資訊安全風險管理 (ISO/IEC FDIS

27005) 議題初探
ISO/IEC JTC 1/SC 27
Information technology – Security techniques

堅實我國資訊安全管理系統稽核作業相關標準系列討
論會之 25 ～標準化與標準之 6 ：
中華民國 97 年 3 月 31 日

報告人：劉興華 博士

Hivocal Technologies Inc.

davidliu@hivocal.com.tw

1
制訂單位資訊
制訂單位：
ISO/IEC JTC 1, Information technology, Subcommittee SC27,
Security techniques.
ISO: International Organization for Standardization
國際標準化組織
IEC: International Electrotechnical Committee
國際電工委員會
JTC: Joint Technical Committee
SC: SubCommittee
WG: Working Group

2
Content of the ISMS Standards
Foundations (ISO/IEC 27001):
 Establishing, implementing, operating,
maintaining and improving an ISMS
 Documentation requirements
 Management responsibilities
 Internal audits and management reviews

ISO/IEC 27000 - ISMS fundamentals and vocabulary

ISO/IEC 27002 - Code of practice for information security
management (controls) (ISO/IEC 17799 )
ISO/IEC 27003 - ISMS implementation Guide
ISO/IEC 27004 – Measurement and metrics
ISO/IEC 27005 – Risk management (2007/11)
ISO/IEC 27006 – Requirements for the accreditation of bodies
providing certification of ISMS (under development)

3
Background
Continual process
Risk management analysis what can be happen and what the
possible consequences can be, before deciding what should be
done and when, to reduce the risk to an acceptance level.

Based on ISMS 之標的在於：

「確保資訊資源之合法存取，在所有可能遭受資訊攻擊的階段，
提供完整、未中斷之資訊系統運作」 。

4
資訊安全風險管理 (ISO 27005) 的貢獻如下
風險是可被辨識的。
根據企業風險發生的可能機率與導致結果設定風險的
評估的標的。
以上的風險發生可能性與導致結果是可以溝通與被了
解的。
建立風險處理的優先處理次序。
企業經營者參予風險管理決策制定並且持續關注。
建立有效率的監督與檢視風險處理的制度。
風險與風險管理過程是被檢視與規律的檢查。
新的資訊被擷取作為精進風險管理的方法。
管理者與員工要被訓練有關於風險與發生後的行動。

5
ISO/IEC 27005 架構
建立全景 (Context establishment)
風險評估 (Risk Assessment)
風險處理 (Risk treatment)
風險接受 (Risk acceptance)
風險溝通 (Risk communication)
風險監視與審查 (Risk monitoring and
review )

6
ISO/IEC 27005 與 18045 之風險管理過
程

建立全景(Establish Context)

風險評鑑
風險分析
風險辨識
風
風險估計 險
風
險 監
溝 視
與
通 風險評估 審
查
否
風險評鑑是否合意決策 是
點
風險處理
否
風險承受決策點
是
風險承受

7
Alignment of ISMS and Information Security Risk
Management Process

ISMS Process Information Security Risk Management Process

計畫 建立全景
( 建立 ISMS) 風險評估
風險處理計畫
風險承受點。
執行 風險處理計畫實施
( 實作與操作 ISMS
）
檢查 持續監測控制與觀測風險
( 監控與審查 ISMS
）

行動 維持與持續改進資訊安全風險管理過程。
( 維護與改進 ISMS
）
8
ISO/IEC 27005 標準的內容陳述架構

 Input 輸入資訊
 Action 行動與作為
 Implementation guidance 實施指導
 Output 輸出

9
7. 建立全景 Context establishment (ISO/IEC 27005)
7.1 基本認知 ：
輸入資訊 (Input)
建立所有與組織相關的資訊風險管理的全景 (context 背景 ) 資訊
行動 (Action)
全景的建立必須要設定組織對資安風險管理必須的 1. 基本準則
(Basic Criteria) 、精確的定義風險管理 2. 範圍 (scope) 與範疇
(boundaries) ，最後建置出適合 3. 組織運作的風險管理機制。
實施指導 (Implementation guidance)
持續支援 ISMS
合法的文件與契約規範來支持
公司永續經營計畫準備
災害回應計畫的準備
詳述關於企業資產包括，產品、服務或機制的資訊安全需求
輸出 (Output) Specification
詳細定義出包括 : 基本準則、範圍與範疇，及組織對資訊安全
風險管理的過程的規範與規格。
10
7. 建立全景 Context establishment (ISO/IEC 27005)
7.2 基本準則 ：
可選擇適當的風險管理作為或是發展出基本準則如：
- 風險評估準則
- 企業資訊處理對組織的策略價值
- 重要資訊資產納入
- 合法與監管的需求，及合約履行的義務
- 企業運作時的可用性、機敏性、與真確性
- 經營者的期待與認知，以及期望與聲譽的負面評價預估
- 衝擊準則
- 被衝擊影響資訊資產的分類程度
- 破壞與違害資訊安全 (loss of confidentiality, Integrity and avalibilities)
- 運作上的受損 (internal and third party)
- 企業財務價值的損失
- 計畫的毀損與期限 基本準則額外要注意哪些重要資源是否
- 聲譽的危害 能夠
- 破壞合法、監管與合同的需求
- 風險接受準則 執行風險評估與建立風險處理計畫
- 企業準則 定義與實施政策與程序，包括被選定的相關
- 合法與監管方面 控制實施措施
- 企業運作 監督控制 11
- 財務狀況 監督資訊安全風險管理過程
7. 建立全景 Context establishment (ISO/IEC 2700
5)

7.3 範圍與範疇 ：
企業根據以下資訊，來定義風險管理的範圍與範疇 :
- 企業的目標與組織策略，佈局與政策
-經營手段與程序
-組織要有足夠的合法、監管與合同需求
-組織的功能與架構
-組織達成風險管理的所有方式
-資訊資產
-組織所在地理位置與環境
-影響組織運作的因素
-經營者的期待
-社經與文化環境
-資訊交換環境的介面 12
7. 建立全景 Context establishment (ISO/IEC 2700
5)

7.4 ：組織的資訊安全風險管理
組織必須持續的關注與維持資訊安全風險管理的責任：
- 發展出適合於組織的資訊安全風險管理作為。
- 對公司經營者的風險識別與分析。
- 定義組織內外所有參與成員的角色與責任。
- 建立起組織與經營者的必要的關係，及其與組織的高
階風險管理功能介面 (operational risk management) 。
- 定義出每一個層次的決策路徑。
- Specification of records to be kept

13
8. 風險評鑑 Information security risk assessment
(ISO/IEC 27005)

8.1 資訊安全風險評估的一般描述：
- 輸入 (Input)
- 基本準則、範圍與範疇，以及組織內資訊安全風險管理過程
建立。
-行動 (Action)
- 風險須被識別、量化與質化的描述，對影響組織風險評估與
目標相關項目的優先次序。
-實施指導 (Implementation guidance)
- 風險分析
- 風險辨識
- 風險預估
- 風險評估
- 輸出 (Output)
- 根據風險評估準則條列出資產風險的優先次序。

14
8. 風險評估 Information security risk assessment
(ISO/IEC 27005)

8.2 風險分析
- 8.2.1 風險識別(Risk Identification)
- 風險辨識目的是要決定重要的損失是如何發生 ? 以及檢視這些損
失在哪 ? 及何時發生等因素，並實施必要的防護的程序。
- 8.2.1.2 資產辨識
- 輸入 (Input): 條列出資產的擁有者、資產位置與功能等資訊；
對風險評估進行範圍與範疇分類。
- 行動 (Action): 根據上述定義範圍的資產要被識別出。
- 實施指導 (Implementation guidance)
- 根據足夠的風險管理資訊提供下來執行資產辨識，每一個資
產擁有者的資產都要被辨認；每個資產必須有負責人並且提供
可被計算資產。資訊系統資產不僅只包含軟體及硬體。
- 輸出 (Output): 條列出被風險管理的資產，並且記載企業運作
時與這些資產相關事項。

15
8. 風險評估 Information security risk assessment
(ISO/IEC 27005)
8.2.1.3 威脅辨識
 輸入 : 威脅的資訊要從定期檢視突發事件、資產擁有者，使用者及其他來源，也必須包括
外部威脅的條列。
 行動 : 威脅與其來源必須被確認。
 實施指導 : Threat should be identified generically and by type (unauthorized actions,
physical damage, technical failures) ； used risk catalogues, results of earlier treat
assessment for change controlled.
 輸出 : 條列出威脅清單，威脅來自的形式與來源
8.2.1.4 既有控制體系的辨識
 輸入：控制計畫的文件、風險處置實施計劃
 行動：確認現有且已計畫好的控制措施
 實施指導：主要是避免製造不必要的工作與成本；控制計畫的實施要與風險處理計劃同
等考量，另外，既有作業控制計畫也必須審視其效率、其缺失與不公正之處，並加以改
善。
 持續檢視風險處置實施計劃，並且確認這些文件內容被記載的事項是可被執行的。
 持續檢查負責資訊安全的主管權責，是否確實按規定實施。
 現場檢視實體控制作業，與紙上作業比較確認，包含效率、項目、作法正確性等。
 反覆確認內部稽核的結果。
 輸出：條列出所有現存與既有的控制計畫，實施方式與可使用狀態。

16
 8. 風險評估 Information security risk assessment
(ISO/IEC 27005)
 8.2.1.5 脆弱點識別確認
 輸入：條列出以知之威脅、以及資產與既有控制機制。
 行動：必須確認任何因脆弱點暴露引起造成資產的威脅傷害。
 實施指導 : Vulnerabilities may be identified in following areas
 組織內部、處理過程與程序、例行的管理、個人行為、實體環境、資訊系統
的組態設定、軟硬體及通訊裝備。
 輸出：條列出與資產相關的弱點評估、威脅與控制機制；以及與威脅
不相關的脆弱點條列。
 8.2.1.6 結果推論
 輸入：條列出資產與企業運作程序，以及其可能遭受威脅與脆弱點。
 行動：要確認與辨識對於影響到資產機敏性、真確性與可用性的推論結果。
 實施指導：實施此動作是要確認組織因意外情境 (treat exploiting a certain
vulnerabilities) 危害所產生的負面結論。
 Investigation & repair time
 (Work) time lost
 Opportunity lost
 Health and Safety
 Financial cost of specific skills to repair the damage
 Image reputation and goodwill

 輸出：條列出發生意外情境下時，關連到資產與企業運作的推論結果

17
8. 風險評估 Information security risk assessment
(ISO/IEC 27005)
8.2.2 風險估計：
8.2.2.1 風險估計方法論
 量化評估法則
 使用量度尺標，針對重要的推論區分為低、中、
高評等，及這些推論可能發生的機率。
 質化評價法則
 使用數值法則定義推論結果與發生機率，此方
法依賴正確與完整的數值資料做為分析依據，數
值的來源來自影響組織資產與運作意外事件的歷
史資料 。

18
8. 風險評估 Information security risk assessment
(ISO/IEC 27005)

8.2.2.2 推論結果評估
 輸入：
 條列與識別出意外相關的情境，包括威脅、脆弱點與被影響的資產與對
資產與企業運作的推論結果。
 行動：
 能評估出對於組織內資訊安全意外事件導致企業造成衝擊，這些行為包
括影響到資產機敏性、真確性與可用性等推論。
 實施指導：
 資產的評價一開始必須做到資產根據重要性加以分類，這些重要性是能
夠幫助企業實現目標。
 資產價值的替換：回復資產所必需的代價付出
 企業因資產損壞與破壞 ( 因洩露、不當修改與資訊破壞情況 ) 造成的損失
推論結果。
 輸出 :
 根據資產與衝擊準則，條列出事件情境推論結果。

19
8. 風險評估 Information security risk assessment
(ISO/IEC 27005)

8.2.2.3 發生事件機率評估
輸入 :
條列出與事件情境相關的包括威脅的識別、受影響的資產、脆
弱點對於企業運作與資產的推論結果。也包括列出所有既有的
控制計畫、及其計畫執行的影響力與使用中的實施狀態。
行動 : 可被評估的事件情境機率
實施指導 : 必須計算威脅發生的次數與脆弱點的破壞影響
對於威脅的機率要有足夠的經驗與資訊統計能力；
仔細考慮威脅來源 : 威脅的動機與能力，由於隨著時間改變，
組織有足夠資源應付這些攻擊；
對於遭受威脅的事件來源 : 地理區域因素，尤其天候極度異常
地區，對於人為操作與設備運作造成嚴峻考驗；
即有的控制機制設法更有效率的減低系統的脆弱度；
輸出 : 事件情境發生機率的質化與量化。

20
8. 風險評估 Information security risk assessment (ISO/IEC
27005)

8.3 風險評估
輸入 : 條列出風險值的量化指標及風險評量的準則
行動 : 要根據風險估計與風險接受準則設計風險量化指標
實施指導 :
Information Security properties: if one criterion is not
relevant for the organization, then all risks impacting this
criterion may not be relevant
The importance of the business process or activity supported
by a particular asset or set of assets: if the process determined to
be low importance risks associated with it should be given a lower
consideration
輸出 : 根據與事件情境相關的風險評估準則條列出風險優先次序

21
 風險評估結果 風險處理活動

評鑑合意點
Risk decision point 1

風險處理選擇

降低風險 風險保留 風險避免 風險轉移

殘餘風險

Risk decision point 2

處理合意點
22
9. 風險處理 Information security risk treatment (ISO/IEC 2700
5)

9.1 一般描述 (General description of risk treatment)

- 輸入 :
- 根據與事件情境相關而導致風險發生給予風險評
估準則的優先順序
-行動 :
- 選擇使用控制手段來降低、維持、避免或轉移風
險等作為必須被清楚定義
實施指導 :
The risk treatment activity (four criterion) 。
- 輸出 :
- 風險處理計畫與被組織決策所接受的殘餘風險。

23
9. 風險處理 Information security risk treatment
(ISO/IEC 27005)

9.2 降低風險
 作為 :
 經由被選擇的控制機制來降低風險，一直到殘餘風險被接
受。
 實施指導 :
 必須考量控制項目的限制，包括時間、財務、技術、操
作、文化、道德、環境等等。
9.3 風險保留
 作為 :
 根據風險評估準則，做出保留的風險決策
 實施指導 :
 經由以上步驟使得保留的風險程度被接受，而且不需增加
任何控制資源。

24
9. 風險處理 Information security risk treatment
(ISO/IEC 27005)

9.4 風險避免
 作為 :
 組織內活動或狀況引起風險異常昇高狀況，宜避免。
 實施指導 :
 如果確認處理風險的價值過高，超出預算，必須改變或調整控制
作為
9.5 風險移轉
 作為 :
 根據風險評估結論，風險應移轉到能更有效率處理的部門實施。
 實施指導 :
 移轉過程會牽涉組織外的夥伴，造成極有風險控制機制的改變可
能會引起其他風險，因此必須考量特殊情況下的風險處置。
 納入保險機制，或是與夥伴間簽訂保障合約，請求發生風險失控
時的支援。

25
10. 風險接受 Information security risk acceptance (ISO/IEC
27005)

輸入 :
針對組織管理者決策接受的風險處置計畫與殘留風險評估
作為 :
作出的決策要項與決策權責必須被正式紀錄
實施指導 :
- 協助管理者經由定期檢視的文件紀錄，而承擔風險管理責任
- 風險接受準則不全然只是肯定與否定兩種決策，而是依種複雜的思
維。
- 某些情境下，殘留風險不符合組織的風險接受合意點。
- 風險所伴之利益誘人
- 殘留風險的降低成本過高
輸出 :
- A list of accepted risk with justification( 證明為正當 ) for those
that do not meet the organization’s normal risk acceptance
criteria
26
11. 風險溝通 Information security risk communication
(ISO/IEC 27005)

輸入：所有來自於組織的風險管理活動的風險資訊。
作為：組織中的決策者與經營管理者之間，風險相關的資訊於可以被
交換與分享。
實施指導：
To provide assurance of the outcome of the organization’s
risk management
To collect risk information
To share the results from the risk assessment and present the
risk treatment plan.
To support decision-making
To obtain new information security knowledge
To improve awareness
輸出：持續的關注與瞭解組織所進行的風險管理作為與結果

27
12. 風險監視與審查 Information security risk monitoring and
review (ISO/IEC 27005)

輸入：
所有來自於風險管理活動的風險訊息。
作為：
在組織周遭環境異動的早期階段，風險與其因素，包括資產價值、
威脅衝擊、脆弱點與發生機率必須被定時的監視審查。
實施指導 :
風險是動態的概念，會隨著外在環境變遷而更動
增加新資產必須納入風險管理控制範圍
有必要定期修正資產價值
新的於組織內外活動的威脅，可能無法評估
新脆弱點的產生會引起新的風險威脅
輸出：
持續的維持公司的風險管理機制與組織目標間的平衡運作，並遵循
風險接受準則。

28
12.2 風險監視與審查與精進 Information security risk
monitoring and reviewing and improving (ISO/IEC 27005)
輸入 :
所有來自於組織的風險管理活動的風險資訊
作為 :
資訊風險管理的過程必須持續被監督審視及必要且適當的精進
作業。
實施指導
適法性與外在環境
外在競爭環境
風險評估法則
資產價值估算與章節化
衝擊準則
風險評估準則
資源擁有者的整體成本
風險承受準則
-輸出 :
-針對組織的營運目標與過程的更動持續不斷的資訊風險管理過29
程。
結論
ISO/IEC 27005 資訊風險管理的概念是持續的處理過程。
明確的指導企業或組織如何有計畫的規律進行資訊安全風險管理
作業。
Risk management analysis what can be happen and what the
possible consequences can be, before deciding what should be
done and when, to reduce the risk to an acceptance level.

敬請指導
30