研究以电力公司为例.PDF

T3 ：必威体育精装版技術研究發展 資通安全專論T97022 ISO/IEC 27005風險管理標準整合 CORAS之可行性 研究：以電力公司為例 傅雅萍 1, 4 、樊國楨1, 2, 3 、楊中皇1, 4 1. 中華民國資訊安全學會 2. 交通大學資訊管理研究所 3. 異術科技股份有限公司 4. 高雄師範大學資訊教育研究所 摘要 資訊科技的發展與進步，提升網路應用的普及率，讓我們體會到網路無國界的便 利；然而在網路便捷的環境下，必須思考如何架構良好的資訊安全環境，因此，如何做 好風險管理就成為最重要的環節。自美國 911 恐怖攻擊事件後，更加突顯了風險管理的 重要性，同時美國政府與國會也積極通過與實施各項相關法案，目前風險管理儼然已成 為企業營運的最迫切課題。本研究以電力公司為例，將其公司資產及相關資料建置於 CORAS 風險管理平台上，並將 ISO/IEC 27005 風險管理準則與 CORAS 平台提供之風 險管理功能比對，以實作方式，研究兩者整合的可能性，期望能達到有效的風險管理， 降低風險發生的機率及產生的危害程度，保障企業及人民的生命財產安全。 關鍵詞：協商的目標風險分析系統(Consultative Objective Risk Analysis System, CORAS) 、風險管理(Risk Management) 、失效模式與影響關鍵性分析(Failure Mode and Effect Criticality Analysis, FMECA ) 、重要民生基礎設施資訊防護 (Critical Infrastructure Information Protection, CIIP) 、ISO/IEC 27005 一、前言 資訊安全考量的範圍不僅僅是單純的個人電腦及網路而已，尚須納入風險管 理的應用。資訊科技的進步提供我們在網路世界中得以享受到科技的便利與快 速，不僅在網路上的資訊隨手可得， 我們也可以利用網路即時交換各種資訊。但 是隱藏在網路世界中的危機與弱點，若不事先 加以防範，稍稍忽略也可能會造成 人民生命財產遭到嚴重的威脅或損失；因此，如何加強保護人民的生命財產安 1 T3 ：必威体育精装版技術研究發展 資通安全專論T97022 全，是我們應該思考的課題。聯合國國際資訊處理聯盟(International Federation Information Processing, IFIP)的第 11.10 工作小組於 2007 年 3月 18~21日舉辦第 一屆重要民生基礎設施防護(Critical Infrastructure Protection, CIP)研討會；國際標 準化組織(International Organization for Standardization, ISO)於 2007 年 10月 1~5 日，已開始規劃「重要民生基礎設施資訊安全 」標準的制定計畫；我國也於2007 年 12 月 31 日通過 CNS 27001 (ISO/IEC 27001:2005)資訊安全管理系統 (Information Security Management System, ISMS)驗證之重要民生基礎設施防護。 然而 CIP所使用的風險評鑑方法論為：資訊資產價值 = 機密性 + 完整性 +可 用性，這個方法論有理論上之缺陷，且未加入後果識別項目。所謂的重要民生基 礎設施係指一個國家為維持民生、經濟與政府等運作而提供之基本產品與服務， 例如：通訊、能源、金融、電力、供水及健保等。當這些基礎設施的運作中斷時， 將會對人民的生命、健康及財產，甚至國家的安全造成重大的影響。因此，除了 基礎建設