欢迎来到天天文库
浏览记录
ID:39146950
大小:1.00 MB
页数:31页
时间:2019-06-25
《《資訊科技風險管理》PPT课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、第13章資訊科技風險管理本章大綱13.1網路通訊環境之威脅與挑戰13.2企業與IT風險架構13.3企業資訊科技風險管理13.4資訊科技風險管理制度之導入與推行13.5資訊安全管理網路通訊環境之威脅與挑戰(1/6)現今整個電腦環境因為網際網路的蓬勃發展,對資訊風險產生無比的挑戰,因為:有更多破解功能強大的網路入侵工具電腦病毒橫行大量連接點需要監測跨平台管理系統及網路的複雜度管理人員對於安全概念參差不齊實例說明:電腦犯罪實例實例說明:辦公用個人電腦被植入木馬程式網路通訊環境之威脅與挑戰(2/6)COSO企業風險管理整合架構目標設定(Objectivese
2、tting)企業風險管理確保在實際執行時能夠達成以下四個項目目標:策略的目標營運的目標報告的目標法令遵循的目標圖13-1企業風險管理整合架構(ERMFramework)網路通訊環境之威脅與挑戰(3/6)事件確認(Eventidentification)風險評估(Riskassessment)風險評估係指企業辨認風險並加以分析之過程,以作為該風險應如何管理之依據。風險回應(Riskresponse)在選定風險回應措施之後必須擬定風險回應之計劃。控制活動(Controlactivities)控制活動乃是控制性的作業活動。資訊及溝通(Informatio
3、nandcommunication)係指對有關資訊以適時有效之方式予以辨識、蒐集並傳遞予相關人士,使其有效履行其責任。網路通訊環境之威脅與挑戰(4/6)資訊及溝通(Informationandcommunication)係指對有關資訊以適時有效之方式予以辨識、蒐集並傳遞予相關人士,使其有效履行其責任。監督(Monitoring)監督係評估內部控制執行品質之過程。若未做好風險管理可能的損害有以下幾點:阻礙組織創造之價值或侵蝕組織現有價值無法有效連結策略、風險、風險回應非預期風險及損失產生組織或企業危機網路通訊環境之威脅與挑戰(5/6)發生組織倒閉投資人
4、、企業界人士及其他利害關係人遭受巨大損失。實例說明:家用產品公司使命、策略性目標、風險胃納與風險容忍之關係COBIT是國際電腦稽核協會(ISACA)完成之一套實用的資訊系統稽核與控制標準,用以提供CISA與CISM人員執行業務時之參考。圖13-2風險管理的理念模式圖13-3使命、目標、風險胃納與風險容忍度之關係圖13-4COBIT組成架構網路通訊環境之威脅與挑戰(6/6)COBIT設計為下列三種特殊對象使用:管理階層使用者稽核人員實例說明:KPMG與英國審計總署風險管理最佳實務企業資訊科技風險管理(1/2)企業IT風險受IT資產與程序影響的四項企業
5、風險,包括不能達成以下四個目標的風險:可用(Availability):存取(Access)正確(Accuracy)靈活(Agility)可用的風險使用內部資源實例說明:銀行提款離線備援程序使用外部資源圖13-5企業資訊科技風險管理企業資訊科技風險管理(2/2)存取的風險正確的風險實例說明:資料正確性是電腦的錯還是人的錯靈活(Agility)的風險實例說明:IT風險因子調查圖13-6IT風險金字塔圖13-7IT風險管理應由各事業單位與專責單位分工負責制定(調整)政策監控並報導風險管理專責單位各事業單位對應窗口單位辦認風險種類訂定優先次序風險處理圖1
6、3-8公司風險描述圖資訊科技風險管理制度之導入與推行如何導入IT風險管理制度一個組織推行導入IT風險管理制度可歸納成以下四方向:型塑風險管理文化培養風險意識,建立風險圖提升風險管理能量支持系統實例說明實例說明:Motorola安全風險地圖實例說明:PacificLifeInsuranceIT風險管理專案圖13-9風險管理導入運作模式圖13-10IT風險地圖(用以訂定優先次序與監督實際風險情形)圖13-11日常風險監督確保最重要的風險快速處理圖13-12太平洋集團組織圖圖13-13IT共用系統組織圖13-14太平洋保險IT共用系統與IT治理模型資訊安
7、全管理(1/2)資訊安全管理的迷思BS7799資訊安全管理制度實例說明:銀行BS7799之導入網路入侵偵測技術之發展與運用實例說明:某政府機關評估安全措施有效性(由高至低排序)實例說明:資訊安全經理人(CISM)考試數位證據與電腦鑑識實例說明;美國資通安全鑑識組織資訊系統稽核實例說明:政府機關無線網路稽核圖13-15IDS偵測器配置架構圖圖13-16防範、網路竊取資料的有效性(某機關內部評估有效性高至低排序)圖13-17C政府機關無線區域網路資訊安全分項稽核評估綜合說明表受查單位:C政府機關稽核日期:__年__月__日稽核項目稽核現況綜合說明資訊
8、技術安全管理政策待改進事項:BS77993.1.1、3.1.2建議:立即改進項目完成後再予以檢視待改進部分。
此文档下载收益归作者所有