1、第3章 資產與風險管理 大綱 何謂資訊資產 資訊安全的潛在威脅 反制對策(Countermeasures)資訊安全與風險管理 何謂資訊資產 隨著企業組織對資訊科技的依賴加深,所有內部/外部溝通的過程都可稱為資訊資產 隨手塗鴉 工作日誌 正式文件 文件草稿 電腦資訊 任何的公開媒介 正式會議 何謂資訊資產社交工程(social engineering)社交工程攻擊法是目前資訊安全管理制度(ISMS)所面臨的最大挑戰。熟悉社交工程者不必是電腦高手社交工程高手往往熟悉人性心理被害者往往不知道自己已經洩密即時通訊軟體(如MSN、QQ等)為社交工程的最大幫手 社交工程高手往往熟知心理學中的”社交心理學”
2、資訊安全的潛在威脅 威脅威脅(Threat)任何可能造成資訊系統損壞的事物皆稱威脅威脅類型威脅類型原因原因範例範例自然因素大自然現象所造成地震、水災系統本身故障網路不通人為因素人員疏失系統操作不當系統維護疏失人員管理疏失蓄意破壞破壞電腦系統破壞硬體設備破壞軟體程式修改軟體程式未經授權使用設備不當使用及蒐集資料資訊安全的潛在威脅 常見內部人員威脅 員工的操作錯誤 追求刺激型的員工 意識形態主導的員工 心有不滿的員工 琵琶別抱型 閒雜人等型 離職員工 過度積極的員工 資訊安全的潛在威脅 脆弱點(Vulnerability)又稱漏洞 在一個資訊系統中防護最脆弱的部份,通常也就是組織內部的系統安全漏洞
3、 類型類型原因原因範例範例營運模式每個企業組織為求生存都會有一套自己的營運模式,而競爭對手所要做的就是找出這個模式,並從中進行破壞竊取晶圓廠的製程實體弱點實體電腦設備可能會因為外在因素造成無法使用,其損失並不亞於電腦資訊遭竊系統管理不當電腦機房淹水人員弱點由於缺乏對員工的資訊安全訓練所致帳戶密碼過於簡單或從未更改電腦技術原先就存在於作業系統或應用程式軟體中的錯誤,駭客通常經由這些弱點對電腦進行入侵,並進行資料擷取、更改、或破壞的行為系統中未移除的預設帳號,提供了外界入侵的管道延伸思考 以同心圓放射思考,對於自己/家庭/班級(組織)而言,各自有哪些重要的資訊資產?為何資訊安全主要的潛在威脅來自於組織內部人員?
