一個針對共通作業環境中資訊資產風險評估模式

Abstract

隨著網路科技的發達，使用資訊系統的規模，以及對資訊環境的依賴程度日益增加，使得共通作業環境安全的重要性逐漸突顯出來，針對資訊系統進行風險管理的概念便日漸受到重視。世界標準組織為此也特別出版了ISO / IEC 17799資訊技術──資訊安全管理實施要則，以便組織了解自身資訊安全需求，並進行風險評估。 基於上述原因，如何在共通作業環境下，建立一個符合國際標準相關規定的風險評估模式，是一個值得深入研究的範疇。根據ISO / IEC Guide 73的定義，風險管理包括風險評鑑、風險處理、風險承受與風險溝通，本論文將焦點鎖定在資訊資產的風險評鑑上，因此，針對資訊資產進行風險分析與風險評估，成為本論文討論主軸與研究目標。 本論文將應用RRF二階段式風險分析的方法論、導入修正後的Microsoft風險計算公式、結合AHP層級分析的決策模式，建立一個二階段式風險評估模型，最後以工研院電通所的風險分析自動化程式為藍圖，實作一個二階段式資訊資產風險評估模型。經過實驗評估，證明此模型能有效找出關鍵性的資訊資產，並排列出優先等級順序。

The concept of carrying on risk management to protect information system is more important today, because the development of network technology and the degree of dependence to the information environment increases and computer virus attacks. The international Organization for Standardization has published ISO / IEC 17799 Information Technology – Code of Practice for Information Security Management, to help the organization find their demand of information security and risk assessment. In this research, we will propose a two phase risk assess model which is based on RRF two stage risk analysis with Microsoft risk calculate formula and AHP decision mode to find out critical information assets and help enterprise build security protection effectively.