TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫風險管理教育訓練TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫課程大綱1風險管理2可接受風險值之選定3高風險資產之鑑別及管理4殘餘風險管理5適用性聲明書TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫課程大綱1風險管理2可接受風險值之選定3高風險資產之鑑別及管理4殘餘風險管理5適用性聲明書TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫何謂風險•“Thechanceofsomethinghappeningthatwillhaveanimpactuponobjectives.”•對於目標會產生影響的事件發生的機會。¾風險是未來的不確定事件，該事件會影響組織目標的達成，包括策略、作業、財務或其他目標。TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫風險管理前應釐清之問題•我們如何來衡量組織營運的成果？•甚麼是組織成功運作最大的風險？•組織是否存在有系統的方法來控制風險？•針對組織的營運，甚麼是我們必須持續評估的關鍵處？•我們如何認定，營運無法符合法令或組織的政策？•有甚麼樣的需求﹝法令與遵行、財務....等等﹞會影響組織的運作？TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫風險管理的角色•了解組織的目標或業務營運的流程•了解何種風險會影響我們的營運（我們亦必須定期評估）•針對持續營運與提升組織的運作之效能與效率，所必須採取的必要行動製造銷售與推廣研發風險管理須仰賴組織內每一個(功能)行銷風險管理供應管理單位來幫助運作。資訊科技品質管理人力資源TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫風險管理幫助我們•達到績效衡量指標•改進營運作業流程•避免資源浪費／損失•避免組織商譽或形象的損害TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫風險管理程序確認安全考量資訊安全需求保護定義控制措施控制目標對應TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫風險管理原則ORCAORCA原則原則¾目標:與創造組織價值相關之目標¾風險:無法達成目標之因素¾控制:管理風險之方法¾一致性:確認目標、風險及因應控制之一致性策略風險營運作業風險風險科技市場風險風險財務風險TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫風險管理作業•確認、控制及降低安全風險至可接受程度所採取的程序•管理作業–訂定風險接受等級–檢討安全威脅及弱點–檢討目前使用之控制措施–加強其他控制措施–訂定相關安全政策及作業程序TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫選擇控制措施考慮因素•安全風險所造成之影響•需要的風險接受等級•所需費用是否合理•是否容易執行•需花費多少時間•與現有環境及技術之整合是否可行•符合法令規定•相關契約規定TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫控制風險策略圖控制風險策略規規轉轉接接降降避避移移受受低低TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫控制風險策略說明•規避風險–修改資訊作業方式或採用技術以避開風險。–經由政策或標準以禁止從事高風險交易或活動。•轉移風險–轉移相關之營運風險至他者，例如：承保者、供應者。•接受風險–符合組織的政策與風險接受準則，則知悉且客觀地接受風險。•降低風險–參考標準選擇適當之控制措施以降低風險。–藉由加強各項作業之內控以降低風險發生之機會。TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫控制措施種類•預防性控制–藉由「事前」的控制，形成一道屏障來防止特別交易的不當進行或阻止錯誤的發生。例如：承保前之風險評估、對銷貨客戶之徵信、使用經核准之供應商名單•偵查性控制–利用某些程序來偵測已發生之錯誤或不當交易。例如：編製銀行調節表、存貨盤點、與銷貨客戶之定期對帳•矯正性控制–用來矯正偵查性控制所發現之問題或矯正交易之控制。例如：透過電腦對採購單之檢核可以偵測到未經核准之供應商號碼，進而追蹤其原因及時修正交易資料或防止向不適當供應商之採購•指示性控制–由管理階層指示一些行動，以便達成某種結果，產生正面性之結果，相對於預防性、偵查性及矯正性控制重在防止、偵測及更正負面結果。•補償性控制–用