第3 章 資產與風險管理 大綱 何謂資訊資產 資訊安全的潛在威脅 反制對策(Countermeasures) 資訊安全與風險管理 何謂資訊資產 隨著企業組織對資訊科技的依賴加深, 所有內部/外部溝通的過程都可稱為資訊資產 隨手塗鴉 工作日誌 正式文件 文件草稿 電腦資訊 任何的公開媒介 正式會議 何謂資訊資產 社交工程(social engineering) 社交工程攻擊法是目前資訊安全管理制度(ISMS) 所面臨的最大挑戰。 熟悉社交工程者不必是電腦高手 社交工程高手往往熟悉人性心理 被害者往往不知道自己已經洩密 即時通訊軟體( 如MSN、QQ 等) 為社交工程的最大幫手 社交工程高手往往熟知心理學中的” 社交心理學” 資訊安全的潛在威脅 威脅(Threat) 任何可能造成資訊系統損壞的事物皆稱威脅威脅類型 原因 範例自然因素大自然現象所造成 地震、水災系統本身故障 網路不通人為因素人員疏失系統操作不當系統維護疏失人員管理疏失蓄意破壞破壞電腦系統破壞硬體設備破壞軟體程式修改軟體程式未經授權使用設備不當使用及蒐集資料資訊安全的潛在威脅 常見內部人員威脅 員工的操作錯誤 追求刺激型的員工
