Day 02
線上課程：
．ACW 資安網路學院：https://www.acwacademy.org.tw/
科目：資安管理系統概論(風險管理)
講者：魏銪志
時間：2 小時
連結：https://bit.ly/3T7MNFy
這門課的資訊量很大，老師一開始以 Zoom 為例建立關於資安管理的基本
觀念之後才是正式的管理規範，課程中有一堆標準、一堆條文、管理方針
，除了ISO27001之外還有一堆之前連聽都沒聽過的管理標準，第一次上課
還看到睡著，課程測驗中不會真的要背出所有內容但是必須清楚知道遇到
什麼事情應該要找什麼標準來進行解決方法，對於每個標準適用的地方要
能掌握。
一、由案例看資訊安全管理: Zoom事件看資訊安全管理
Zoom: 在COVID-19後大紅大紫的遠距視訊會議
◎優點：
．操作簡單：不用帳號只要受邀就可以使用。
．可跨設備：可以在電腦、平版、手機…等各式裝置使用。
．收費合理：提供基本功能需要進階功能再付費即可。
．穩定可靠
．功能有趣
◎Zoom是標準的雲端視訊會議服務商
．會議所有的參與者都會連接到視訊會議中伺服器當，視訊
加解密使用AES-128位金鑰以ECB模式運行，會議其間使用
同一把金鑰，伺服器可以知道全部的會議內容（中國有伺
服器）。
＊曾發生有心人士利用漏洞進入會議中偷聽、進行干擾行為。
◎安全風險與考量
．對於對於高機密要求者有安全考量需注意機密性、完整性、
可用性 及適法性。
＊行政院要求教育部及各級單位配合不得使用有資安疑慮的商品。
小結：
風險管理開始先以 Zoom 為例說明沒有系統是永遠無敵的，
需要有持續改善的管理機制。資訊安全強調的是一個持續
管理、持續改善的管理系統。
二、資安與個資相關ISO標準
https://i.imgur.com/PnaZRx7.png
資安規範在ISO27000之下以ISO27001為基底依各種細部需求或各種
職業的差異衍生出這張圖表。個資規範在 ISO29001之下，搭配
ISO27001定義出關於個資保護的規範。
資訊安全的要點：機密性、完整性、可用性。
個資保護的要點：匿名性、告知與同意、隱私保護設計。
＊在進行個資保護前必須先達到資訊安全的規範。
◎ISO循環規則：
．Plan(計劃)：組織全景、領導、規劃、支援。
．Do（執行）：運作。
．Check（檢查）：績效評估。
．Action（改善）：改善。
◎ISO 27001附錄A
．14個控制條款、35個控制目標、114個控制措施。
．控制措施：修正或控制風險之措施，包含過程、政策、
裝置、實務或其他行動。
．控制目標：控制措施所欲得到的結果。
＊措施不一定能達到目標。
小結：
那張ISO的全圖主要在說明整個資訊安全管理規範的全貌，
主要還是以ISO27001為基底開始繪製出整個規範的樣貌，
除了實施的細節之外，對於特別的行業別以及不同的資訊
型態：雲端，還有近期比較多人介意的個人資料保護都有
相對應的規範。
三、資訊安全管理的基礎-資訊安全風險管理
https://i.imgur.com/TdldrdU.png
◎資安風險評鑑
．全景建立：蒐集組織資訊、建立基本準則、產生程序文件。
．風險辨識：決定可能發生的潛在損失。
．風險分析：依資產關鍵性、弱點嚴重程度分類定義風險等級。
．風險評估：訂定風險清單的先後順序。
◎資安風險處理
．風險修改：調整風險等級。
．風險保留：保留風險決策。
．風險避免：實做其他風險處理（可能產生另外的風險）。
．風險分攤：把風險分給可以有效處理的另一方。
◎風險評鑑類型
．營運衝擊評鑑： ISO22317
．資安風險評鑑： ISO27005
．隱私衝擊評鑑： ISO29134
營運衝擊評鑑(BIA)、資安風險評鑑(ISRA)、隱私衝擊評鑑(PIA)三種
評鑑機制整合執行較符合成本效益，節省管理成本。
小結：
這個章節在介紹進行風險管理的做法，先了解全貌確認可能的風險再
依先現況去分析風險發生的可能性發生之後的嚴重定，最後定出風險
清單的順序。有了這個順序之後就可以進行風險處理決定要用什麼方
式去解決或不解決。
關於風險評鑑的內容主要分成三部份：營運相關、資安相關、個資相
關它們各有不同的ISO規範，可是彼此之間還是有些相關性所以評鑑
時建議一併處理避免各自處理時都變成其他領域該管的範疇。
四、雲端安全與個資風險
◎雲端資安與個資保護的標準
．ISO/IEC 27001:2013：展現通用性資安的保護。
．ISO/IEC 27017:2015：強化雲端服務安全。
．ISO/IEC 29151：強化通用性個資保護。
．ISO/IEC 27018:2019：強化雲端服務的個資保護。
．ISO/IEC 27701:2019：確保符合GDPR的個資保護。
https://i.imgur.com/0gURiBv.png
◎雲端與否不是重點，重點在風險
．風險評鑑是基礎，方便進行控制措施的施行與強化。
．沒有百分百安全但安全與保護絕對不是0或1。
．適當的控制可以減少事故發生的可能性或衝擊，這才是安全管理。
◎ISO27002–通用性的安全規範。
◎ISO27017–雲端安全規範。
◎ISO27018–雲端上的個資安全。
小結：
還是強調之前說過的沒有百分之面的安全，重點是事故的預防以及
事後的減少危害的處理。
五、風險的分攤-網通保險 (ISO/IEC 27102)
可以考慮以ISO27102的標準來購買資通保險以做為分攤風險的方案以減少
網路事件的影響，同時利用ISMS與保險公司分享資訊、相互支援。
小結：
這個章節介紹了關於資通保險的概念，可以直接以購買保險的方式來減少
危害造成之後的後果。
◎結論：
資訊安全風險管理是資訊安全管理首要的工作，風險管理與規劃需涵蓋完
整層面，可由風險評鑑記錄中看出組織對資安與個資的保護，資安、個資
在雲端平台風險又更高。目前關於ISMS及PIMS的管理系統ISO標準已有完
整的設計 ISO27001、ISO27701 包含雲端安全與隱私的保護導入並取得
ISO27701證書可以證明組織對資訊安全以及個人資料保護的落實。