信息安全稽核管控系统及方法
【专利摘要】本发明揭露一种信息安全稽核管控系统及方法。信息安全稽核管控方法应用于信息安全稽核管控系统,其中信息安全稽核管控方法包含:根据组织的多个组织成员各对应的结构层级及至少一特征计算对应的正规加权值;对组织成员计算对应多个风险稽核项目的多个风险评分值,进一步依据风险评分值以及各组织成员的正规加权值计算各组织成员的正规化风险值;以及判断各组织成员的正规化风险值与多个风险门槛值区间的相对关系,以根据相对关系动态调整风险稽核项目的稽核周期及/或稽核项目数量。
【专利说明】信息安全稽核管控系统及方法
【技术领域】
[0001]本发明是有关于一种信息安全稽核技术,且特别是有关于一种信息安全稽核管控系统及方法。
【背景技术】
[0002]在网络及计算机技术日益发达的今天,大量的信息可透过计算机装置进行处理与储存,亦可通过网络快速地交换与传输。虽然利用网络与计算机可加速信息的处理与控管,带来许多的便利性,但是网络与计算机的漏洞往往也成为骇客攻击的目标。在遭受骇客攻击后,如公司或是公家机关的机密资料将有外泄的疑虑。因此,信息安全的重要性不言而喻。
[0003]在信息安全的控管流程中,往往是针对单一弱点或是重要资产进行评估,无法针对组织或企业提供整体信息安全的风险评估。并且,信息安全风险评估多采人力固定周期的方式进行,在信息安全威胁愈来愈多且持续发生的情形下,将无法有效率地进行控管,从而提高发生信息安全事件的机率。
[0004]因此,如何设计一个信息安全稽核管控系统及方法,以积极且有效率的进行动态稽核与管控,乃为此一业界亟待解决的问题。
【发明内容】
[0005]因此,本发明的一方面是在提供一种信息安全稽核管控系统,包含:群组分化模块、风险计算模块以及动态稽核模块。群组分化模块根据组织的多个组织成员各对应的结构层级及至少一特征计算对应的正规加权值。风险计算模块对组织成员计算对应多个风险稽核项目的多个风险评分值,进一步依据风险评分值以及各组织成员的正规加权值计算各组织成员的正规化风险值。动态稽核模块判断各组织成员的正规化风险值及/或风险评分值与多个风险门槛值区间的相对关系,以根据相对关系动态调整风险稽核项目的稽核周期及/或稽核项目数量。
[0006]依据本发明一实施例,其中当正规化风险值及/或风险评分值由第一风险门槛值区间变动至第二风险门槛值区间,且第一风险门槛值区间小于第二风险门槛值区间,动态稽核模块调降稽核周期及/或调增稽核项目数量。
[0007]依据本发明另一实施例,其中当正规化风险值及/或风险评分值由一第一风险门槛值区间变动至一第二风险门槛值区间,且第一风险门槛值区间大于第二风险门槛值区间,动态稽核模块调增稽核周期及/或调降稽核项目数量。
[0008]依据本发明又一实施例,其中动态稽核模块是依特定比例或风险稽核项目关联性动态调整稽核周期及/或稽核项目数量。
[0009]依据本发明再一实施例,其中动态稽核模块还依据相对关系动态调整警示频率及/或事件处理频率。
[0010]依据本发明还具有的一实施例,其中特征包含成员属性、成员资产价值、成员营运绩效或其排列组合。
[0011]依据本发明再具有的一实施例,还包含关联数据库,其中群组分化模块进一步将结构层级、特征以及正规加权值储存于关联数据库。
[0012]依据本发明一实施例,其中风险计算模块计算各组织成员的正规化风险值是由组织成员中具有最低结构层级者依序计算至具有最高结构层级者。
[0013]依据本发明另一实施例,其中组织成员包含至少一人员及/或至少一系统资源。
[0014]本发明的另一方面是在提供一种信息安全稽核管控方法,应用于信息安全稽核管控系统,其中信息安全稽核管控方法包含:根据组织的多个组织成员各对应的结构层级及至少一特征计算对应的正规加权值;对组织成员计算对应多个风险稽核项目的多个风险评分值,进一步依据风险评分值以及各组织成员的正规加权值计算各组织成员的正规化风险值;以及判断各组织成员的正规化风险值及/或风险评分值与多个风险门槛值区间的相对关系,以根据相对关系动态调整风险稽核项目的稽核周期及/或稽核项目数量。
[0015]依据本发明一实施例,其中动态调整风险稽核项目的步骤还包含当正规化风险值及/或风险评分值由第一风险门槛值区间变动至第二风险门槛值区间,且第一风险门槛值区间小于第二风险门槛值区间,调降稽核周期及/或调增稽核项目数量。
[0016]依据本发明另一实施例,其中动态调整风险稽核项目的步骤还包含当正规化风险值及/或风险评分值由第一风险门槛值区间变动至第二风险门槛值区间,且第一风险门槛值区间大于第二风险门槛值区间,调增稽核周期及/或调降稽核项目数量。
[0017]依据本发明又一实施例,其中动态调整风险稽核项目的步骤还包含依特定比例或风险稽核项目关联性动态调整稽核周期及/或稽核项目数量。
[0018]依据本发明再一实施例,其中信息安全稽核管控方法还包含依据相对关系动态调整警示频率及/或事件处理频率。
[0019]依据本发明还具有的一实施例,其中特征包含成员属性、成员资产价值、成员营运绩效或其排列组合。
[0020]依据本发明再具有的一实施例,信息安全稽核管控方法还包含将结构层级、特征以及正规加权值储存于关联数据库。
[0021]依据本发明一实施例,其中计算各组织成员的正规化风险值的步骤还包含由组织成员中具有最低结构层级者依序计算至具有最高结构层级者。
[0022]依据本发明另一实施例,其中组织成员包含至少一人员及/或至少一系统资源。
[0023]应用本发明的优点在于通过依据各个成员依结构层级进行正规化后的风险值来动态调整稽核的周期及稽核的项目数量,可对组织的安全性进行更弹性地调整及监控,而轻易地达到上述的目的。
【专利附图】
【附图说明】
[0024]为让本发明的上述和其他目的、特征、优点与实施例能更明显易懂,所附附图的说明如下:
[0025]图1为本发明一实施例中,一种信息安全稽核管控系统的方块图;
[0026]图2为本发明一实施例中,组织架构的示意图;
[0027]图3为本发明一实施例中,风险评分的直觉显示界面示意图;[0028]图4为本发明一实施例中,一种信息安全稽核管控方法的流程图;
[0029]图5为本发明一实施例中,动态调整风险稽核项目的稽核周期更详细的流程图;以及
[0030]图6为本发明一实施例中,动态调整风险稽核项目的稽核项目数量更详细的流程图。
[0031]【主要元件符号说明】
[0032]1:信息安全稽核管控系统 10:群组分化模块
[0033]11:组织信息12:关联数据库
[0034]13:正规加权值14:风险计算模块
[0035]15:风险稽核项目16:动态稽核模块
[0036]17:风险值18:操作界面
[0037]400:信息安全稽核管控方法401-407:步骤
[0038]501-505 步骤601_605:步骤
【具体实施方式】
[0039]请参照图1。图1为本发明一实施例中,一种信息安全稽核管控系统I的方块图。信息安全稽核管控系统I包含`:群组分化模块10、关联数据库12、风险计算模块14、动态稽核模块16以及操作界面18。
[0040]操作界面18可用以供使用者输入一个组织的组织信息11,包含多个组织成员各对应的结构层级及至少一特征。其中,“组织”一词可例如但不限于一个公司、一个社团或一个机关,其成员的结构层级可由高结构层级的成员(如事业群、部门等)进行群组分类直至低结构层级的成员(如小组、个人等)。并且,组织的成员可包含人员以及系统资源(如个人主机、开发系统或网管系统等)。
[0041]特征于本实施例中,包含可例如但不限于成员属性、成员资产价值、成员营运绩效或其排列组合。举例来说,成员属性可区分为高度机密性、中度机密性及低度机密性。成员资产价值可例如为各小组的系统资源的价值。成员营运绩效则可例如为各事业群单位的总产值。
[0042]群组分化模块10可根据包含多个组织成员各对应的结构层级及至少一特征的组织信息11,计算各个组织成员对应的正规加权值13。依上述结构层级以及特征,群组分化模块10可例如但不限于以比例分配的分式计算出正规加权值13。更详细的范例,将于后续的段落有进一步的说明。于本实施例中,组织信息11以及对应的正规加权值13可进一步储存于关联数据库12中。
[0043]操作界面18于本实施例中还可供使用者输入各个组织成员对应的多个风险稽核项目15。风险稽核项目15可例如但不限于侦测如个人计算机、开发系统或网管系统的系统资源中防毒软体的版本、更新日期、系统中及/或系统中软体的密码强度、防火墙系统设定或入侵侦测防御系统等防护项目设定、以及系统资源弱点检测项目等等。风险计算模块14可对上述的各个组织成员计算对应多个风险稽核项目15的多个风险评分值。举例来说,风险评分值可为例如但不限于0-100的分数,分数愈高表示其信息安全风险愈大。其中,不同风险稽核项目对应使用的风险值计算方法可由各种已知的方式进行评分,因此不再此进行赘述。风险计算模块14进一步依据风险评分值以及各组织成员的正规加权值13计算各组织成员的正规化风险值。
[0044]于一实施例中,风险计算模块14可依组织成员中具有最低结构层级者起始计算风险评分值以及正规化风险值,再依序计算至具有最高结构层级者。
[0045]动态稽核模块16判断各组织成员由风险计算模块14计算出,包含正规化风险值及/或风险评分值的风险值17与多个风险门槛值区间的相对关系,以根据相对关系动态调整前述的风险稽核项目15的稽核周期及/或稽核项目数量。其中,稽核周期表示每次稽核的间隔时间。调降或调增稽核周期即表示缩短或拉长每次稽核的间隔时间。例如由每两周进行一次稽核调整为每一周进行一次稽核,即为对稽核周期进行调降,而由每一周进行一次稽核调整为每两周进行一次稽核,即为对稽核周期进行调增。而对于稽核项目数量的调整则例如由对如个人计算机、开发系统或网管系统的系统资源中防毒软体的厂牌及版本的稽核调整为对系统资源中防毒软体的厂牌、版本、更新日期、扫描频率的稽核,即为对稽核项目数量进行调增。而由对系统资源的密码强度、防火墙系统政策设定或入侵侦测防御系统等防护项目设定、以及系统资源弱点检测项目、使用者权限的稽核调整为仅对密码强度的稽核,则为对稽核项目数量进行调降。
[0046]于一实施例中,当正规化风险值及/或风险评分值由第一风险门槛值区间变动至第二风险门槛值区间,且第一风险门槛值区间小于第二风险门槛值区间,动态稽核模块16将调降稽核周期及/或调增稽核项目数量。举例来说,当前次稽核的正规化风险值由50分至60分的区间变动至60分至70分的区间,即表示风险升高,则动态稽核模块16动态地调降稽核周期及/或调增稽核项目数量。
[0047]于另一实施例中,当正规化风险值及/或风险评分值由第一风险门槛值区间变动至第二风险门槛值区间,且第一风险门槛值区间大于第二风险门槛值区间,动态稽核模块16将调增稽核周期及/或调降稽核项目数量。举例来说,当前次稽核的风险评分值由91分至100分的区间变动至71分至80分的区间,即表示风险降低,则动态稽核模块16动态地调降稽核周期及/或调增稽核项目数量。
[0048]于不同的实施例,动态稽核模块16可依特定比例或风险稽核项目关联性动态调整稽核周期及/或稽核项目数量。举例来说,当正规化风险值由51分至60分的区间变动至61分至70分的区间,即将稽核周期缩短一半,而当正规化风险值由61分至70分的区间变动至71分至80分的区间,则将稽核周期缩短为四分之一。稽核项目数量亦可进行类似的调整,例如当正规化风险值由51分至60分的区间变动至61分至70分的区间,则稽核项目的数量由三项增加为六项。而当正规化风险值由61分至70分的区间变动至71分至80分的区间,则稽核项目的数量由六项增加为八项后,则额外依与此八项相关联的稽核项目额外纳入两项成为十项(如原先稽核项目为防毒软体,则与防止计算机系统被入侵的防火墙相关稽核项目亦被纳入)。需注意的是,以上的比例仅为举例,于其他实施例中,可依其他的比例进行调整。
[0049]于一实施例中,动态稽核模块16可还依据相对关系动态调整警示频率及/或事件处理频率。举例来说,动态稽核模块16可依据在正规化风险值及/或风险评分值由低风险门槛值区间变动至高风险门槛值区间时,将警示频率及/或事件处理频率提高,以密集地提示相关人员需加紧信息安全漏洞的补强(如透过对软硬体的调整、对人员的信息安全教育训练或对人员的电子邮件警示),或是将数据库更新频率提高等。
[0050]因此,通过依据各个成员依结构层级进行正规化后的风险值来动态调整稽核的周期及稽核的项目数量,可对组织的安全性进行更弹性地调整及监控。
[0051]请参照图2。图2为本发明一实施例中,组织架构的示意图。此范例中的组织总资产为1000万,并区分为各具600万资产的A组及400万资产的B组两个成员。其中A组又区分为三个成员,即人员Al、A2及A3,各具有300万、150万及150万的资产。B组亦区分为三个成员,即人员B1、B2及B3,各具有200万、100万及100万的资产。各个人员具有三个稽核项目,且其稽核项目的风险评分值于其下列出。
[0052]因此,如组织的正规加权值为1,则A组及B组于其同层级架构将被分别由群组分化模块10计算出0.6及0.4的正规加权值,人员Al、A2及A3的正规加权值分别由群组分化模块10计算出为0.5,0.25及0.25,而人员B 1、B2及B3的正规加权值分别由群组分化模块10计算出为0.5,0.25及0.25。
[0053]由于对人员Al的稽核项目的风险评分值为40、90及55,因此经过风险计算模块14平均计算后人员Al的正规化风险值将为(40+90+55)/3=61.67。依类似方式风险计算模块14可计算出人员A2及A3的正规化风险值将为65及40。而B 1、B2及B3分别的正规化风险值将为40、36.67及30。A组的正规化风险值将由风险计算模块14计算为61.67*0.5+65*0.25+40*0.25=57.0853 组的正规化风险值将为 40*0.5+36.67*0.25+30*0.25=36.66。最后,组织的正规化风险值将由风险计算模块14计算为48.315。
[0054]因此,动态稽核模块16将对正规化风险值进行判断。举例来说,人员Al如果在稽核项目2的风险评分值超过门槛值70分,则将使人员Al稽核项目2的稽核周期由两周调整为一周。而如果A组中人员Al及A2的正规化风险值均超过门槛值65,则可将人员Al及A2的所有稽核项目的稽核周期由两周调整为一周,或是将A组所有人员的所有稽核项目的稽核周期均由两周调整为一周。并且由于人员Al在稽核项目2的风险评分值由门槛值区间71-80变动至81-90分,因此亦可同时动态调整其稽核项目的数量为五个。
[0055]请参照图3。图3为本发明一实施例中,风险评分的直觉显示界面示意图。于本实施例中,风险计算模块14可进一步将计算出的风险评分值及正规化风险值以图3绘示的方式显示于系统的显示器(未绘示)的显示界面上,将群组、子群组、总体风险评分区间等以直觉颜色深浅方式呈现。于其他实施例中,亦可以其他输出装置以例如但不限于图示大小、音量大小、音频高低等直觉方式呈现组织的信息安全风险情形。
[0056]请参照图4。图4为本发明一实施例中,一种信息安全稽核管控方法400的流程图。信息安全稽核管控方法400可应用于如图1所绘示的信息安全稽核管控系统I。此信息安全稽核管控方法400可实作为一计算机程序,并储存于一计算机可读取记录媒体中,而使计算机读取此记录媒体后执行信息安全稽核管控方法。计算机可读取记录媒体可为只读记忆体、快闪记忆体、软盘、硬盘、光盘、随身盘、磁带、可由网络存取的数据库或熟悉此技艺者可轻易思及具有相同功能的计算机可读取记录媒体。信息安全稽核管控方法400包含下列步骤(应了解到,在本实施方式中所提及的步骤,除特别叙明其顺序者外,均可依实际需要调整其前后顺序,甚至可同时或部分同时执行)。
[0057]于步骤401,稽核流程开始。
[0058]于步骤402,由群组分化模块10根据组织的多个组织成员各对应的结构层级及至少一特征计算对应的正规加权值。
[0059]于步骤403,由风险计算模块14对组织成员计算对应多个风险稽核项目的多个风险评分值,进一步依据风险评分值以及各组织成员的正规加权值计算各组织成员的正规化风险值。
[0060]于步骤404,由动态稽核模块16判断各组织成员的正规化风险值及/或风险评分值与多个风险门槛值区间的相对关系是否变动。
[0061]当相对关系变动,亦即由第一风险门槛值区间变动至第二风险门槛值区间,则流程将于步骤405动态调整风险稽核项目的稽核周期及/或稽核项目数量,并继续进行至步骤406,结束稽核流程,并依照动态调整后及/或恢复预设值调整后的稽核周期及/或稽核项目数量于下次稽核时回至步骤401启始稽核流程。
[0062]当相对关系未变动,于步骤407,进一步检查正规化风险值及/或风险评分值所位于风险门槛值区间的稽核周期及/或稽核项目数量是否为对应的预设值。当并非预设值,流程将进行至步骤405调整风险稽核项目的稽核周期及/或稽核项目数量。而如正规化风险值及/或风险评分值所位于风险门槛值区间的稽核周期及/或稽核项目数量是对应的预设值,则流程将进行至步骤406,以结束稽核流程。
[0063]请参照图5。图5为本发明一实施例中,图4中的步骤405中动态调整风险稽核项目的稽核周期的步骤更详细的流程图。
[0064]于步骤501,稽核周期动态调整流程开始。
[0065]于步骤502,判断是否需要依正规化风险值及/或风险评分值调增或调降稽核周期。
[0066]当此流程是延续图4中的步骤404进行时,则判断为需要依正规化风险值及/或风险评分值调增或调降稽核周期,并于步骤503将稽核周期依特定比例调增或调降。流程接着将进行至步骤504,结束稽核周期动态调整流程。
[0067]当此流程是延续图4中的步骤407进行时,则判断为不需要依正规化风险值及/或风险评分值调增或调降稽核周期,并于步骤505将稽核周期调整回复至预设值。流程接着将进行至步骤504,结束稽核周期动态调整流程。
[0068]请参照图6。图6为本发明一实施例中,图4中的步骤405中动态调整风险稽核项目的稽核项目数量的步骤更详细的流程图。
[0069]于步骤601,稽核项目数量动态调整流程开始。
[0070]于步骤602,判断是否需要依正规化风险值及/或风险评分值调增或调降稽核项
目数量。
[0071]当此流程是延续图4中的步骤404进行时,则判断为需要依正规化风险值及/或风险评分值调增或调降稽核项目数量,并于步骤603依特定比例调增或调降稽核项目数量或关联稽核项目。流程接着将进行至步骤604,结束稽核项目数量动态调整流程。
[0072]当此流程是延续图4中的步骤407进行时,则判断为不需要依正规化风险值及/或风险评分值调增或调降稽核项目数量,并于步骤605将稽核项目数量调整回复至预设值。流程接着将进行至步骤604,结束稽核项目数量动态调整流程。
[0073]虽然本发明已以实施方式揭露如上,然其并非用以限定本发明,任何熟悉此技艺者,在不脱离本发明的精神和范围内,当可作各种的更动与润饰,因此本发明的保护范围当视所附的权利要求书所界定的范围为准。
【权利要求】
1.一种信息安全稽核管控系统,其特征在于,包含: 一群组分化模块,用以根据一组织的多个组织成员各对应的一结构层级及至少一特征计算对应的一正规加权值; 一风险计算模块,用以对所述多个组织成员计算对应多个风险稽核项目的多个风险评分值,进一步依据所述多个风险评分值以及各所述组织成员的该正规加权值计算各所述组织成员的一正规化风险值;以及 一动态稽核模块,用以判断各所述组织成员的该正规化风险值及/或所述多个风险评分值与多个风险门槛值区间的一相对关系,以根据该相对关系动态调整所述多个风险稽核项目的一稽核周期及/或一稽核项目数量。
2.根据权利要求1所述的信息安全稽核管控系统,其特征在于,当该正规化风险值及/或所述多个风险评分值由一第一风险门槛值区间变动至一第二风险门槛值区间,且该第一风险门槛值区间小于该第二风险门槛值区间,该动态稽核模块调降该稽核周期及/或调增该稽核项目数量。
3.根据权利要求1所述的信息安全稽核管控系统,其特征在于,当该正规化风险值及/或所述多个风险评分值由一第一风险门槛值区间变动至一第二风险门槛值区间,且该第一风险门槛值区间大于该第二风险门槛值区间,该动态稽核模块调增该稽核周期及/或调降该稽核项目数量。
4.根据权利要求1所述的信息安全稽核管控系统,其特征在于,该动态稽核模块是依一特定比例或一风险稽 核项目关联性动态调整该稽核周期及/或该稽核项目数量。
5.根据权利要求1所述的信息安全稽核管控系统,其特征在于,该动态稽核模块还依据该相对关系动态调整一警示频率及/或一事件处理频率。
6.根据权利要求1所述的信息安全稽核管控系统,其特征在于,该特征包含一成员属性、一成员资产价值、一成员营运绩效或其排列组合。
7.根据权利要求1所述的信息安全稽核管控系统,其特征在于,还包含一关联数据库,其中该群组分化模块进一步将该结构层级、该特征以及该正规加权值储存于该关联数据库。
8.根据权利要求1所述的信息安全稽核管控系统,其特征在于,该风险计算模块计算各所述组织成员的该正规化风险值是由所述多个组织成员中具有一最低结构层级者依序计算至具有一最高结构层级者。
9.根据权利要求1所述的信息安全稽核管控系统,其特征在于,所述多个组织成员包含至少一人员及/或至少一系统资源。
10.一种信息安全稽核管控方法,其特征在于,应用于一信息安全稽核管控系统,其中该信息安全稽核管控方法包含: 根据一组织的多个组织成员各对应的一结构层级及至少一特征计算对应的一正规加权值; 对所述多个组织成员计算对应多个风险稽核项目的多个风险评分值,进一步依据所述多个风险评分值以及各所述组织成员的该正规加权值计算各所述组织成员的一正规化风险值;以及 判断各所述组织成员的该正规化风险值及/或所述多个风险评分值与多个风险门槛值区间的一相对关系,以根据该相对关系动态调整所述多个风险稽核项目的一稽核周期及/或一稽核项目数量。
11.根据权利要求10所述的信息安全稽核管控方法,其特征在于,动态调整所述多个风险稽核项目的步骤还包含当该正规化风险值及/或所述多个风险评分值由一第一风险门槛值区间变动至一第二风险门槛值区间,且该第一风险门槛值区间小于该第二风险门槛值区间,调降该稽核周期及/或调增该稽核项目数量。
12.根据权利要求10所述的信息安全稽核管控方法,其特征在于,动态调整所述多个风险稽核项目的步骤还包含当该正规化风险值及/或所述多个风险评分值由一第一风险门槛值区间变动至一第二风险门槛值区间,且该第一风险门槛值区间大于该第二风险门槛值区间,调增该稽核周期及/或调降该稽核项目数量。
13.根据权利要求10所述的信息安全稽核管控方法,其特征在于,动态调整所述多个风险稽核项目的步骤还包含依一特定比例或一风险稽核项目关联性动态调整该稽核周期及/或该稽核项目数量。
14.根据权利要求10所述的信息安全稽核管控方法,其特征在于,还包含依据该相对关系动态调整一警示频率及/或一事件处理频率。
15.根据权利要求10所述的信息安全稽核管控方法,其特征在于,该特征包含一成员属性、一成员资产价值、一成员营运绩效或其排列组合。
16.根据权利要求10所述的信息安全稽核管控方法,其特征在于,还包含将该结构层级、该特征以及该正规加权值储存于一关联数据库。
17.根据权利要求10所述的信息安全稽核管控方法,其特征在于,计算各所述组织成员的该正规化风险值的步骤还包含由所述多个组织成员中具有一最低结构层级者依序计算至具有一最闻结构层级者。
18.根据权利 要求10所述的信息安全稽核管控方法,其特征在于,所述多个组织成员包含至少一人员及/或至少一系统资源。
【文档编号】G06Q10/06GK103810558SQ201210476879
【公开日】2014年5月21日 申请日期:2012年11月21日 优先权日:2012年11月6日
【发明者】郭建廷, 阮鹤鸣, 雷钦隆 申请人:财团法人资讯工业策进会