Day 02
线上课程：
．ACW 资安网络学院：https://www.acwacademy.org.tw/
科目：资安管理系统概论(风险管理)
讲者：魏铕志
时间：2 小时
连结：https://bit.ly/3T7MNFy
这门课的资讯量很大，老师一开始以 Zoom 为例建立关于资安管理的基本
观念之后才是正式的管理规范，课程中有一堆标准、一堆条文、管理方针
，除了ISO27001之外还有一堆之前连听都没听过的管理标准，第一次上课
还看到睡着，课程测验中不会真的要背出所有内容但是必须清楚知道遇到
什么事情应该要找什么标准来进行解决方法，对于每个标准适用的地方要
能掌握。
一、由案例看资讯安全管理: Zoom事件看资讯安全管理
Zoom: 在COVID-19后大红大紫的远距视讯会议
◎优点：
．操作简单：不用帐号只要受邀就可以使用。
．可跨设备：可以在电脑、平版、手机…等各式装置使用。
．收费合理：提供基本功能需要进阶功能再付费即可。
．稳定可靠
．功能有趣
◎Zoom是标准的云端视讯会议服务商
．会议所有的参与者都会连接到视讯会议中服务器当，视讯
加解密使用AES-128位金钥以ECB模式运行，会议其间使用
同一把金钥，服务器可以知道全部的会议内容（中国有伺
服器）。
＊曾发生有心人士利用漏洞进入会议中偷听、进行干扰行为。
◎安全风险与考量
．对于对于高机密要求者有安全考量需注意机密性、完整性、
可用性 及适法性。
＊行政院要求教育部及各级单位配合不得使用有资安疑虑的商品。
小结：
风险管理开始先以 Zoom 为例说明没有系统是永远无敌的，
需要有持续改善的管理机制。资讯安全强调的是一个持续
管理、持续改善的管理系统。
二、资安与个资相关ISO标准
https://i.imgur.com/PnaZRx7.png
资安规范在ISO27000之下以ISO27001为基底依各种细部需求或各种
职业的差异衍生出这张图表。个资规范在 ISO29001之下，搭配
ISO27001定义出关于个资保护的规范。
资讯安全的要点：机密性、完整性、可用性。
个资保护的要点：匿名性、告知与同意、隐私保护设计。
＊在进行个资保护前必须先达到资讯安全的规范。
◎ISO循环规则：
．Plan(计划)：组织全景、领导、规划、支援。
．Do（执行）：运作。
．Check（检查）：绩效评估。
．Action（改善）：改善。
◎ISO 27001附录A
．14个控制条款、35个控制目标、114个控制措施。
．控制措施：修正或控制风险之措施，包含过程、政策、
装置、实务或其他行动。
．控制目标：控制措施所欲得到的结果。
＊措施不一定能达到目标。
小结：
那张ISO的全图主要在说明整个资讯安全管理规范的全貌，
主要还是以ISO27001为基底开始绘制出整个规范的样貌，
除了实施的细节之外，对于特别的行业别以及不同的资讯
型态：云端，还有近期比较多人介意的个人资料保护都有
相对应的规范。
三、资讯安全管理的基础-资讯安全风险管理
https://i.imgur.com/TdldrdU.png
◎资安风险评鉴
．全景建立：蒐集组织资讯、建立基本准则、产生程序文件。
．风险辨识：决定可能发生的潜在损失。
．风险分析：依资产关键性、弱点严重程度分类定义风险等级。
．风险评估：订定风险清单的先后顺序。
◎资安风险处理
．风险修改：调整风险等级。
．风险保留：保留风险决策。
．风险避免：实做其他风险处理（可能产生另外的风险）。
．风险分摊：把风险分给可以有效处理的另一方。
◎风险评鉴类型
．营运冲击评鉴： ISO22317
．资安风险评鉴： ISO27005
．隐私冲击评鉴： ISO29134
营运冲击评鉴(BIA)、资安风险评鉴(ISRA)、隐私冲击评鉴(PIA)三种
评鉴机制整合执行较符合成本效益，节省管理成本。
小结：
这个章节在介绍进行风险管理的做法，先了解全貌确认可能的风险再
依先现况去分析风险发生的可能性发生之后的严重定，最后定出风险
清单的顺序。有了这个顺序之后就可以进行风险处理决定要用什么方
式去解决或不解决。
关于风险评鉴的内容主要分成三部份：营运相关、资安相关、个资相
关它们各有不同的ISO规范，可是彼此之间还是有些相关性所以评鉴
时建议一并处理避免各自处理时都变成其他领域该管的范畴。
四、云端安全与个资风险
◎云端资安与个资保护的标准
．ISO/IEC 27001:2013：展现通用性资安的保护。
．ISO/IEC 27017:2015：强化云端服务安全。
．ISO/IEC 29151：强化通用性个资保护。
．ISO/IEC 27018:2019：强化云端服务的个资保护。
．ISO/IEC 27701:2019：确保符合GDPR的个资保护。
https://i.imgur.com/0gURiBv.png
◎云端与否不是重点，重点在风险
．风险评鉴是基础，方便进行控制措施的施行与强化。
．没有百分百安全但安全与保护绝对不是0或1。
．适当的控制可以减少事故发生的可能性或冲击，这才是安全管理。
◎ISO27002–通用性的安全规范。
◎ISO27017–云端安全规范。
◎ISO27018–云端上的个资安全。
小结：
还是强调之前说过的没有百分之面的安全，重点是事故的预防以及
事后的减少危害的处理。
五、风险的分摊-网通保险 (ISO/IEC 27102)
可以考虑以ISO27102的标准来购买资通保险以做为分摊风险的方案以减少
网络事件的影响，同时利用ISMS与保险公司分享资讯、相互支援。
小结：
这个章节介绍了关于资通保险的概念，可以直接以购买保险的方式来减少
危害造成之后的后果。
◎结论：
资讯安全风险管理是资讯安全管理首要的工作，风险管理与规划需涵盖完
整层面，可由风险评鉴记录中看出组织对资安与个资的保护，资安、个资
在云端平台风险又更高。目前关于ISMS及PIMS的管理系统ISO标准已有完
整的设计 ISO27001、ISO27701 包含云端安全与隐私的保护导入并取得
ISO27701证书可以证明组织对资讯安全以及个人资料保护的落实。