2022 年 08 月
https://technews.tw/2022/08/02/ukrainian-russian-war/
Sec 3.
基礎設施與政府
1.
俄烏衝突體現戰爭數位化 惡意程式強襲基礎設施
https://www.netadmin.com.tw/netadmin/zh-tw/technology/71C2E323B6A84F16AFD353D4EAB08A89
2.
新竹市稅務局以自學方式建置資訊安全管理系統(ISMS)
https://www.hcct.gov.tw/ch/home.jsp?id=26&parentpath=0,1,15
新竹市稅務局99年12月22日全部地方稅稽徵業務,榮獲經濟部標準檢驗局認可登錄證書,展現保護民眾納稅資料免受任何資安事件破壞、干擾、入侵之決心。
本局98年首創以自學方式建置資訊安全管理系統(ISMS),並以退稅為核心業務通過ISO27001認可驗證,不但替市庫節省經費達200餘萬元,99年再度利用首次追查評鑑機會,將全部核心業務範圍包括房屋稅、地價稅、田賦、使用牌照稅、土地增值稅、契稅、印花稅、娛樂稅及欠、退稅等資訊安全管理活動,都申請通過認證,再度為市庫節省100萬元以上經費。
經濟部標準檢驗局非常肯定該局缺乏經費,竟能夠在短短一年內,完成全部核心業務認證,尤其編制內沒有資訊專責人員,也能夠進行比資訊人員更專業、更艱鉅的工作,這種自動自發的精神實在令人佩服。
石明紫局長表示,通過認證是責任的開始,為提供更安全可信賴的租稅環境,未來將秉持民眾優先,安全第一的服務理念,繼續強化資訊安全防護能力,讓民眾「稅」得更安心!
100年4月20日榮獲資安人第三屆2011資安貢獻獎
為落實資訊安全管理,保障民眾權益,111年1月29日第13年通過ISO 27001認證,顯示稅務局資安防護工作不鬆懈,持續強化資安防禦能量,營造安全可信賴之租稅環境。
Sec 4.
製造業
1.
2.
2018/08
台積電產線中毒大當機,52億元資安震撼教育
https://www.ithome.com.tw/article/125106
Sec. 5.
Sec. 6
(資料來源:https://ithelp.ithome.com.tw/articles/10311739)
事件基-- 基於情景方式(EVENT BASE)
資訊安全管理系統的相關標準ISO 27001及27002在2022年改版,國內很少人注意到ISO 27005 資訊安全風險管理的標準也同時做了修訂及改版作業,ISO組織希望藉由ISO 27005的改版達成目前業界使用的風險分析及管理作業能夠更加有效率並能夠結合管控措施的做法,這次的改版最重要的精神是引進基於情景方式(EVENT BASE)風險分析的概念,雖然說前一版也有提到場景的概念,但是卻沒有如此的清楚解釋,目前大部分的顧問公司或公家機關所使用的風險分析均是以基於資產的方式(ASSEST BASE)執行風險分析,在資通系統風險評鑑參考指引(行政院資通安全會報技術服務中心)的做法中雖然引進高階風險分析的方式,但是未將情景的部分納入考量,這也就是我們所面臨的問題,每年重覆做一樣的風險分析,對我們究竟有何意義,能不能協助我們找到真正需要處理的風險。
ISO 27005:2022的基本想法如下,首先建立情景,找到與風險關聯的利害關係者,識別相關風險來源,對此項情景有關聯的營運資產(資料或是業務流程)分析情景事件發生後的後果;再經由支援性資產(軟體、硬體等)分析事件發生的可能性,結合兩者去判斷風險等級。
如下圖
舉例來說:情景是駭客侵入使用者電腦,藉由電腦存取ERP系統的未經授權資料,可以經由ERP系統及WEB去判定其風險等級,如下圖
執行這種方式的風險分析,會比一般直接以資訊資產來做分析更有依據,藉由情景的設定,可以使執行風險分析的人不必執著如何選擇威脅及弱點,有了場景,對應的威脅弱點就很明確,有不用到處去猜測後果及可能性,當然對於場景的設定有必須要有一定的資訊安全背景的人才有辦法執行。
當然ISO 27005是指引性質,並未強制要求一定要用這種方式來做風險分析,但我覺得非常有參考價值。
Tools:
Dr. Risk ISO27005風險評鑑管理與分析 專業工具
資訊安全風險評鑑實作初探
https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=5198
