資訊安全管理制度風險評估手冊目...

資訊安全管理制度風險評估手冊

目錄一前言.................................................................................................................................2 二本文.................................................................................................................................3 1 風險的定義及其本質........................................................................................................3 2 風險管理對資訊安全管理系統的重要性 ...........................................................................7 3資訊風險管理與資訊風險評估之關連 .............................................................................11 4各種資訊風險評估作業程序之比較與建議 ......................................................................17 5結論 ...............................................................................................................................23 6參考文件與標準..............................................................................................................24 三作者簡介： ....................................................................................................................25

PDF created with pdfFactory Pro trial version www.pdffactory.com

http://www.pdffactory.com

Page:2 of 25

編序自從行政院於民國九十年一月十七日第二七一八次院會通過「建立我國通資訊基礎建設安全機

制計畫」，並成立「國家資通安全會報」後，即開始結合內政、外交、國防、財政、教育、法

務、經濟、交通等部會，針對電力、電信、金融、交通等國家基礎建設之安全防護，共同研討

相關因應作為，其中對於教育訓練的重視與人才之培育，更是重點工作項目之一。

依照國家資通安全會報綜合業務組之規劃，整個教育訓練的時程大致上可分為資通安全基礎訓

練建置，資通安全防護及運用訓練，資通安全專業訓練三大階段；而編撰本手冊之源由，係配

合國家資通安全會報對於政府機構建立資訊安全的基本防範能力，以及建立資訊安全的防範體

系所做的一連串配套措施之一，旨在提昇政府機構人員對於資訊安全管理系統的基本認知以及

針對實際建置管理系統所需的程序提供相關教育訓練。

本手冊編撰由中華民國電腦稽核協會負責，將發行給政府單位作為執行資訊安全管理制度時之

參考書籍。有鑑於大多數政府機關人員對於資訊安全管理系統及其建置程序並未有完整之觀

念，或是仍存有部份之迷思，其中有關於資訊風險評估的原理及執行程序是最易令人產生困惑

之處，因此本手冊之編排方式將先針對資訊風險的定義及其本質予以簡介，然後說明如何管理

資訊風險以及介紹資訊安全管理系統建置程序；最後再引導至風險評估對於整個資訊安全管理

系統的重要性以及介紹目前國際上較為通用的風險評估方式，期望能協助各單位有所依循且有

效地執行資訊安全管理制度之推行。

國家資通安全會報技術服務中心謹訂中華民國九十二年四月



Page:3 of 25

一、前言運用資訊技術尚需注意人性的管理：很多人在一接觸到資訊安全管理系統(Information Security Management System，簡稱ISMS)時，首先浮現的念頭大多是「一種非常專業的知識，只有資訊相關的從業人員才可以勝任」。但有趣的是，當發生了資訊安全事件時，資訊人員也常表示「我們己經提

供了最佳設備及軟體，也對相關人員實施了相關的教育訓練」；那麼資訊安全事件何以

還是在我們的週遭不斷地重覆發生呢？當從新聞媒體或是報章雜誌得知了台灣又發生了資訊安全事件時，很多人總想一探究

竟地了解到底在安全系統中是哪裡出現了漏洞，讓為非做歹者有機可乘。而事實是，

不論是在金融業、公共事業或是其它與資訊相關的產業，絕大部份造成資訊安全事件

的原因都不是專業技術的層面，而是在人性面上出現的漏洞所導致。不可否認的是，

蓄意犯罪的人員的專業素養及用功認真的程度是遠高過於我們一般的從業人員，尤其

在資訊安全事件方面，有鑑於此，我們也必須要有一套能在組織中展開的資訊安全管

理機制，藉由組織內人員的知識及警覺來形成資訊安全的防護網，使得有心人士不會

那麼容易的得逞，即使是提高了犯罪的成本或是難度，這也就是某種程度的資訊安全

防護了。風險評估是資訊安全管理制度的重要建置步驟：近年來各大媒體對於資訊安全事件的報導日漸增多，不定期發生的病毒警示

發佈、網路銀行的帳戶密碼遭破解盜取存款、中美網路駭客大戰等等，在報

章媒體失真地報導與過度地渲染之下，「資訊安全」也成為本世紀以來談及網

際網路時的熱門議題。但一般人對於「資訊安全」所蘊含的意義，僅止於將

報章雜誌上聳動的標題－駭客攻擊、電腦病毒及資訊戰等，與資訊安全劃上

等號。若企業經營管理階層、資訊從業人員亦有此錯誤之認知，認為防火牆

之購買及防毒軟體之使用即是落實了資訊安全的良善管理，而未針對安全管

理之機制思考其真正意涵，那麼在資訊安全管理的邏輯上已產生了一個嚴重

的錯誤：亦即僅重視技術層面之各項軟硬體導入與應用，而忽略了管理層面

風險評估與控管程序建置之重要性，導致企業執行資訊安全管理機制時造成

失衡，亦造成資訊安全的管理與企業經營的需求發生衝突時無適當之權衡評

估方式。

二、本文

1 風險的定義及其本質 1.1 認識風險才知如何管理

在開始進入主題前，想先和大家分享一個現象。自從 921大地震後，開始引發社會呼籲企業應注重「業務持續營運計畫」(Business Contingency Plan簡稱 BCP)的聲音，而後陸續又發生汐止東方科學園區大火、納莉水災、美國 911恐怖攻擊事件等幾乎每



Page:4 of 25

年一次不同類型的災難事件後，我們曾經一度以為各企業對 BCP 的接受度與需求會大增，必會求助於從事於資訊安全的顧問及專家。可惜事實不然，許多企業主找了多

家顧問或廠商來做評估，但一談到經費問題就觸礁了；有的仍然持續在觀望中，看局

勢、看政府的態度、看荷包，但就是不看風險；少數幾家還很自豪地說，發生那麼多

災難都沒有波及他的公司，可見根本就無須小題大作云云…..。後來經我們分析後才得知，有心導入 BCP 機制的企業或機構，其實在事件發生後就立即展開建置或評估作業了。

舉這個例子是想在閱讀本書前告訴大家，每個人對風險的認知與容忍程度是不同

的，即使採用相同的方法論亦會產生不同的控制措施。也因此並沒有一套放諸四海

皆準的方法可如法炮製；我們提供的是希望大家要先對風險本身有了正確的認識

後，才能採用適當的方法論去建置一套真正適用於單位內的資訊安全管理系統。尤

其是現在又遇上了 SARS的事件，其影響層面不再只是區域性而已，衷心希望大家可趁此機會仔細地檢視自身單位內所面臨的風險。

又如多數企業於資訊安全管理體系建構之際，諸如資訊安全政策之建置，僅為文件複

製與編寫，或並未與實務或營運需要進行差異分析 (Gap Analysis)；其它如安全防護技

術或產品導入，亦未涵蓋營運風險(Business Risks)評估…等。所以，雖投入於資訊安全

保護，但在我國多數的企業環境尚處於 NICE TO HAVE的型態，意即有安全管理當

然很好，但沒有亦無妨；因此除非法令要求，甚或已經因類似的事件遭受損失，或希

望成為行銷的利器，否則多半都採取較消極的態度或僅仰賴導入某些技術或產品，在

缺乏良善的監控與分析之下，多半都處於對企業內部的安全防禦狀態的不自知。

1.2 風險的基本定義風險一詞有很多種層面的定義，反應出不同的風險意義與不同的人事物。其中一種最

足以有效定義風險係 ISO所提供：『可能對一個或群組資產可能之弱點產生威脅，以致產生損失或傷害資產。風險之影響或相關損害係指可能對企業產生之損失／破壞

價值及估計威脅發生機率。』此定義一般為業界所採用，自從組織運用資產概念及損

失價格來考量風險，此亦已被一般組織及企業之經理層級所採納。

1.3 風險之本質不論我們要不要接受，風險的存在性是不變的，每個人每天都不停地會面臨風險，

並做出抉擇。例如一個開車上班的人，若有一天他的車子送修，他就必須要決定是否

要坐公車還是計程車去上班，以花費的成本考量來看，計程車當然比較貴，可是它所

提供的是時間的節省以及舒適的過程；反之，坐公車的好處在於其經濟因素的考量。

簡單地說，在作決定前的過程就是一種風險評估；決定方案之後所作的調整(如為了避免塞車，便比平時早 1小時出門)便是在執行風險管理。從另一個角度來看，風險本身即表示犯罪與攻擊意圖的存在，像盜用公款、搶劫、

侵犯隱私權、詐欺…等層出不窮的事件，在實體世界與數位世界中都是一種威脅；它們的外表形態可能會不一樣，但是其動機及心理仍是相同的。因此，我們對數位世界

的威脅可以使用與實體世界相同的防護邏輯，再來判斷要使用何種資訊技術層級予



Page:5 of 25

以控制；而不是一開始就選擇要採用的防護產品，結果反而要讓控管機制來遷就產品

所提供的功能。

1.4 資訊安全與資訊風險： 1.4.1 資訊安全的定義與目標

僅以 BS7799的標準定義做為簡介，就是「資訊對組織而言就是一種資產，和其它重要的營運資產一樣有價值，因此需要持續給予妥善保護。資訊安全可保護

資訊不受各種威脅，確保持續營運，將營運損失降到最低，得到最豐厚的投資

報酬率和商機。」資訊安全的目標在於保護資訊及其支援處理設備、系統和網路的機密性

（Confidentiality）、完整性（ Integrity，或稱真確性）和可獲得性（Availability，或稱可用性）不受到各種方式的威脅，使可能發生的事業損害降至最低，確保企業的永續經營；例如，程式設計師寫完程式必

須向上級公開原始碼、企業 Data Center 必須進行資料異地備援 ...等等都是基於保護資訊安全的考量。

1.4.2 資訊安全管理的要素與其他管理一樣，安全管理三要素是 People（人）、Process（流程）與 Technology（科技），因為事是由人做出來的，人事安全是所有安全當中非常重要的一環，企業或組織所擬定出來的安全政策還有賴具備安

全緊急意識的「人」去遵循；而企業若能掌握 Process 順暢，即可掌握80﹪以上的安全；Technology 並非單指 CCTV、門禁系統等設備，而最近相當熱門的資訊安全也絕非單指防火牆與防毒軟體而已。資訊安全涵蓋範圍相當廣，並非僅指網際網路，也絕非只是防火牆，因

為資訊安全必須以人事、實體與環境安全為基礎，所有的科技都以協助

安全管理政策為目的，否則科技只是一個產品。例如，當電腦為了資訊

安全的緣故裝上防火牆，卻對其擺放位置不做適當防護，如何稱得上安

全？

1.4.3 資訊風險的定義與要素資訊風險係指可能影響資產、流程、作業環境或特殊企業組織之威脅，威脅性

質包括財務、法令、策略、科技、資料運用及可能影響企業環境之結果。資訊安

全管理系統的建置人員應著重於與資訊安全管理三要素有關之風險等級，此等風

險等級通常容易產生資訊機密性、完整性或可獲得性之損失。而資訊風險的要素可表現於下列方面： A. 外部威脅、內部弱點、需要保護的作業或資訊資產。 B. 依據資產之威脅及弱點之影響做成衝擊分析(Impact Analysis)。 C. 依管理目標與現實狀況所做之差異分析(Gap Analysis)及評估風險可能發生之機率。



Page:6 of 25

1.5 資訊風險的種類： 1.5.1 完整性風險（ Integrity Risk）：

此風險會發生在資訊處理的兩個範疇，分別是資訊基本架構的管理、及

維持組織營運所必需的應用系統。其風險在於資料的處理、擁有、揭露

均違反了營運控制的實務，或資訊系統之輸出、入與處理的正確原則端

控制流程，如：資料轉換介面出錯、資料內容遭破壞，網頁內容遭惡意

竄改、網路資料劫奪（Session Hijacking）及資料結算之錯誤或根本的程式邏輯與經營流程不相符。

1.5.2 資訊基礎架構風險（ Infrastructure Risk）：

此風險係因組織未能建構有效率的資訊科技基礎架構（如硬體、網路、

軟體、人員及流程），或未能在有效率、及控制良好的模式下，支援組織

現有及未來的需求。這些風險在於界定、開發、維護及經營資訊處理環

境（如電腦硬體、軟體系統、網路等）的一連串資訊科技處理程序及相

關的營運應用系統（例如客戶服務、應收付帳款、生產排程、信用處理

等等）有關，舉凡從作業系統平台，資料庫系統、網路系統、實體環境

等等，特別是現今 e 化環境對網路的依賴性非常高，因此資訊基礎建設之完備，傳輸之保全是重要的風險控制點。

1.5.3 可獲得性風險（Availability Risk）：

當需要資訊執行營運決策或經營活動時，無法及時取得的風險，包括： A. 因資訊通訊中斷所產生的損失。例如：協定阻斷服務攻擊(Denial of Service)、傳輸線路中斷、電話系統斷線、系統當機、衛星斷訊。

B. 處理資訊的基本能力之喪失。例如：電腦系統效能極低，火、水災、斷電或缺乏適當專業人員操作系統。

C. 操作上的困難。例如：控制權遭遠端控制程式劫奪、磁碟機故障、操作人員失誤等。

D. 企業或組織營運上的中斷。例如：天然災害、惡意破壞、怠工、瘟疫(今年所遇到的 SARS疫情便是一例)等。

另外資訊可獲得性風險應著重以下三個不同的層面： A. 藉由監督效能及在問題發生前採取預防措施，可避免此風險。 B. 可使用系統或資料回復技術使損失降至最低。 C. 因天然災害而造成長時間之中斷所產生的風險，可透過應變計劃（Disaster Recovery Plan 或 Incident Handling Process）及業務持續營運計畫 (Business Contingency Plan)使資訊系統減少損失。

1.5.4 機密性風險及存取風險（Confidential Risk & Access Risk）：

此類風險著重於不適當的存取資訊系統、資料和資訊之風險，它包括不

適當的權責劃分、資料與資料庫整合之風險、以及與資訊機密性相關之

風險，例如不適當的人可能取得機密資訊，而適當的人卻被拒絕存取。資訊存取的風險是全面性的，亦即包括因任何目的而取得的資訊。另一



Page:7 of 25

類型則如使用者權限的不相符，或是系統導入之變更，傳統之部門間職

能分工轉變為應用系統角色及權限之扮演，例如員工兼具請購人員與採

購人員之權限，可能導致不當授權將導致使用者存取未經授權之資料之

風險，或造成機密資料外洩及未經授權之異動可能性。

1.5.5 攸關風險（Relevance Risk）：攸關性風險係指該資訊與蒐集、維護與傳達資訊之目的無關，該風險係

與資訊系統所產生或彙總資訊之有用性與時效性有關。依性質而言，資

訊的攸關性風險直接與「決策資訊風險」有關，此風險係指無法將「正

確」之資料或資訊，傳達給「正確」的經營、消費或管理決策者，在「正

確」的時間內做出「正確」之決策。此風險之發生主要係因未充分了解

資訊需求及缺乏對時效性的注意，進而損害到交易雙方的權益、企業競

爭的優勢或是管理的效益與效率。

2 資訊風險管理對資訊安全管理系統的重要性 2.1 資訊安全管理系統的建置程序

2.1.1 茲以 BS7799為例：資訊安全管理系統和 ISO9001：2000 年版一致地採用”計劃-執行-檢查-行動”(Plan-Do-Check-Act，PDCA)之模式，並應用於所有資訊安全管理系統之建置過程。圖 1係展示資訊安全管理系統如何採納資訊安全要求之輸入及利害關係團體之期望作為輸入端，經由各必要措施及過程，產生符合所需要求及期望的資

訊安全輸出結果。圖 1所示之 PDCA模式，同時表現組織應在整體業務活動與風險下執行開發、實施、維護及持續改進資訊安全管理系統。PDCA過程模式並可描述如下： P：計畫（Plan，建立 ISMS），建立安全政策、目標、標的、過程及相關程序以管理風險及改進資訊安全，使結果與組織整體政策與目標相一致。 D：執行（Do，實施與操作 ISMS），安全政策、控制措施、過程與流程之實施與操作。 C：檢查（Check，監控與審查 ISMS），依據安全政策、目標與實際經驗，以評鑑及測量(適當時)過程績效，並將結果回報給管理階層加以審查。 A：行動（Act，維持與改進 ISMS），依據管理階層審查結果採取矯正與預防措施，以達成持續改進資訊安全管理系統。



Page:8 of 25

圖 1：ISO標準所採用之 PDCA模式

除了圖 1所示 ISO標準模式之外，茲將其概念轉換成另一種建置程序的呈現(詳圖 2)，以提供讀者做為建置之參考。對照 PDCA的過程描述，大家可以看到資訊安全管理系統與制度之建置是一個循環不斷的過程，其中的基礎必須先建立目標與安全政策。在運作過程中需要取得

完整的決策資訊(可想而知，若資訊不足時則其判斷結果便會有誤差。再來針對風險所做之企業持續不斷之評估、管理、監督修正等行為皆與 PDCA有直接關連。

建立目標與基礎架構

評估風險

持續性修正

監督風險管理程序之效果

設計與執行

風險控管程序

規劃風險管理策略決策資訊

avoid / transfer/ reduce /accept

IT Assets & Security Framework

Gap Analysis Impact Analysis

IT Control & Security Policy

I.T. Management

I.T. Audit



Page:9 of 25

圖 2：資訊安全管理系統建置程序參考示意圖

2.1.2 資訊安全管理系統之建立步驟：

A. 依據業務、組織、所在位置、資產及技術等特性，定義資訊安全管理系統之範圍。簡單地說就是要決定全面實施或分階段分單位實施，此舉會同時影響

資訊安全資源的分配運用，對風險評估後的接受度，以及所採用的風險管理

策略。

B. 依據業務、組織、所在位置、資產及技術等特性，定義資訊安全管理系統之政策，且須：

1. 包含設定目標之框架，並建立有關資訊安全之整體方向意識與行動原則。

2. 考慮企業及法律或法規要求，以及合約性的安全責任。

3. 建立策略性、組織性及風險管理之內容，使其資訊安全管理系統得以建立及維持。

4. 藉以評估風險之標準應加以建立，風險評鑑之架構應加以定義。

5. 被管理階層核准。

C. 定義風險評估之系統化方法

1. 選用一風險評估方法，並適合其資訊安全管理系統、已判別之企業資訊安全、以及法律法規之要求。

2. 設定資訊安全管理系統之政策與目標，以降低風險至可接受程度。

3. 決定可接受之風險標準以及判別風險至可接受的程度。

D. 判別各項風險

1. 判別資訊安全管理系統控制範圍內之資訊資產以及該等資產之擁有者。

2. 判別資訊資產所受威脅。

3. 判別該等威脅可能利用之脆弱性(Vulnerabilities)。

4. 判別資訊資產若喪失機密性、完整性與可用性之各項衝擊。

E. 評估各項風險：

1. 應加以評估安全措施失效時可能對企業之傷害，並將喪失機密性、完整性與可用性可能導致之後果列入考慮。



Page:10 of 25

2. 根據與這些資產有關之主要威脅、弱點與衝擊，評估這種失效實際發生的可能性及現行所實施的控制措施。

3. 預測各風險之層級，如高中低三種級數。

4. 決定風險是否可接受或需利用所建立之標準來處理。

F. 判別並評估風險處理與管理之選項作法；可能的措施包括：

1. 採用適當的控制措施，以降低風險。

2. 若風險完全地滿足組織政策及可接受風險標準，則可在掌握狀況下客觀地接受該等風險。

3. 將風險轉移至其他相關之機構，如保險公司、供應商。

4. 迴避風險，等於視而不見，這是最不理想的措施。

G. 選擇控制目標及控制措施以處理風險：

適當的管制目標與控制措施應於BS 7799標準之附錄A的127項控管要點中加以選擇，選擇時應依據風險評估與風險處理過程之結論為基礎加以判定。

備考：BS 7799 附錄A所列之各項管制目標與控制措施並非絕對的標準，亦可選擇其他方法論之管制目標與控制措施。

H. 擬定一份適用性聲明書

將所選擇之管制目標與控制措施其選擇之理由應於適用性聲明書中加以文件

化。BS 7799附錄A中任何排除之管制目標與控制措施亦應加以紀錄。

I. 所提出之殘餘風險需取得管理階層之核准，資訊安全系統亦需獲得授權才能實施與操作。

2.2 為什麼需要資訊安全？

由於資訊和支援作業、系統及網路都是重要的營運資產，資產的機密性、完整性、及

可用性，攸關能否維繫競爭力、現金流量、獲利能力、及商業形象。組織本身與其資

訊系統，網路連線所面臨的安全威脅不僅與日俱增，來源也相當廣泛，包括電腦輔助

的詐欺行為、間諜行為、蓄意破壞、毀損、水災或火災等，攻擊來源如電腦病毒、駭

客及其他手法等都愈來愈普遍、影響也越來越大，技術日益復雜。“ 2.3 風險管理的意義

2.3.1 風險管理的目的並不是在百分之百的避免風險(還記得前面曾指出，風險不會100%消失嗎？)，而是去了解會面臨到那些風險，有那些是可以藉由適當的手段予以降低或將之移轉，那些風險是無法規避，必須及早規劃因應對策者。同時，



Page:11 of 25

風險管理的目的，也不是追求最小的風險，而是讓組織選擇所能容忍的風險水

準，並排除無法承擔的風險。 2.3.2 換言之，風險管理是指與辨認、評估及處理風險有關的所有活動及方法。有效的

資訊安全管理制度並非要消弭所有的資訊風險，而是協助組織辨認及評估他們在

日常營運過程中所可能面臨的風險，進而可以及早採取較佳的方法來管理這些風

險，以強化組織的體質及競爭力。

2.4 為什麼需要風險管理 2.4.1 現今各種組織面臨的外在環境存在著許多不確定性，而在全球化高度競爭的時代

中，產業變化快速，市場變化莫測，也潛藏著許多危機，使得風險無所不在。從

高層營運策略到日常的營運管理，都必須要做風險管理。同時，機會常伴隨風險

而來，藉由建立風險管理體系，在風險發生的第一時間搶得先機(降低損失或提早避免)，也就多了一份機會。

2.4.2 再者，因為許多組織面臨的最大風險是不知如何管理風險，也不認為風險是可以

管理的。甚至完全不知道有風險存在(還記得前面提過那些沾沾自喜的企業主嗎？)或是知道有風險，却不知道如何去管理與執行。

3 資訊風險管理與資訊風險評估之關連

3.1 風險評估與風險管理 3.1.1 風險評估有助於導入完善的風險管理。

簡單地說，ISMS 是一套管理潛在資訊風險的方法。所謂風險是資產由於外部威脅和內部弱點交互作用而可能導致的損害程度。在成本效益的考量下，組織控制

資訊風險的投資應該和潛在的資產損失相關，也就是應該把有效的資源投入在解

決最迫切需要的資訊風險問題上。也就是透過合理的風險評估過程，讓組織了解

目前的資訊風險等級，以決定採取哪些適當的手段來管理風險。這些手段包括技

術性的控制系統和管理辦法，用以達到避免、降低、轉移或接受風險等目標。

3.1.2 有效的風險管理須依靠良好的風險評估。 ISMS 的目標是透過一整體規劃之資訊安全解決方案來確保企業所有資訊系統與業務之安全與正常運作。實務上，ISMS 利用風險分析管理工具，結合企業資產列表、威脅來源的調查分析及系統安全弱點評估等結果，綜合評估影響企業整體

的因素，以訂定適當的資訊安全政策與資訊安全作業準則來降低潛在的風險危

機。

3.1.3 同時是執行資訊安全管理系統的關鍵成功因素。請先參考圖 3：風險評估與風險管理之程序。



Page:12 of 25

圖 3：風險評估與風險管理之程序

上圖為風險評估和風險管理的過程，也有些學者指出 Risk Assessment應翻譯成風險評鑑比風險評估為佳，但個人認為此乃見仁見智；評鑑一詞固然較為精準，但評估却更為貼近一

般使用者的認知。

在風險評估的過程中，組織應先針對：

A. 組織內和資訊安全有關的資產進行鑑別評價，

B. 然後針對鑑別出來的資產進行了解這些資訊資產存在著哪些弱點，而又有哪些可能的威脅會利用這些弱點而產生，

C. 接下來評估當這些威脅產生時對組織的衝擊有多大，對組織的正常營運會帶來哪些風險，

D. 對所帶來的風險進行排列並訂出等級。

在風險評鑑之後，我們己經知道了組織可能會遭遇哪些風險，而哪些風險是組織所無法接

受的，接下來的是，針對這些無法接受的風險進行管理，

A. 首先，先了解組織目前己有的安全措施，

B. 再依鑑別出來的風險採取對應的安全控制措施，

C. 並訂定相關安全控制措施的執行程序，然後按照既定的程序實施相關的活動，



Page:13 of 25

D. 並定期檢視殘存的風險。

ISO／IEC 17799：2000標準中表示，組織的資訊安全能否落實，下列常為關鍵因素：

A. 能反映營運目標的安全政策、目標及活動；

B. 與組織文化一致之實施安全保護的方法；

C. 來自管理階層的實際支持和承諾；

D. 對安全要求、風險評鑑以及風險管理的深入理解；

E. 向全體管理人員和雇員有效推廣安全的理念；

F. 向所有雇員和承包商宣傳資訊安全政策的指導原則和標準；

G. 提供適切的訓練和教育；

F. 評估資訊安全管理的績效及回饋建議，以便進一步改進。

3.2 風險評估的迷失

3.2.1 花大錢可買安全？錯!! 如果多數資訊產品真如廣告所述，則使用相應的技術或產品應該可以避免資訊安

全相關之風險，那麼問題出自於何處？關鍵的思維就在於，其實並「沒有 100%

安全」這樣的情況存在，科技技術終究有其侷限性。舉例來說，配備第一流科

技的軍隊，仍然需要標準的操典與演訓，才能發揮實效。此處借用資訊安全專家

Bruce Schneier 的名言：資訊安全乃一流程，而非產品(Information Security is a

process， not product)。如果廠商仍然狡黠地辯稱其產品依照實驗室數據確實可達

100%防護，建議你馬上請他打道回府，別浪費大家的時間了。因為我們要用的產

品是在現實環境中可用的，而不是放在實驗室供著!!請大家回想一下幾年前，密

碼學在資訊環境中的應用探討，一度還是顯學，為何現在却很少聽到呢？因為密

碼學所有的應用必須配合人員存取控制的落實，它無法單獨自成一個應用環境，

一旦其週邊配合的作業出問題，英雄亦無用武之地。

再舉一例，某資安產品的防護能力及偵測敏感度很高，宣稱可提高安全無虞，但

安裝後的實況是：使用者要求安全的環境又不想被打擾，大家一直抱怨系統過於

敏感，造成假警報頻傳，系統管理員迫於無奈，只好將系統暫時予以關閉(有些人

是將控制層級降低)；殊不知這是駭客所用的投石問路技倆，之前的假警報其實都

是駭客所為，目的就是要讓組織內部自動降低安全層級，以讓其在發動攻擊時，

增加成功機率。

另外一種是成功機率最高的手法，就是最典型的社交工程，可輕易繞過所有技術

措施，直接獲得使用帳號及密碼資訊。這些都證明了科技無法解決人性在資訊安

全領域中的問題，也就是說我們永遠要將管理人的議題放在風險評估中。

3.2.2 資訊垃圾一文不值?錯!!

對蓄意攻擊破壞者而言，資訊就是資訊，紙本資料與電子檔一樣好用，很多時



Page:14 of 25

候，尤其是對實體環境控管不良或是未落實資訊分類管理的單位而言，在垃圾筒

中的資料比電腦中的資料更有價值。再舉一例，美國麻省理工學院有兩位研究生

曾做了一份研究，他們從二手電腦商處以不到 1000 美元的價錢批了 158 顆硬碟，在整理的過程中，他們找到了 5000 組以上的信用卡資料、病歷表，個人與

公司企業的詳細財務資訊，同時還有好幾 GB的個人電子郵件及色情檔案。他們把這些發現寫成一份「舊資料遺跡：磁碟清理研究」（Remembrance of Data Passed: A Study of Disk Sanitation）報告，並在 IEEE電腦學會（IEEE Computer Society）所發行的 IEEE安全與隱私期刊（IEEE Security and Privacy）中發表。

3.2.3 放心!!我們單位的規模不大，不會有人對我們有興趣。錯!!

整個風險評估的範圍不是只放在技術面而已，還須同時考量營運的持續性才對。

管理階級的錯誤觀念除了其本身的成見外，通常都是因為未獲得足夠的風險分

析資訊所致；另一方面，幕僚人員也應先瞭解其單位的關鍵風險所在，才能與管

理階級做充分的討論。規模大小不是問題，重要的是它是否有利用價值!! 尤其

是政府機構，不能因為被列為 C、D級單位就掉以輕心，即便不必採取與 A、B級

單位相同的控制模式，基本的防護措施仍應實施，否則若不幸成為駭客利用的跳

板，其後果將不堪設想。

3.2.4 雞蛋不能放在同一個籃子中？不一定!!

正因為各單位的人力、資源、預算有限，所以我們不可能同時改善所有缺失或

風險，執行風險評估之目的正是希望能有效利用資源。讓我們回想一下前面談

過有關風險的本質，你會發現瞭解背景遠比使用那種科技或設備重要。試想，一

個不能防止炸彈攻擊的安全系統，並不代表它一無是處，可能用傳統的門鎖、牆

壁來加強也可以!!正確的作法，應該是優先就風險評估後的結果，針對最弱的

環節，提供深度的防禦。同樣的思考方式可用來考慮另一種情形：要把改進資源放在一個發生機率低的重

大威脅？還是放在一群發生機率高的小缺失上呢？

3.3 執行風險管理應注意事項 3.3.1 建立管理政策：

資訊安全策略目標之首要考量是，反應組織領導者對風險管理的策略意圖與可

接受程度，進而將之形成為管理政策，以作為提供商務往來對象及內部員工遵

行之依據。例如：對資訊環境建構的規劃，經由資訊技術執行各項業務之控管；

或者是確定實施資訊安全的範疇與順序；投入的資源與部署的方法；以及最重要

的－資訊安全風險的可接受等級。

3.3.2 遵行管理政策：

待資訊安全的策略方向與政策確定後，首要之目標即是依照既定之策略，逐步將

組織與資訊安全政策的遵行，達成一致性。並經由適當的資訊風險評估之後，確

認目前組織內的資訊安全控制，可否滿足安全政策的保護目標，由於投入強化控

管之成本效益考量，因此不可能全盤接收所有的控管，因此核心的處理方式為增

強控管至「可接受之風險程度」，並將安全控管所需的技術與程序一致化。



Page:15 of 25

3.3.3 充實關鍵知識：請先看看以下案例： A. 泰國的央行，曾於執行防火牆例行升級作業，關閉線上系統與啟動備援系統的時段間，遭外部入侵成功。

B. 美國某銀行其入侵偵測系統(IDS)，由於未定期更新入侵樣態之資料庫與執行

IDS系統升級作業，遭駭客以癱瘓攻擊程式(名之為 Stick)使 IDS癱瘓，喪失監

控功能。 C. 高科技廠商的 ERP 系統其權限設計不當，使得商業邏輯下需互相制衡的權

限，集中於一人手中，導致財務上的損失。 D. 程式開發人員將存取管理之密碼或路徑於程式碼中設定(Hard Code)，造成密碼

分享，與資料取存目錄外洩，針對訂製開發的網路下單系統，此為國內常見

的漏洞之一。凡此總總，皆無法單獨歸咎於技術或產品本身，而在於多數技術工具的使用導入

時，未受到導入團隊適當的說明與教育，以及如何應用安全技術工具相關的管

理技術，這其中最難跨越的鴻溝在於「產業關鍵知識 (Industry Domain

Know-How)」。試想不瞭解網路銀行放款、存款、轉帳的方式，以及客戶往來的

需要，如何將網路銀行防火牆的過濾規則，設定成可符合銀行營運之需要？這也

是國內曾發生防火牆失效的原因之一，所以技術方案、管理程序和知識的緊密結

合，才是資訊安全成功的核心。

3.3.4 管理觀念的建立比選用何種資訊技術重要：

美國從事資訊安全的人員很喜歡把 "Security Protocol" 、"Need-to-Know"，以及"Security Clearance"等後冷戰時期的名詞掛在嘴邊，凡事講究程序，諸事必形於文件。在系統建置的初期，所有人員的

工作職責，權限必先規劃清楚。這種態度其來有自。十幾年前當網際網

路尚未成為資料交換的主流時，除了學術單位及少數機構，絕大部份的

政府機關的資訊共享及交換都建立在封閉系統之上。資訊安全人員多由

退休的軍警或情治人員擔任。這些老兵大都曾經經歷過美蘇冷戰的洗

禮。所擁有的近乎偏執的危機意識及實戰攻防經驗都大量地反映在他們

所設計的資訊安全管理體系之中。這個制度將人、科技及程序緊密的結

合在一起，凡是新進入此一資訊安全管理體系的元件，都必須經過層層

檢驗。如新進的機器設備，未經規格檢驗、強化程序及弱點評估，不得

輕易上線；新進人員的聘用，未經安全等級之調查、未簽署保密協定，

就算人力需求迫在眉睫，亦不得進入實體作業環境接觸公司之內部資料。國內資訊安全管理機制恰與國外相反，資訊技術之運用開始蓬勃發展

時，也正是各項資訊安全產品、資訊安全技術大量發展與成熟之際，惟

國內之資訊安全人員對於各項新產品與新技術之了解不足，同時對於資

訊安全之認知亦停留於技術層面，往往對於資訊安全之管理層面未予以

建立，或尚未落實執行，並將其視為無意義、浪費人力及時間之工作。

以我們執行資訊安全風險評估之經驗中，多次發現資料庫系統、應用系

統預設帳號之密碼，並未於初次安裝後予以變更；系統權限雖做好控管，



Page:16 of 25

惟於網路芳鄰之分享目錄，處處可見未設定密碼之機密資料；業務之需

求而無相關配套措施，導致防火牆安全漏洞大開。由此可見，國內企業

內部人員對於資訊安全之認知與安全管理之程序，尚未落實於管理層

面。此一現象可歸因於國內的資訊安全管理發展，並沒有與美國相同的條件

與歷史背景，惟許多公司卻大量使用已發展好的安全科技産品，如防火

牆，加密産品，入侵偵測系統等，以為安裝這些安全産品即能發揮安全

管理作用，而無任何其他配套的管理機制。事實上這是種最危險的思考

方式，安裝了功能強大的防火牆，而未盡善良管理的責任，遠比未安裝

任何防火牆還危險。而這些産品應只是整個資訊安全體系下眾多環節的

一部份，而非資訊安全體系最後的産出成果。任何資訊安全産品的選購

及資訊安全技術的應用，都應放置在資訊安全管理體系的架構下評估

之，成本之浪擲事小，隱藏在其後的資訊安全危機及法律責任才是最大

隱憂。

3.4 對風險評估的充分認知比盲目執行管理程序更重要 3.4.1 回歸到風險的本質：

前面提到過風險的本質得知，任何實體世界可能發生的危險，數位世界都會發

生！而且更令人可怕的是當這些危險事件發生時，企業主管通常都不知道，而且

毫無警覺，反而是擁有公司最高的主機與資訊系統的權限的資訊系統管理人員得

知而且他們還可以執行以及操作企業主管都不會但卻攸關企業營運的敏感資

訊。難道是企業主不願意編列資安預算，毫無風險概念？還是因為資訊單位主管

針對資訊安全的風險沒有善盡告知之責？還是媒體未儘宣導資訊安全事件之

責？這些可能都是原因，但若企業內部沒有進行資訊安全的風險評估，沒有進

行教育訓練或相關的成本分析，企業主如何了解資訊安全對企業營運及永續經

營的重要性？ 3.4.2 掌握風險及其衝擊才能做出正確管理：

以企業組織熟悉的保險行為而論，大家為何願意保險？因為每個人都有一把自我

可以承受的風險標尺，知道要投入多少成本才可符合當事者的成本效益分析標

準；但若當事者的認知不足，所謂的成本效益將會有很大的落差。狀況 1：目前保險公司已有開辦「忠誠險」，但其保額與投保單位本身內部風險評估與管理的良窳與否有很大的關連。須知，保險是一種移轉風險的管理程序，如

果投保單位內部控制不良，没有採取身家調查、人事輪調、責任分工及其他相關

的稽核機制等措施，則保險公司當然會限制其投保金額，要不然就是會請投保單

位改善，甚至調高保費或不願承保者也時有所聞！狀況 2：台北市某銀行的大直分行，在半年內被搶劫兩次，警方調查後發現，在第一次搶案發生後，就已建議業者於安全防護上應加強改進之處仍未改善，以致

搶匪仍用相同的方法得手!!這時各位如果是保險公司的代表，是否還會承保呢？



Page:17 of 25

由於執行風險評估亦須先執行資訊資產識別；而目前多數企業對於資訊資產的價

值幾乎完全沒有概念，也沒有針對資訊資產進行盤點、分類與鑑價，所以完全不

知所以然或者人云亦云的規劃資安設備，如同瞎子摸象的胡亂投醫，僅求一個「心安」。而資訊資產如果沒有清查，便不知需要被保護的資產對象在哪裡？是

否有遺漏與疏忽？資產如果沒有分類，便不清楚哪些資產的價值與重要性最

高？需要特別的保護，採取「降低」或者「轉移」風險？另外，有些資產雖有風

險，但是因為價值風險不高，在資源有限狀況下，其風險可以被「接受」。這個

道理如同產險一樣，價值越高的不動產其保費較高，立論簡單也合理，但是在資

訊安全的領域，企業卻不知要如何進行？

3.4.3 目前面臨的困難點：許多高階主管沒有資訊安全風險的危機意識，仍將資安工作交由資訊部門人員主

導，進而影響資訊安全的資源投入（預算、組織運作、資安人才）有限，惡性循

環的結果使得資訊人員無法獨自或者運用組織力量完成資訊資產的盤點、分類與

鑑價，進而無法提出資訊安全的成本效益分析來善盡告知責任讓企業主充分了解

資安與企業營運的重要相關性。

另外，國內資訊安全人才欠缺安善的培訓，部門內也無專業與專職的資安人才，

資訊系統相關的維護廠商也非資安專業人材，國內資安廠商林林總總，參差不

齊，如何選擇合適的資訊安全諮詢顧問？

4 各種資訊風險評估作業程序之比較與建議 4.1 BS7799

4.1.1 BS7799 標準可分為兩個部份，第一部份為 BS7799-1“資訊安全管理之作業要點(Information technology-Code of practice for information security management)”，第二部份為 BS7799-2“資訊安全管理系統規範(Information security management systems-Specification with guidance for use)”，英國標準協會(BSI)於 1993年成立工作小組討論資訊安全管理系統規範及資訊安全管理之作業要點，並己經過了多

次的改版，BS7799-1 第一部份在 2000 年由 ISO 組織投票通過成為 ISO／IEC 17799：2000，目前第一部份 ISO／IEC 17799：2000(中華民國標準編號為 CNS 17799)及第二部份 BS7799-2：2002(中華民國標準編號為 CNS 17800)為目前最新發行的版本。

4.1.2 第一部份的內容提供了標準的使用者由各行各業討論後所提出的可行方案，內容

非常值得參考，但是第一部份的標準並無法用來驗證。第二部份的內容簡要的提

出資訊安全系統執行時需考慮的要點，同時這也是可用來驗證的標準。 4.1.3 BS7799-2鼓勵採用過程導向以建立、實施、操作、監督、維持及改進組織資訊安

全管理系統之有效性。組織必須鑑別、管理許多活動方能有效運作。使用資源與

管理而促成輸入轉換為輸出之一項活動，可視為一個過程。通常一個過程之輸出

可直接地成為下一個過程之輸入。資訊安全系統和 ISO9001：2000年版一致地採用”計劃-執行-檢查-行動”(Plan-Do-Check-Act，PDCA)之模式，應用於所有資訊安



Page:18 of 25

全管理系統過程。請參照圖 1所展示資訊安全管理系統如何採納資訊安全要求之輸入及利害關係團體之期望作為輸入端，經由各必要措施及過程，產生符合所需

要求及期望的資訊安全輸出結果。 4.1.4 BS7799包含了所有面向的最先進企業安全政策，從安全政策的擬定、安全責任的

歸屬、風險的評估、到定義與強化安全參數及存取控制，甚至是防毒的策略。

BS7799 風險評估技術適用於整個組織、或者組織的某一部分以及獨立的資訊系

統、特定系統元件或服務等，進行風險評估需要系統化考量以下問題： 4.1.5 依據 BS7799 風險評估方法論，風險存在於企業所有處理程序中，與競爭環境、

法令符合性、保護 IT 系統的使用及其相關的企業活動、確保企業重要資訊的可

靠性與有效性、及詐欺有關，所以風險與組織政策及策略直接相關，如擴充、企

業再造，緊急投資、開發新產品及服務、經營加值服務或改變供應鏈管理等。 4.1.6 BS7799 風險評估方法論是一個企業處理方法，其目的是為了建立 ISMS（資訊安

全管理系統）之範圍、差異分析、風險評估項目及程序；評估風險步驟含：識別

ISMS資產、資產的價值、弱點及威脅，評估資產、弱點與威脅時可能產生的衝擊

及風險分析，如圖 3。

4.2 COBIT 4.2.1 背景：COBIT全名為(Control OBjectives for Information and related Technology)，

係由美國資訊系統稽核與控制協會 (Information Systems Audit and Control Association，簡稱 ISACA)所發展的一套實用之資訊系統稽核與控制標準。COBIT目前最新的版本為第三版，將資訊技術控管與營運目標緊密聯結，提供了一個涵

蓋階段及作業程序的實際架構，及對細部工作的可行性和邏輯性的結構。在今日

極度競爭和快速變遷的市場，許多企業的管理階層對資訊傳送的功能要求越來越

多：更好的品質、功能和操作介面與更佳的服務品質－而這一切都希望可以用更

低的成本達成。然而，成功的企業必須承認，在享受資訊技術所產生的潛在利

益之餘，亦須能了解並管理新科技伴隨而來的風險。 4.2.2 資訊技術和其操作環境的多項變更突顯了對資訊相關技術風險管理的需求，因為

重要的業務程序維持依賴於電子資訊和資訊技術系統的正常運作；同時也因層出

不窮的資訊系統災害和電子詐欺而顯得法令規範對資訊控管上更加重要且日益

嚴格。因此，現今資訊相關技術風險管理應被視為企業管理的一項重點。 4.2.3 而 COBIT是針對營運目標製訂的，其控制目標與營運目標緊密結合以供非稽核

者亦可使用。控制目標係以作業程序為主的方式，配合企業再造的原則，於特定

之階段及作業程序，提供高層的控制目標，並提供定義及實行資訊技術控管的指

導原則，目前有二種主要的內部控制模式，一是美國貿易支援組織委員會(COSO)的「整體營運控制模式」以及英國貿工部(DTI)的「專注於資訊技術控管模式」。COBIT參考此二種內部控制模式並將其聯結，因此，COBIT的角色較像為管理的高層準則，而非只是系統管理的技術標準。



Page:19 of 25

4.2.4 管理階層應該建立系統化的風險評估架構。這種架構應該將相關風險的規律評估納入業務目標的成就，構成一種決定如何管理到一個可接受程度的基礎。管理階

層應該引導風險減輕解決辦法的確認及涉及確認的弱點，防護專家應該引導威脅

確認，同時資訊專家應該驅使控制篩選。應該藉由結構化的方法及熟練的風險評

估員，來確認風險評估的品質。 4.2.5 風險評估方法應該集中於風險基本要素的調查及介於它們之間的因果關係。風險

的基本要素包括有形的及無形的資產、資產價值、威脅、弱點、安全設備、威脅

的後果與可能性。風險的確認程序應該包括定性，以及在適當的地方，定量的風

險等級，並應該從管理階層的腦力激盪、策略性規則、過去的稽核與其他的評估

而獲得。風險的評估應該考量業務、管制、法定、技術、貿易伙伴及人力資源的

風險。COBIT的運作架構如圖 4。

圖 4: COBIT 運作架構（資料來源：COBIT 3.0）

4.3 NIST

4.3.1 NIST全名為 National Institute of Standards and Technology，成立於 1901年，

為美國貿易部科技管理聯邦機構，NIST 任務為發展與促成評估、標準及技術，以提高生產力、促進貿易及改善生活品質。為了符合 NIST任務目標，有下列四項合作計畫：

營運活動

1資料 2應用系統 3技術 4設施 5人員

資訊

AI1確認解決方案 AI2應用軟體的獲得與維護 AI3技術架構的獲得與維護 AI4開發與維護資訊程序 AI5安裝及認証系統 AI6變更管理

取得與建置

DS1定義服務層次 DS2外包服務管理 DS3績效及容量管理 DS4確保持續服務 DS5確保系統安全 DS6分析與歸屬成本 DS7使用人員的教育及訓練 DS8客戶支援及咨詢 DS9裝備管理 DS10問題及意外處理 DS11資料管理 DS12設施管理 DS13操作管理

交付與支援

P01擬定策略與規劃 P02擬定資訊結構 P03決定技術導向 P04釐定組織及其關係 P05專案之投資管理 P06溝通管理的目標與方向 P07人力支援管理 P08確保符合外部需求 P09風險評估 P10專案管理 P11品質管理

規劃與組織

M1作業流程之監控 M2評鑑內部控制的允當性 M3是否有獨立的品質保證 M4稽核獨立

監控

COBIT

1效能 2效率 3機密 4真確 5可用 6遵行 7可靠

資訊



Page:20 of 25

A. NIST實驗室：指導研發國家科技基礎建設，為美國產業界提供相關評估、標準、產品與服務。

B. Baldrige 國內品質計畫：促進美國國內製造業、服務公司、教育機構、健康管理業者最佳績效，指導計畫及管理年度Malcolm Baldrige國家品質獎，以辨識最佳績效與品質成就。

C. 大量擴充夥伴：全國性區域網路中心，對較小規模製造業者提供技術及企業協助。

D. 高階科技計畫：用以加快創新技術之發展，且為了開通國家利益，與區域夥伴以共同基金方式研發。

4.3.2 NIST ITSO（Information Technology Security Office）負責NIST資訊安全技術

議題，其功能係為 NIST的管理及科學環境，建置及測試資訊安全政策、程序及技術。ITSO也投資於電腦安全部門，報導安全事件或討論與 NIST有關之 IT話題。

依據 1987年的電腦安全法令，IT實驗室電腦安全部門負責為敏感性聯邦資訊系

統及產業工作，發展安全標準及指引來幫助改善商業資訊科技產品，這個部門的

重要工作在於密碼標準及應用、技術安全、安全管理及安全測試。所以，ITSO的

好處來自於可接近領域重要專家，而電腦安全部門的好處在於有個可實行研發指

引的環境及貢獻它的操作經驗。

4.3.3 NIST風險評估方法論（Risk Assessment Methodology），將資訊系統風險評估

次序性的分成 9個步驟，如圖 5說明如下： A. 系統描述：以硬體、軟體、系統介面、資料與資訊、人員及系統任務為輸入項目，而產出系統範圍、系統功能、系統與資料之重要性及敏感性。

B. 威脅識別：以系統攻擊記錄、資訊機構如 NIPC，OIG 的資料為輸入，而產出

威脅列表。 C. 弱點識別：以上次風險評估報告、任何稽核評語、安全需求及安全測試結果作為輸入，產出潛在弱點列表。

D. 控制分析：以現行及未來計劃之控制機制為輸入，產出現行及未來計畫控制機制之列表。

E. 決定可能性：以威脅動機、威脅能力、弱點本質及現行控制機制為輸入，產生可能性等級。

F. 衝擊分析：依完整性、可用性及機密性之破壞面，分別以衝擊分析任務、重要資產評估、資料的重要性及敏感性為輸入，產出衝擊等級。

G. 決定風險：以採掘威脅的可能性、衝擊的大小及現行或未來適當的控制機制為輸入，產出風險及其相關層級。

H. 控制建議：產出建議的控制機制。 I. 產生文件：產出風險評估報告。

A. 系統描述硬體、軟體、系統介

面、資料與資訊、人

員及系統任務

系統範圍、系統功

能、系統與資料之重

要性及敏感性



Page:21 of 25

圖 5 資訊系統風險評估方法論（資料來源：NIST）

4.4 適用性說明：

4.4.1 實際上有很多種方法被用來評估風險，評分系統是其中一種決定優先順序有用的方法，這種評分方法是根據技術的複雜性。控制程序的使用程度，及財務損失等

變數作為風險因素來進行評估，以上這些變數不一定可以直接衡量，利用這些風

險值互相比較來決定執行風險管理的工作時間表。另一風險評估方法是運用判

斷，使用這種方法所作的決策通常根據高階主管的指示、過去的認知、業務的變

化等。讀者應根據各人所處環境的不同，以及主客觀條件的不同等因素，選擇

B. 威脅識別

C. 弱點識別

D. 控制分析

E. 決定可能性

F. 衝擊分析完整性破壞、可用性

破壞、機密性破壞

G. 決定風險

H. 控制建議

I. 產生文件

系統攻擊記錄、

資訊機構

威脅列表

上次風險評估報告、任何

稽核評語、安全需求及安

全測試結果

衝擊等級

風險及其相關層級

建議控制機制

可能性等級

潛在弱點列表

威脅動機、威脅能

力、弱點本質及現

行控制機制

現行及未來計劃

之控制機制

現行及未來計畫

控制機制列表

衝擊分析任務、重要

資產評估、資料的重

要性及敏感性

採掘威脅的可能性、

衝擊的大小及現行或

未來適當的控制機制

風險評估報告



Page:22 of 25

適合自己組織的風險評估方法與資訊安全管理系統的建置程序。 4.4.2 表 1即針對本章所提之三種資訊安全標準，整理其異同之處如下：

資訊安全標準

規範

BS7799 COBIT NIST

發展國家英國美國美國

服務對象各產業界各產業界，大多為會計

師事務所。

各產業界

發展目的提供管理要項、控制目

標及方法，確保資訊之

機密、完整及可用性。

1管理、控制與資訊：

各項作業程序及控管

目標 2相關技術稽核：

以成本為考量並提供

內部稽核指引。

促進評估、標準及技

術，以增加生產力、

促進貿易及提升生

活品質。

資訊安全目標機密性、完整性、可用

性

強調資訊的效能、效

率、機密、真確、可用、

遵行與可靠。

針對資訊系統之機

密性、完整性、可用

性

控制項目 10個管理要項、36個

控制目標、127個控制

項目。

4大階段、34個高階控

制目標、318個細部控

制目標。

9個步驟

資訊資源分類資訊資產、軟體資產、

物質資產及服務。

資料、應用系統、技

術、設施及人員。

硬體、軟體、系統介

面、資料與資訊、人

員及系統任務。

風險評估 1評估資訊安全漏洞對

資訊設備帶來的威脅

和影響及其發生的可

能性。

2對資產價值/威脅/弱

點列舉相關項目、提供

風險評估系統化考量

因素（R=AVT）。

1由管理階層的腦力激

盪、策略性規則、過去

的稽核與其他的評估

進行。

2以受調查區域暴露於

風險定量及或定性的

測量。

以發生威脅的可能

性等級（P值）、衝擊

等級（I值：完整性、

可用性及機密性破

壞）決定風險

（R=PI）。

風險管理以可接受的成本，確

認、控制、排除可能影

響資訊系統的安全風

險或將其危害最小化。

1實施保護與控制的成

本效益分析，確保殘餘

風險的正式納入。

2提供資訊管理成熟模

式，建立對風險的評

估、監督及控制之機

制。

系統威脅、弱點識

別，控制及衝擊分

析，建議控制並產生

評估文件。

是否成為 ISO標準

Part1部分(ISO 17799)

無無



Page:23 of 25

表 1：相關資訊安全管理標準比較分析

5 結論

5.1 强化風險管理與應變能力。當企業資訊之運用、環境或目標更迭，則需配合適當評估政策或管理程序的調整，以

及技術平台之調整。目前歐美先進國家的資訊安全風險管理已不僅限於安全技術與管

理，而強化其電腦安全事變的因應與掌握能力，因此所謂的「事變因應機制(Incident

Handling)」便應運而生。

然而，良善完備的事變因應，建構在不斷地稽核、監控與對法令的嫻熟程度。所以

各組織體系針對資訊安全風險的終極目標，除了資訊安全管理體系的建立之外，基於

「沒有 100%安全」的認知，如何建立「事變因應機制(Incident Handling)」，於資訊安

全事件發生後，藉由風險轉嫁或大幅降低其影響層次，將是最後一道保護門檻。由於

資訊安全管理的成功，可促成組織、管理、技術的三贏，因此，面對漸趨開放的資訊

應用環境，資訊安全管理的導入實為不可或缺的決策思考。 5.2 持續不斷的教育訓練。

資訊安全管理其實所牽涉的範圍十分廣泛，不像一般人所認為的只是和電腦

網路系統相關的方面，它涵蓋的範圍從單純防火牆設定，到複雜的人員管

理，可以說任何大小事都會有安全層面上的考量。舉個簡單的例子來說明：

父母都會很自然地告訴自己的小孩，不可以把家中的鑰匙交給陌生人或和別

人共用，因為這樣壞人會進到家中，是很危險的。同樣的我們所期待的資訊

安全也是這樣的觀念，如果有一天大家都很自然地對自己的密碼或認證的資

訊非常重視，並好好保管，不會輕易和別人分享或採用簡單易猜的密碼，那

時候就是我們所謂真正的資訊安全時代，而其有效的作法就是要正確地將資

訊安全觀念根深蒂固地傳達到每個人的心中，並隨時依現實狀況讓同仁們

加強觀念。 5.3 重新思考資訊安全資源之合理分配。

現實的狀況是，資訊安全一般仍然被視為是資訊人員的責任，但是資訊人員

是否有足夠的預算及支援？一個有趣的問題是公司究竟在資訊安全上投資

多少資源？在國內大概是佔資訊預算的 5%，而且大部份是買資訊安全之軟、硬體，要以有限的預算去保護公司最有價值的資產，恐怕不易。同時我

們發現到，許多經營管理當局者未能將資訊安全管理納入整體管理系統

中，反而在網路安全防範上則投資相當之金額以防範外部入侵威脅，這些

就以往發生之重大資安事件來看，損失金額並不大；相對的，內部人員之舞

弊或資訊錯誤中斷造成營運受到影響，恐怕損失更多。因此，資訊安全資源

之分配是否正確，值得深思。 5.4 高階管理層級要正視風險。

我們重新檢視一下資訊安全的目的，其實不難瞭解其對組織營運之重要性，

包括確保各項交易具有可被信賴之品質；建立系統遭攻擊可以應付的能力、

格式化: 項目符號及編號



Page:24 of 25

避免系統中斷、機密資料被誤用等。問題是這些風險是否有被充分反映給高

階管埋層級？對大部份的管埋層級而言，資訊控制或安全管理並不經常被

列列為重要議題來做討論；反之，企業是否要導入 ERP 系統及供應鏈系統或企業電子化，則經常在高層管理會議中可看到，但對於進行這些重大資訊

系統投資專案時，如何確保資訊系統之完整正確及可靠，則少受到注意。所

以經常看到系統在上線後發生資料錯誤，無法達成資訊導入之目標；我們也

常看到有些公司未善盡保護客戶個人電腦資料而造成商譽損失等訴訟情

事，這些都可以透過資訊安全基礎建設予以預防，也是身為資訊管理幕僚

單位人員責無旁貸之職，應提供完整的資料及具備正確的觀念以供高層管

理主管瞭解，並可做適當之判斷。

資訊安全常被認為是負面的、會阻礙發展的、是不方便的、是要花成本的、

是多餘的工作，所以就不是需要優先處理的工作，特別是在資訊人員極端精

簡且工作繁重的情況之下，資訊風險就容易被忽略了；「主管對資訊議題可

能沒有興趣，我們不要自找麻煩」；「我們有防火牆」…等；這些通常都成了

管理人員的擋箭牌。可是請不要忘了，大部分遭受重大資安事件損失之公司

均有防火牆；美國恩隆事件中，公司也有完整的內控內稽制度，其實組織文

化及人員管理很可能才是資訊安全做不好的真正原因。

5.5 避免重蹈覆轍。最後我們想要强調的是，近年來有不少有識之士一再提醒，資訊安全管理制

度的建立與認證之推廣，千萬不要重蹈某些 ISO 證照浮濫之覆轍。而其中最重要的就是決策階層對於自身單位所面臨的風險及其判斷資訊是否足夠，當

然這其中也包括了前述幕僚單位應有責任提供正確且完整的資訊。所以這是

一項不分職級高低，需要大家共同動員的工作。而申請認證是一項值得追求

的目標，但重要的是在其準備過程中，各單位或組織是否真正從中學習到

正視風險，進而採取適當的風險管理程序，形成從上而下一致遵行的企業

文化，這才是申請認證的正確態度。

6 參考文件與標準 6.1 ISO 17799 / CNS17799 6.2 BS7799 Part 2，2002 / CNS17800 6.3 COBIT (Control Objectives of Information Technology version) 3.0 6.4 NIST (National Institute of Standards and Technology) 6.5 “CISA Review Manual”, ISACA, 2003 6.6 “Secrets and Lies”, Bruce Schneier, 2001 6.7 ”建立我國資通安全教育訓練中程計畫”，國家資通安全會報綜合業務組，91年 6.8 “線上犯罪氾濫，網路警察出列”，林宜隆，資安人雜誌創刊號，92年 3月。 6.9 “資通安全鑑識之挑戰與回應”，林宜隆，資安人雜誌第 2期，92年 5月。 6.10 “電腦稽核與資訊安全管理”，黃淙澤，資訊安全雜誌，92年 5月。 6.11 “成功導入資安管理關鍵要素”，萬糼筠，資安人雜誌創刊號，92年 3月。 6.12 “電信業資安管理精義”，徐子文，資安人雜誌創刊號，92年 3月。 6.13 “洞悉破窗效應，企業安全加分”，徐子文，資安人雜誌第 2期，92年 5月。



Page:25 of 25

6.14 “管理面與技術面孰輕孰重？”，吳佳翰、陳怡良，資安人雜誌創刊號，92年 3月。 6.15 ”ISMS的省思”，陳旭東，寛華網路電子報第 40期，92年 3月。

三、作者簡介：

1. 林宜隆博士中央警察大學資訊管理系暨研究所專任教授中華民國電腦稽核協會常務理事兼編譯出版委員會主任委員

2. 黃淙澤先生前中華民國電腦稽核協會秘書長現任中華民國電腦稽核協會理事兼教育訓練委員遠傳電信企業安全部專案經理



資訊安全管理制度風險評估手冊 目...

Documents

資訊安全管理制度風險評估手冊目...