1 |
台灣資訊安全風險管理暨保險之研究曾詩郁 Unknown Date (has links)
為了因應日新月異的新型態資安事件,企業們紛紛投注相當資源於資訊安全系統的建構/資訊風險的管理,但是在外部技術環境快速變化等諸多變數的不確定下,仰仗風險移轉機制,適切地將風險透過保險轉移至保險業者似乎是較合宜的選擇。何以企業們仍傾向強化風險控制、持續加強資訊安全技術層面,因此本研究擬藉由介紹國際暨台灣資訊安全發展狀況,瞭解資訊安全管理及其衍生之風險管理現況;根據前述現況分析,進一步探討在資訊安全領域中風險工具與風險管理學理之關聯性,並透過訪談相關業者,希冀透過探討資訊安全保險供給暨需求落差,提供既存風險工具之實務意涵。
本研究發現被國際社會廣泛採用之ISO 13335資訊安全管理系統,其風險概念暨管理模組,係奠基於一般風險管理學理:在風險概念方面,係採納『風險因素導致風險事故,進而對風險標的物肇生損失』之概念,並強化資產脆弱點之重要性,藉以強調在疆域尚且不明的資訊安全領域裡,相關從業人員惟有透過持續不輟地辨識、分析暨處理新型態的威脅等諸多要素,才有逐步積貯相關知識,進一步為未來完善資訊安全管理奠下基礎;在風險管理方面,一般風險管理學理用以確認風險因素、風險事件及風險標的物之風險鑑定階段,恰可與ISO 13335中資訊界限制定、資產識別及威脅評估等步驟相呼應,由此可知ISO 13335係採用一般風險管理學理概念而來,自不待言。
透過訪談相關業者,本研究發現資訊安全保險供給與需求存在下述特點:
保險業者與資訊安全需求業者對資訊價值之認定不同。
保險商品在市場上被視為行銷工具,而非實質風險移轉機制。
保險業者缺乏客觀的標準可供遵循。
資訊安全涵蓋範圍廣泛,非單一風險移轉機制即可。
資訊安全需求業者對資訊價值之認定會因情境而改變。
供應者與需求者對保險商品在風險移轉上之定位有不同認知。
由此,本研究建議主管機關、保險業者及從事/利用電子商務之組織可參酌下述各點採取行動,藉此逐步完善國內有關電子商務之保險商品市場:
主管機關方面,宜制訂資安規範、訂定處罰條款,並核發執照於公正的認證/稽核單位。
保險公司方面,宜尋找第三方公正單位參與承保範圍之釐清、與被保險人簽訂保密協定、並擬訂資訊安全防護評定等級制度。
電子商務之企業/組織,宜教育內部、根據認證機構管理原則ISO 27005、並運用科技化的資安設備,強化企業自主防護能力。
|
Page generated in 0.0169 seconds