台灣資訊安全風險管理暨保險之研究

曾詩郁

Unknown Date

為了因應日新月異的新型態資安事件，企業們紛紛投注相當資源於資訊安全系統的建構/資訊風險的管理，但是在外部技術環境快速變化等諸多變數的不確定下，仰仗風險移轉機制，適切地將風險透過保險轉移至保險業者似乎是較合宜的選擇。何以企業們仍傾向強化風險控制、持續加強資訊安全技術層面，因此本研究擬藉由介紹國際暨台灣資訊安全發展狀況，瞭解資訊安全管理及其衍生之風險管理現況；根據前述現況分析，進一步探討在資訊安全領域中風險工具與風險管理學理之關聯性，並透過訪談相關業者，希冀透過探討資訊安全保險供給暨需求落差，提供既存風險工具之實務意涵。 本研究發現被國際社會廣泛採用之ISO 13335資訊安全管理系統，其風險概念暨管理模組，係奠基於一般風險管理學理：在風險概念方面，係採納『風險因素導致風險事故，進而對風險標的物肇生損失』之概念，並強化資產脆弱點之重要性，藉以強調在疆域尚且不明的資訊安全領域裡，相關從業人員惟有透過持續不輟地辨識、分析暨處理新型態的威脅等諸多要素，才有逐步積貯相關知識，進一步為未來完善資訊安全管理奠下基礎；在風險管理方面，一般風險管理學理用以確認風險因素、風險事件及風險標的物之風險鑑定階段，恰可與ISO 13335中資訊界限制定、資產識別及威脅評估等步驟相呼應，由此可知ISO 13335係採用一般風險管理學理概念而來，自不待言。 透過訪談相關業者，本研究發現資訊安全保險供給與需求存在下述特點：  保險業者與資訊安全需求業者對資訊價值之認定不同。  保險商品在市場上被視為行銷工具，而非實質風險移轉機制。  保險業者缺乏客觀的標準可供遵循。  資訊安全涵蓋範圍廣泛，非單一風險移轉機制即可。  資訊安全需求業者對資訊價值之認定會因情境而改變。  供應者與需求者對保險商品在風險移轉上之定位有不同認知。 由此，本研究建議主管機關、保險業者及從事/利用電子商務之組織可參酌下述各點採取行動，藉此逐步完善國內有關電子商務之保險商品市場：  主管機關方面，宜制訂資安規範、訂定處罰條款，並核發執照於公正的認證/稽核單位。  保險公司方面，宜尋找第三方公正單位參與承保範圍之釐清、與被保險人簽訂保密協定、並擬訂資訊安全防護評定等級制度。  電子商務之企業/組織，宜教育內部、根據認證機構管理原則ISO 27005、並運用科技化的資安設備，強化企業自主防護能力。

資訊安全風險管理

資訊安全保險商品

ISO 13335