資產(chǎn)與風(fēng)險管理課件

第3章資產(chǎn)與風(fēng)險管理第3章資產(chǎn)與風(fēng)險管理1大綱何謂資訊資產(chǎn)資訊安全的潛在威脅反制對策(Countermeasures)

資訊安全與風(fēng)險管理大綱何謂資訊資產(chǎn)2何謂資訊資產(chǎn)隨著企業(yè)組織對資訊科技的依賴加深，所有內(nèi)部/外部溝通的過程都可稱為資訊資產(chǎn)隨手塗鴉工作日誌正式文件文件草稿電腦資訊任何的公開媒介正式會議何謂資訊資產(chǎn)隨著企業(yè)組織對資訊科技的依賴加深，所有內(nèi)部/外3何謂資訊資產(chǎn)社交工程(socialengineering)社交工程攻擊法是目前資訊安全管理制度(ISMS)所面臨的最大挑戰(zhàn)。熟悉社交工程者不必是電腦高手社交工程高手往往熟悉人性心理被害者往往不知道自己已經(jīng)洩密即時通訊軟體(如MSN、QQ等)為社交工程的最大幫手社交工程高手往往熟知心理學(xué)中的”社交心理學(xué)”何謂資訊資產(chǎn)社交工程(socialengineering)4資產(chǎn)與風(fēng)險管理課件5資產(chǎn)與風(fēng)險管理課件6資產(chǎn)與風(fēng)險管理課件7資訊安全的潛在威脅威脅(Threat)

任何可能造成資訊系統(tǒng)損壞的事物皆稱威脅威脅類型原因範(fàn)例自然因素大自然現(xiàn)象所造成地震、水災(zāi)系統(tǒng)本身故障網(wǎng)路不通人為因素人員疏失系統(tǒng)操作不當(dāng)系統(tǒng)維護(hù)疏失人員管理疏失蓄意破壞破壞電腦系統(tǒng)破壞硬體設(shè)備破壞軟體程式修改軟體程式未經(jīng)授權(quán)使用設(shè)備不當(dāng)使用及蒐集資料資訊安全的潛在威脅威脅(Threat)威脅類型原因範(fàn)例自然8資產(chǎn)與風(fēng)險管理課件9資訊安全的潛在威脅常見內(nèi)部人員威脅員工的操作錯誤追求刺激型的員工意識形態(tài)主導(dǎo)的員工心有不滿的員工琵琶別抱型閒雜人等型離職員工過度積極的員工資訊安全的潛在威脅常見內(nèi)部人員威脅10資訊安全的潛在威脅脆弱點(Vulnerability)又稱漏洞在一個資訊系統(tǒng)中防護(hù)最脆弱的部份，通常也就是組織內(nèi)部的系統(tǒng)安全漏洞類型原因範(fàn)例營運模式每個企業(yè)組織為求生存都會有一套自己的營運模式，而競爭對手所要做的就是找出這個模式，並從中進(jìn)行破壞竊取晶圓廠的製程實體弱點實體電腦設(shè)備可能會因為外在因素造成無法使用，其損失並不亞於電腦資訊遭竊系統(tǒng)管理不當(dāng)電腦機(jī)房淹水人員弱點由於缺乏對員工的資訊安全訓(xùn)練所致帳戶密碼過於簡單或從未更改電腦技術(shù)原先就存在於作業(yè)系統(tǒng)或應(yīng)用程式軟體中的錯誤，駭客通常經(jīng)由這些弱點對電腦進(jìn)行入侵，並進(jìn)行資料擷取、更改、或破壞的行為系統(tǒng)中未移除的預(yù)設(shè)帳號，提供了外界入侵的管道資訊安全的潛在威脅脆弱點(Vulnerability)又稱漏11資產(chǎn)與風(fēng)險管理課件12資產(chǎn)與風(fēng)險管理課件13資產(chǎn)與風(fēng)險管理課件14資產(chǎn)與風(fēng)險管理課件15資產(chǎn)與風(fēng)險管理課件16資產(chǎn)與風(fēng)險管理課件17資產(chǎn)與風(fēng)險管理課件18資產(chǎn)與風(fēng)險管理課件19資產(chǎn)與風(fēng)險管理課件20資產(chǎn)與風(fēng)險管理課件21延伸思考以同心圓放射思考，對於自己/家庭/班級(組織)而言，各自有哪些重要的資訊資產(chǎn)?為何資訊安全主要的潛在威脅來自於組織內(nèi)部人員?延伸思考以同心圓放射思考，對於自己/家庭/班級(組織)而言，22第3章資產(chǎn)與風(fēng)險管理第3章資產(chǎn)與風(fēng)險管理23大綱何謂資訊資產(chǎn)資訊安全的潛在威脅反制對策(Countermeasures)

資訊安全與風(fēng)險管理大綱何謂資訊資產(chǎn)24何謂資訊資產(chǎn)隨著企業(yè)組織對資訊科技的依賴加深，所有內(nèi)部/外部溝通的過程都可稱為資訊資產(chǎn)隨手塗鴉工作日誌正式文件文件草稿電腦資訊任何的公開媒介正式會議何謂資訊資產(chǎn)隨著企業(yè)組織對資訊科技的依賴加深，所有內(nèi)部/外25何謂資訊資產(chǎn)社交工程(socialengineering)社交工程攻擊法是目前資訊安全管理制度(ISMS)所面臨的最大挑戰(zhàn)。熟悉社交工程者不必是電腦高手社交工程高手往往熟悉人性心理被害者往往不知道自己已經(jīng)洩密即時通訊軟體(如MSN、QQ等)為社交工程的最大幫手社交工程高手往往熟知心理學(xué)中的”社交心理學(xué)”何謂資訊資產(chǎn)社交工程(socialengineering)26資產(chǎn)與風(fēng)險管理課件27資產(chǎn)與風(fēng)險管理課件28資產(chǎn)與風(fēng)險管理課件29資訊安全的潛在威脅威脅(Threat)

任何可能造成資訊系統(tǒng)損壞的事物皆稱威脅威脅類型原因範(fàn)例自然因素大自然現(xiàn)象所造成地震、水災(zāi)系統(tǒng)本身故障網(wǎng)路不通人為因素人員疏失系統(tǒng)操作不當(dāng)系統(tǒng)維護(hù)疏失人員管理疏失蓄意破壞破壞電腦系統(tǒng)破壞硬體設(shè)備破壞軟體程式修改軟體程式未經(jīng)授權(quán)使用設(shè)備不當(dāng)使用及蒐集資料資訊安全的潛在威脅威脅(Threat)威脅類型原因範(fàn)例自然30資產(chǎn)與風(fēng)險管理課件31資訊安全的潛在威脅常見內(nèi)部人員威脅員工的操作錯誤追求刺激型的員工意識形態(tài)主導(dǎo)的員工心有不滿的員工琵琶別抱型閒雜人等型離職員工過度積極的員工資訊安全的潛在威脅常見內(nèi)部人員威脅32資訊安全的潛在威脅脆弱點(Vulnerability)又稱漏洞在一個資訊系統(tǒng)中防護(hù)最脆弱的部份，通常也就是組織內(nèi)部的系統(tǒng)安全漏洞類型原因範(fàn)例營運模式每個企業(yè)組織為求生存都會有一套自己的營運模式，而競爭對手所要做的就是找出這個模式，並從中進(jìn)行破壞竊取晶圓廠的製程實體弱點實體電腦設(shè)備可能會因為外在因素造成無法使用，其損失並不亞於電腦資訊遭竊系統(tǒng)管理不當(dāng)電腦機(jī)房淹水人員弱點由於缺乏對員工的資訊安全訓(xùn)練所致帳戶密碼過於簡單或從未更改電腦技術(shù)原先就存在於作業(yè)系統(tǒng)或應(yīng)用程式軟體中的錯誤，駭客通常經(jīng)由這些弱點對電腦進(jìn)行入侵，並進(jìn)行資料擷取、更改、或破壞的行為系統(tǒng)中未移除的預(yù)設(shè)帳號，提供了外界入侵的管道資訊安全的潛在威脅脆弱點(Vulnerability)又稱漏33資產(chǎn)與風(fēng)險管理課件34資產(chǎn)與風(fēng)險管理課件35資產(chǎn)與風(fēng)險管理課件36資產(chǎn)與風(fēng)險管理課件37資產(chǎn)與風(fēng)險管理課件38資產(chǎn)與風(fēng)險管理課件39資產(chǎn)與風(fēng)險管理課件40資產(chǎn)與風(fēng)險管理課件41