目多寡 在詳細風險評鑑中,事件可能性是如何被評估的? 1.機密性x發生次數x法律責任 2.威脅x資產價值x控制措施是否到位 3.只評估威脅存在與否 4.威脅發生可能性x脆弱性被利用的難易程度 V 風險評鑑包含三個步驟(1)風險分析(2)風險識別(3)風險評估,請問三步驟的正確順序是? 1.(2)->(3)->(1) 2.(2)->(1)->(3) V 3.(1)->(3)->(2) 4.(1)->(2)->(3) 關於風險評鑑與風險處理,下列敘述何者正確? 1.風險處理後,組織就不再需要進行風險評鑑作業 2.風險處裡可以百分百消除風險項目,確保資訊安全 3.經過風險評鑑,低風險或處理成本過高的風險項目,可能會被組織選擇接受 V 4.風險評鑑可以百分百找出可能的風險項目,並且進行風險處置 何者用來決定風險處理的先後順序? 1.衝擊準則 2.風險接受準則 3.風險管理作法 4.風險評估準則 V 某機關之全球資訊網,其資產價值為3,威脅發生可能性是2,弱點利用難易度是3,請問風險值高低為? 1.7、中級風險 2.7、普級風險 3.18、中級風險 V 3X3X2=18 4.18、高級風險 如果現有資訊系統,其業務服務正確性與持續性最重要,不允許任何便民服務停頓或中斷超過4小時,其訂定風險可接受水準時,應採用何種準則? 1.優先處理風險值高於或等完整性或與可用性遭破壞,並導致系統服務停頓超過4小時的風險 V 2.由風險值最高的風險開始處裡 3.優先處理經費預算中可完成處理之風險 4.優先處理正確性與持續性之風險 下列何者可作為量測資訊安全「完整性」之指標? A)確保關鍵服務之達成率 B)確保教育訓練之達成率 C)網頁資訊公開正確性之達成率 V D)確保人員知悉之達成率 風險的影響程度或損害程度由何因素來定義?(複選) 1.威脅 2.脆弱性 3.衝擊 V 4.可能性 V 高階風險評鑑中,資通系統等級評估的四大構面不包括下列何者? 1.可用性 2.完整性 3.法律遵循姓 4.財務風險 V 成為資訊安全風險因素中,哪些是增加風險的因素? 1.弱點、備份、數位簽章 2.威脅、弱點、資產價值 V 3.威脅、弱點、存取控制 4.威脅、資產價值、存取控制 以下哪一項不是組織應定義及應用資訊安全風險評鑑過程之事項中? A)選擇適切之資訊安全風險處理選項 V B)評估資訊安全風險 C)分析資訊安全風險 D)建立及維持資訊安全風險準則 關於建立全景的階段,下列哪一項敘述正確? 1.是風險處理的替代方案 2.包含風險範圍與角色責任界定 V 3.僅針對內部威脅分析 4.僅限於詳細評鑑使用 風險有四種處理方式,下列哪些為正確敘述?(複選) A)降低:建置「正確且適當的」安全防護措施,降低潛在風險 V B)接受:如果因某些不必要的活動而導致風險產生時,組織考慮停掉相關活動 C)避免:無法處理的風險或者影響很小的風險,組織可選擇不處理 D)轉移:透過保險的機制,將風險轉嫁給保險公司,一旦風險產生時,可有補 償的機制降低損失 V 風險審查與推動小組應執行哪項工作? 1.定期執行風險評鑑 2.撰寫風險處理計畫 3.審核風險評鑑結果與風險處理計畫 V 4.鑑別潛在風險與提出需求 企業為了減少新興市場獨資的風險,選擇與其他企業合夥投資,這是何種風險處理方式? 1.風險修改 2.風險保留 3.風險避免 4.風險分擔 V 何者是用來決定風險處裡的範圍 1.風險評估準則 2.衝擊準則 3.風險接受準則 V 4.風險管理作法 下列關於風險修改的說明何者錯誤? 1.可降低衝擊或機率 2.可包含偵測與監控措施 3.可將風險值降至0 V 4.可結合制度面與技術面措施 下列哪些為識別資訊安全風險的目的?(複選) A)識別可能的財務損失 B)應用資訊安全風險評鑑過程,以識別資訊安全管理系統範圍內與漏失資訊之 機密性、完整性及可用性相關聯之風險 V C)識別風險擁有者 V D)識別具有合作潛力的協力廠商 下列哪些 不 是風險管理框架中,領導與承諾進行事項? 1.分配風險管理的資源 V 2.確定可能獲不可能採取的風險類型 3.將風險股臉與組織策略目標與文化相結合 4.建立風險管理政策 為進行風險因素監控與審查,當發生資安事件,下列哪階段 不是 應進行落實不夠或效度不足檢查? 1.建立全景 2.執行風險評鑑 3.風險評鑑程序 V 4.矯正預防 風險接受準則通常可依據機關政策、目標及業務關係單位來定義可接受或不可接受的狀況與條件,下列何者可以列為考慮接受的原因? A)與現行法律規範稍有抵觸 B)因科技的限制,尚無有效處理風險的方法 V C)資產損失高過於風險處理成本 D)對人員生命相關的的衝擊所產生的風險只有不到 1/10 的機率 形成資訊安全風險(Risk)的因素中,哪些是增加風險的因素? A)威脅(Threat)、弱點(Vulnerability)、存取控制(Access Control) B)威脅(Threat)、資產價值(Asset)、存取控制(Access Control) C)威脅(Threat)、弱點(Vulnerability)、資產價值(Asset) V D)弱點(Vulnerability)、備份 (Backup)、數位簽章(Digital Signature) 風險透過哪2個因素的結合定義其影響程度或損害程度? A)弱點與威脅 B)衝擊與可能性 V C)資產與資產價值 D)控制措施與防護等級 資通安全風險管理流程中,全景建立的目的為何? A)盤點資訊資產清單 B)分析資訊資產的風險 C)建立安全管理整體計畫 D)建立整個風險管理過程的完整輪廓 V --------------- 參考資料: 資通安全管理法及子法彙整版 https://www-api.moda.gov.tw/File/Get/acs/zh-tw/CZB3t44nAnRftR2 資通安全管理法修法 https://www-api.moda.gov.tw/File/Get/acs/zh-tw/Wg1EUS8Osximu4x 資通安全管理法FAQ 版本:1140326 https://www-api.moda.gov.tw/File/Get/acs/zh-tw/HYKEpw4HzXaoPjl 資通系統風險評鑑參考指引 https://www.nics.nat.gov.tw/cybersecurity_resources/reference_guide/Common_Standards/