CISM Domain2筆記分享:如何制定有效的風險管理計劃?

investing, risk, control

前言

在現今網路威脅與數位攻擊不斷進化的時代,企業面臨的風險不僅來自於駭客攻擊,還包括內部威脅、法規遵循問題以及供應鏈風險。因此,擁有一套完善的資訊風險管理(Information Risk Management, IRM)機制已成為企業資安戰略中的關鍵一環。

如果你正在準備 CISM(Certified Information Security Manager) 認證,或是想提升自己的風險管理能力,那麼 Domain 2:資訊風險管理 絕對是你必須深入理解的核心領域。本篇文章將詳細解析 Domain 2 的內容,讓你掌握企業如何識別、評估、管理及降低資安風險,進而強化整體資安策略。

什麼是資訊風險管理?

資訊風險管理(IRM)是 企業用來識別、評估、控制和減輕與資訊資產相關風險的過程。這不僅僅是傳統 IT 安全的範疇,而是一種更廣泛的 風險管理框架,確保企業的營運不受資安威脅影響,同時符合法規要求。

CISM Domain 2 中,主要目標是確保企業能夠建立並持續運作一套有效的風險管理策略,讓資安風險降到可接受範圍內

基本上複習手冊裡面有提到各個常見的風險管理框架

熟悉各種 風險管理框架 是不可或缺的一環。這些框架提供不同的方法與工具,幫助企業有效識別、評估、控制和監測資訊風險。以下是幾個常見且廣泛應用的風險管理框架:

1. ISO 31000:2018 風險管理框架

ISO 31000 是由國際標準化組織(ISO)制定的風險管理框架,為各類組織提供一個通用的方法來評估、管理和監測風險。它不僅適用於資訊風險,也涵蓋企業經營中的各種風險領域。該框架強調風險管理應與組織的戰略目標整合,並透過 建立風險文化、持續監控與改善 來強化企業的韌性。

📌 ISO 31000 主要原則:

  • 風險管理應與企業戰略目標對齊
  • 風險評估應涵蓋內外部環境變數
  • 風險管理流程應動態調整,以應對變化的風險情境
    🔗 參考來源:ISO 31000 官方網站

2. NIST Cybersecurity Framework (CSF)

NIST CSF 由美國國家標準與技術研究院(NIST)發布,專注於資訊安全風險管理。該框架將風險管理劃分為 五個核心功能

  • 識別(Identify):了解資產、威脅與風險
  • 保護(Protect):建立安全防禦措施
  • 檢測(Detect):監控異常行為
  • 回應(Respond):事件發生時應對與通報
  • 恢復(Recover):確保系統能夠快速復原

這個框架適用於各類企業,並且允許組織根據自身需求進行調整,提供靈活性與可擴展性。
🔗 參考來源:NIST CSF 官方網站


3. COSO ERM 框架

COSO ERM(企業風險管理框架)COSO(委員會管理體系結構) 發布,主要關注 企業整體風險管理,適用於所有類型的風險,而不僅限於資訊風險。該框架涵蓋以下 五大組件

  • 內部環境(企業風險文化)
  • 目標設定(與風險管理策略對齊)
  • 風險評估(識別與分析風險)
  • 風險應對(決定如何處理風險)
  • 控制活動(確保風險應對策略落實)

COSO ERM 適用於 整體企業治理,能夠將資安風險管理納入更廣泛的企業風險管理(ERM)計畫中。
🔗 參考來源:COSO ERM 官方網站


4. FAIR(因素分析資訊風險)

FAIR(Factor Analysis of Information Risk) 是一種專門用於 資訊安全風險量化 的方法,與傳統的定性風險評估不同,它提供了一種 可量化、數據驅動的方式 來分析資訊風險。該方法關注:

  • 風險的可能性(Likelihood)
  • 風險的影響(Impact)
  • 財務損失預測(Financial Impact)

FAIR 方法被許多企業和政府機構用於進行風險管理,特別是在制定資訊安全投資策略時非常有用。
🔗 參考來源:FAIR Institute 官方網站


資訊風險管理的核心組成

根據 CISM 的架構,資訊風險管理主要包含以下四個核心步驟:

  1. 風險識別(Risk Identification)
  2. 風險評估(Risk Assessment)
  3. 風險應對(Risk Response)
  4. 風險監控與報告(Risk Monitoring and Reporting)

1. 風險識別(Risk Identification)

風險識別是資訊風險管理的起點,旨在找出可能影響企業資訊資產的各種風險來源。這包括內部與外部的威脅,以及系統或流程中的脆弱性。透過全面的風險識別,企業能夠瞭解自身面臨的風險全貌,為後續的風險評估與應對奠定基礎。

實務建議:

  • 資訊資產盤點: 建立詳細的資訊資產清單,確保所有資產均被識別和記錄。
  • 威脅與脆弱性分析: 定期進行威脅情報收集與脆弱性評估,確保及時發現潛在風險。

2. 風險評估(Risk Assessment)

在識別風險後,需對其進行評估,以確定風險的可能性與影響程度。風險評估可採用定性或定量的方法,視企業需求與資源而定。

實務建議:

  • 定性評估: 透過專家訪談或風險矩陣,評估風險的嚴重性與可能性。
  • 定量評估: 使用數據與財務分析,計算風險對企業的具體影響,如年度損失預期值(ALE)。

3. 風險應對(Risk Response)

根據風險評估結果,企業需制定適當的應對策略,以將風險控制在可接受的範圍內。常見的風險應對策略包括:

  • 風險降低(Risk Mitigation): 採取措施減少風險的可能性或影響。
  • 風險轉移(Risk Transfer): 透過保險或外包,將風險轉移給第三方。
  • 風險接受(Risk Acceptance): 對於低風險,企業可選擇接受,並持續監控。
  • 風險迴避(Risk Avoidance): 避免從事可能帶來高風險的活動。

實務建議:

  • 制定風險應對計畫: 明確每項風險的應對策略、負責人與時間表。
  • 資源配置: 確保有足夠的資源支持風險應對措施的實施。

4. 風險監控與報告(Risk Monitoring and Reporting)

風險管理是一個持續的過程,需定期監控風險狀況與應對措施的有效性,並向相關利益相關者報告。

實務建議:

  • 建立關鍵績效指標(KPI): 用於衡量風險管理的成效。
  • 定期審查與更新: 根據最新的風險資訊,調整風險管理策略與計畫。

 

接下來分享一些,在寫考題時考到的觀念或是名詞。

在險價值

在CISM(風險管理和保險認證)中,”在險價值”(英文為 “exposure value” 或 “insurable value”)指的是一個資產的價值,其可能遭受損失的風險。在險價值是一個保險公司在計算其所需收取的保險費用時所關注的重要指標,因為這反映了該公司可能需要承擔的損失風險的大小。

在險價值通常用來評估和計算資產的保險費用。在保險公司計算保險費用時,他們會考慮到資產的在險價值,以確定所需的保險費用。通常,在險價值越高,保險費用就越高。在險價值可以用來評估風險並制定風險管理計劃。

在CISM中,“VAR”是指“Value at Risk”,即風險價值。風險價值是用來衡量一個資產或投資組合可能面臨的損失的程度和概率。風險價值是一個常用的風險管理指標,也是金融機構和保險公司使用的重要工具。

在險價值和風險價值(VAR)是兩個不同的概念。在險價值通常是指資產的保險價值,也就是可能需要在保險方面承擔的風險損失。而風險價值(VAR)則是一種用來評估投資組合風險的統計方法,它能夠估計在一定時間內,資產或投資組合可能面臨的最大損失金額。在這種情況下,VAR通常表示為一個金額,例如:某個投資組合的VAR是100萬美元,這意味著在特定的時間內,這個投資組合可能會面臨不超過100萬美元的損失。

因此,在CISM中,在險價值和風險價值(VAR)是不同的概念,它們在風險管理和保險業務中扮演著不同的角色和功能。

風險偏好 vs. 風險容忍度:組織對風險的不同態度

資訊安全管理(如 CISM) 中,”風險偏好” 和 “風險容忍度” 是兩個密切相關但具有不同意涵的概念。這兩者反映了組織在風險管理上的態度和決策方式,但應用的層面和範圍有所不同。

📌 風險偏好(Risk Appetite):組織願意承擔多少風險

風險偏好是 組織在追求業務目標時,願意接受風險的整體程度。這是一個高層級的戰略概念,通常由 董事會或高層管理團隊 設定,並與企業的長期發展目標保持一致。例如:

  • 金融機構 可能會選擇較低的風險偏好,以確保客戶資金安全。
  • 科技新創公司 可能會接受較高的風險偏好,以追求創新與市場突破。

風險偏好影響組織對新投資、新市場、新技術採用等策略決策的態度。例如,一家企業可能願意在新的數位轉型專案中承擔較高的風險,以換取更高的市場競爭力。


📌 風險容忍度(Risk Tolerance):組織能夠接受的風險上限

相比之下,風險容忍度則更為具體與操作性,它定義了 組織能夠忍受的風險上限,超過這個範圍,組織就必須採取措施來降低風險。例如:

  • 一家 銀行 可能設定「客戶資料外洩的風險容忍度接近於零」,這表示只要發生客戶資訊洩露事件,就必須立即採取補救行動。
  • 一家 電商公司 可能允許「高達 1% 的交易因詐欺而失敗」,但超過這個數字則需要進行強化風控機制。

風險容忍度通常根據 特定業務活動、風險類型或法規要求 進行調整。例如,企業可以針對:

  • 財務風險
  • 營運風險
  • 合規風險
  • 資安風險 來制定不同的風險容忍度標準。

📊 風險偏好與風險容忍度的比較

比較項目風險偏好(Risk Appetite)風險容忍度(Risk Tolerance)
定義組織願意接受的風險範圍組織可以忍受的風險上限
影響層級戰略決策(董事會、高層管理)營運層面(具體業務風險指標)
應用範圍整體業務風險管理針對特定活動或風險類型
調整頻率相對固定,與企業戰略一致可根據市場、法規等因素動態調整
範例「我們願意承擔一定程度的創新風險」「我們最多能接受 1% 的交易失敗率」

 

變更管理的步驟

  1. 變更提出:變更的需求來源可能是各種各樣的,例如新的業務需求、法規改變、安全問題等。無論需求如何,都需要透過正式的流程來提出。
  2. 變更評估:在進行任何變更之前,都需要對其可能的影響進行評估。這可能包括對變更可能帶來的風險、成本、效益等因素的評估。
  3. 變更批准:根據變更的評估結果,需要由適當的權限層級來批准進行變更。這可能是由變更管理委員會(Change Advisory Board, CAB)或其他有權批准的人員來完成。
  4. 變更實施:一旦變更獲得批准,就可以進行實施了。這需要由專業的團隊來進行,並要確保所有的步驟都被妥善記錄和追蹤。
  5. 後期評估和審查:在變更實施之後,需要對其進行後期評估,以確保變更達到了預期的效果,並且沒有導致任何未預見的問題。如果發現任何問題,可能需要進行進一步的變更或調整。
  6. 變更關閉:最後,當變更已經成功實施,並且所有後續問題都已解決,可以將變更關閉。

事故管理

  1. 發佈計劃:這一步通常包括定義發佈的範圍和時間表、確定必要的資源、確定風險和問題管理策略等。
  2. 設計和建立:在這一步,開發團隊會根據發佈計劃來設計和建立發佈包。這可能包括開發新功能、修復問題、執行測試等。
  3. 測試和驗證:在發佈包被部署到生產環境之前,需要對其進行嚴格的測試和驗證,以確保其能夠正確地運行,並且不會引入新的問題或風險。
  4. 部署:一旦發佈包通過了測試和驗證,就可以將其部署到生產環境了。部署需要以有控制、有組織的方式進行,以盡量減少對用戶和業務的影響。
  5. 評估和審查:在發佈部署之後,需要對其進行評估和審查,以確保發佈達到了預期的效果,並且沒有導致任何意外的問題或風險。
  6. 關閉和文件化:最後,一旦確定發佈已經成功且穩定,就可以關閉發佈並將其文件化,以便於未來的參考和審計。

配置管理

  1. 配置識別:確定並記錄組織中的所有重要配置項目(Configuration Items, CI),如硬體、軟體等,並將其記錄在配置管理數據庫(Configuration Management Database, CMDB)中。
  2. 配置控制:管理所有對配置項目的變更,以確保每次變更都能按照已定義的過程進行。所有的變更都需要經過批准,並在實施後進行審核。
  3. 配置狀態會計:追蹤每一個配置項目的狀態,包括其在生命週期中的不同階段(如部署、維護、退役等)。
  4. 配置驗證和審核:定期進行審核和驗證,以確保配置數據庫的資訊是準確和最新的。
  5. 配置報告:定期生成報告,以便了解配置項目的狀態,包括其變更、問題、風險等。

何謂發佈管理

在CISM(Certified Information Security Manager)中,發佈管理主要關注於一個特定的IT服務管理(ITSM)流程,也被稱為變更管理的一部分。雖然CISM並沒有指定詳細的發佈管理步驟,但是它確實強調了IT服務管理(IT Service Management)的重要性,這其中也包括發佈管理。

在實際操作中,發佈管理可以參考ITIL(Information Technology Infrastructure Library)的指南,該指南對於發佈管理有更詳細的描述。ITIL的發佈管理一般包含以下步驟:

  1. 計劃和設計:這是瞭解需求並制定整個發佈計劃的步驟。此步驟包括明確定義發佈的目標和目標用戶,設計發佈方案,評估潛在的風險,並開發一個具體的發佈時間表。

  2. 建立和測試:此步驟中,新的功能或變更被建立,並進行一系列的測試以確保其符合原始需求和目標。

  3. 審查和批准:此步驟是對建立和測試結果進行審查,確定是否可以進行部署。所有相關的利益者都應該參與到這個過程中,他們需要評估並批准這個發佈。

  4. 部署:在獲得批准之後,新的功能或變更將會被部署到生產環境中。

  5. 評價和學習:這是一個持續的步驟,其中檢查發佈的結果,確定其是否符合預期的效果,並從中學習以改進未來的發佈。

總結:

有效的風險管理計劃可以幫助組織有效地識別和管理潛在風險,保護組織的資訊資產和業務運作。在制定風險管理計劃時,需要考慮多方面因素,包括風險評估、風險處理、制定風險管理計劃等,並與組織的策略和目標相結合。在實施和監視風險管理計劃時,需要注意員工培訓、溝通和協作等因素,確保計劃能夠有效執行和適時改進。最後,讓我們回歸CISM Domain 2,如果您正在準備CISM考試,需要掌握風險管理策略和控制措施相關知識,並了解如何制定有效的風險管理計劃。通過掌握這些知識,您可以更好地應對資訊安全管理的挑戰,提高組織的風險管理能力,此篇文章也提供了一些在寫考題時會出現的名詞還有一些管理步驟供大家參考。

上一篇 精華摘要:CISM Domain1 筆記,深入了解資訊安全治理

參考文獻:

  1. ISACA. (2019). CISM Review Manual 15th Edition. Rolling Meadows, IL: ISACA.

  2. ISO/IEC 27001:2013 Information technology – Security techniques – Information security management systems – Requirements.

  3. NIST Special Publication 800-39, Managing Information Security Risk: Organization, Mission, and Information System View.

  4. Peltier, T. R. (2016). Information Security Risk Assessment Toolkit: Practical Assessments through Data Collection and Data Analysis (2nd Edition). Amsterdam: Elsevier.

  5. Winkler, V. J. (2014). Conducting a Risk Assessment: A How-To Guide to Mitigate Liability. Boca Raton, FL: Auerbach Publications.

返回頂端