如何透過 ISMS(ISO27001) 評估資訊資產的好與壞

找出何謂資訊資產

要評估一間公司內的資訊,首先,我們必須列出所有的資訊和資訊媒介,以更精確地逐一評估他們的價值和現有的安全措施。

在 ISMS 中,我們稱一間公司裡的資訊為「資訊資產」,意指包含資訊的任何資產。如 Excel 和 Word 的檔案中便包含了資訊,而儲存這些檔案的 PC 和行動裝置就屬於資訊資產;伺服器中的數據則是另外一種形式的資訊資產。此外,包含資訊的紙張或是存放資訊的櫃子也是資訊資產。

如何評估資訊資產?

一旦我們列出所有的資訊資產後,我們必須去評估每一個資產的價值。通常在 ISMS 當中,資訊的價值是由「機密性」、「完整性」、「可用性」三個指標決定。這三個因素也常被簡稱為 CIA。

1. 機密性(Confidentiality)

「機密性」用以衡量資訊的私密程度為何。如果一個資訊是保密的,那麼應該限制能夠存取該份資料的人員。

2. 完整性(Integrity)

「完整性」用來測量資訊不應被更改的程度如何。比方說,過去的財務報表不應該被更改,因此我們可以說財務報表是具有高度完整性的資訊。

3. 可用性(Availability)

「可用性」用來評估資訊能夠被取用的程度為何。當一個系統故障時,員工們就不能再使用該系統進行作業,也無法取用資訊。因此如果系統應該隨時保持可用,我們就會說這個資訊資產需要有高度的可用性。

在 ISMS 當中,沒有一個具體的方法告訴你如何衡量這些指標。每一間公司可以自行決定該如何衡量這些資訊資產。最簡單的評定方式是計算 CIA 的各項得分,再透過相加或相乘的方式得到總分。比方說,我們依據 CIA 中的各項指標從 1 到 3 分進行評分,並將這些分數加總,那麼總分就會介於 3 到 9 分之間,因此我們便能定義總分大於 7 分者是「重要的」資訊資產。

為了維持評分標準的一致性,我們最好去定義每個數值所含的意義。例如,就機密性來說,1 分代表資訊是可以被公開檢視的,2 分代表資訊可以被所有公司內部同仁參閱,3 分則表示資訊只有公司內部的特定人士能夠存取。

衡量資產受到攻擊時的「脆弱性」

在 ISMS 中,如同衡量資訊資產的價值一般,衡量資訊資產的脆弱性同樣必不可少。為了去評估資產的脆弱性,我們必須要找出所有可能對資訊資產造成的威脅,並衡量發生頻率的高低,同時確認我們是否有足夠的安全防備措施。

最後,我們就能藉由篩選「高威脅頻率」與「低安全措施」來找出面臨高風險的資訊資產。

資訊資產的評估作業如何運作?

一旦我們評估完了資訊資產的價值與風險,我們便能篩選出有價值的資訊資產。而在這之中,如果存在蘊含高風險的資訊資產,那麼這些便是我們需要採取安全措施的資產。

假設有一間公司使用線上儲存系統 (online storage system),因為儲存系統中的資料包含了許多機密的數據,因此在機密性上的評分就會相當高。此外,若是儲存系統內的檔案遺失,必然會造成很大的麻煩,所以在完整性上的評分也會很高。最後,假如儲存在系統中的商業檔案會被頻繁地使用且也需要隨時可用的話,則資產的可用性亦會獲得高分。那麼綜合上述,我們就能總結出這個線上儲存系統是一個具有高價值的資訊資產。

而對於線上儲存系統來說,未經授權的存取 (unauthorized access) 是常見的威脅之一。近期有多起運用惡意的破解機器人 (cracking bot) 試圖駭入系統的事件,導致系統受到威脅的頻率增高。如果一間企業擁有線上儲存系統但卻沒有確保使用者的密碼是否足夠複雜,我們就能將它評估為「安全性不足的措施」。

根據上述例子我們能夠總結,若線上儲存系統的價值相當高,且遭到未經授權存取的威脅頻率也十分頻繁。而企業又沒有確保系統的使用者設定安全性足夠強的密碼,這個資訊資產便面臨了巨大的風險。該企業就能從中得出他們應該考慮增加安全措施這個結論。

WRITTEN BY