信息安全稽核管控系統(tǒng)及方法
【專利摘要】本發(fā)明揭露一種信息安全稽核管控系統(tǒng)及方法。信息安全稽核管控方法應(yīng)用于信息安全稽核管控系統(tǒng),其中信息安全稽核管控方法包含:根據(jù)組織的多個組織成員各對應(yīng)的結(jié)構(gòu)層級及至少一特征計算對應(yīng)的正規(guī)加權(quán)值;對組織成員計算對應(yīng)多個風(fēng)險稽核項目的多個風(fēng)險評分值,進(jìn)一步依據(jù)風(fēng)險評分值以及各組織成員的正規(guī)加權(quán)值計算各組織成員的正規(guī)化風(fēng)險值;以及判斷各組織成員的正規(guī)化風(fēng)險值與多個風(fēng)險門檻值區(qū)間的相對關(guān)系,以根據(jù)相對關(guān)系動態(tài)調(diào)整風(fēng)險稽核項目的稽核周期及/或稽核項目數(shù)量。
【專利說明】信息安全稽核管控系統(tǒng)及方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明是有關(guān)于一種信息安全稽核技術(shù),且特別是有關(guān)于一種信息安全稽核管控系統(tǒng)及方法。
【背景技術(shù)】
[0002]在網(wǎng)絡(luò)及計算機(jī)技術(shù)日益發(fā)達(dá)的今天,大量的信息可透過計算機(jī)裝置進(jìn)行處理與儲存,亦可通過網(wǎng)絡(luò)快速地交換與傳輸。雖然利用網(wǎng)絡(luò)與計算機(jī)可加速信息的處理與控管,帶來許多的便利性,但是網(wǎng)絡(luò)與計算機(jī)的漏洞往往也成為駭客攻擊的目標(biāo)。在遭受駭客攻擊后,如公司或是公家機(jī)關(guān)的機(jī)密資料將有外泄的疑慮。因此,信息安全的重要性不言而喻。
[0003]在信息安全的控管流程中,往往是針對單一弱點或是重要資產(chǎn)進(jìn)行評估,無法針對組織或企業(yè)提供整體信息安全的風(fēng)險評估。并且,信息安全風(fēng)險評估多采人力固定周期的方式進(jìn)行,在信息安全威脅愈來愈多且持續(xù)發(fā)生的情形下,將無法有效率地進(jìn)行控管,從而提高發(fā)生信息安全事件的機(jī)率。
[0004]因此,如何設(shè)計一個信息安全稽核管控系統(tǒng)及方法,以積極且有效率的進(jìn)行動態(tài)稽核與管控,乃為此一業(yè)界亟待解決的問題。
【發(fā)明內(nèi)容】
[0005]因此,本發(fā)明的一方面是在提供一種信息安全稽核管控系統(tǒng),包含:群組分化模塊、風(fēng)險計算模塊以及動態(tài)稽核模塊。群組分化模塊根據(jù)組織的多個組織成員各對應(yīng)的結(jié)構(gòu)層級及至少一特征計算對應(yīng)的正規(guī)加權(quán)值。風(fēng)險計算模塊對組織成員計算對應(yīng)多個風(fēng)險稽核項目的多個風(fēng)險評分值,進(jìn)一步依據(jù)風(fēng)險評分值以及各組織成員的正規(guī)加權(quán)值計算各組織成員的正規(guī)化風(fēng)險值。動態(tài)稽核模塊判斷各組織成員的正規(guī)化風(fēng)險值及/或風(fēng)險評分值與多個風(fēng)險門檻值區(qū)間的相對關(guān)系,以根據(jù)相對關(guān)系動態(tài)調(diào)整風(fēng)險稽核項目的稽核周期及/或稽核項目數(shù)量。
[0006]依據(jù)本發(fā)明一實施例,其中當(dāng)正規(guī)化風(fēng)險值及/或風(fēng)險評分值由第一風(fēng)險門檻值區(qū)間變動至第二風(fēng)險門檻值區(qū)間,且第一風(fēng)險門檻值區(qū)間小于第二風(fēng)險門檻值區(qū)間,動態(tài)稽核模塊調(diào)降稽核周期及/或調(diào)增稽核項目數(shù)量。
[0007]依據(jù)本發(fā)明另一實施例,其中當(dāng)正規(guī)化風(fēng)險值及/或風(fēng)險評分值由一第一風(fēng)險門檻值區(qū)間變動至一第二風(fēng)險門檻值區(qū)間,且第一風(fēng)險門檻值區(qū)間大于第二風(fēng)險門檻值區(qū)間,動態(tài)稽核模塊調(diào)增稽核周期及/或調(diào)降稽核項目數(shù)量。
[0008]依據(jù)本發(fā)明又一實施例,其中動態(tài)稽核模塊是依特定比例或風(fēng)險稽核項目關(guān)聯(lián)性動態(tài)調(diào)整稽核周期及/或稽核項目數(shù)量。
[0009]依據(jù)本發(fā)明再一實施例,其中動態(tài)稽核模塊還依據(jù)相對關(guān)系動態(tài)調(diào)整警示頻率及/或事件處理頻率。
[0010]依據(jù)本發(fā)明還具有的一實施例,其中特征包含成員屬性、成員資產(chǎn)價值、成員營運績效或其排列組合。
[0011]依據(jù)本發(fā)明再具有的一實施例,還包含關(guān)聯(lián)數(shù)據(jù)庫,其中群組分化模塊進(jìn)一步將結(jié)構(gòu)層級、特征以及正規(guī)加權(quán)值儲存于關(guān)聯(lián)數(shù)據(jù)庫。
[0012]依據(jù)本發(fā)明一實施例,其中風(fēng)險計算模塊計算各組織成員的正規(guī)化風(fēng)險值是由組織成員中具有最低結(jié)構(gòu)層級者依序計算至具有最高結(jié)構(gòu)層級者。
[0013]依據(jù)本發(fā)明另一實施例,其中組織成員包含至少一人員及/或至少一系統(tǒng)資源。
[0014]本發(fā)明的另一方面是在提供一種信息安全稽核管控方法,應(yīng)用于信息安全稽核管控系統(tǒng),其中信息安全稽核管控方法包含:根據(jù)組織的多個組織成員各對應(yīng)的結(jié)構(gòu)層級及至少一特征計算對應(yīng)的正規(guī)加權(quán)值;對組織成員計算對應(yīng)多個風(fēng)險稽核項目的多個風(fēng)險評分值,進(jìn)一步依據(jù)風(fēng)險評分值以及各組織成員的正規(guī)加權(quán)值計算各組織成員的正規(guī)化風(fēng)險值;以及判斷各組織成員的正規(guī)化風(fēng)險值及/或風(fēng)險評分值與多個風(fēng)險門檻值區(qū)間的相對關(guān)系,以根據(jù)相對關(guān)系動態(tài)調(diào)整風(fēng)險稽核項目的稽核周期及/或稽核項目數(shù)量。
[0015]依據(jù)本發(fā)明一實施例,其中動態(tài)調(diào)整風(fēng)險稽核項目的步驟還包含當(dāng)正規(guī)化風(fēng)險值及/或風(fēng)險評分值由第一風(fēng)險門檻值區(qū)間變動至第二風(fēng)險門檻值區(qū)間,且第一風(fēng)險門檻值區(qū)間小于第二風(fēng)險門檻值區(qū)間,調(diào)降稽核周期及/或調(diào)增稽核項目數(shù)量。
[0016]依據(jù)本發(fā)明另一實施例,其中動態(tài)調(diào)整風(fēng)險稽核項目的步驟還包含當(dāng)正規(guī)化風(fēng)險值及/或風(fēng)險評分值由第一風(fēng)險門檻值區(qū)間變動至第二風(fēng)險門檻值區(qū)間,且第一風(fēng)險門檻值區(qū)間大于第二風(fēng)險門檻值區(qū)間,調(diào)增稽核周期及/或調(diào)降稽核項目數(shù)量。
[0017]依據(jù)本發(fā)明又一實施例,其中動態(tài)調(diào)整風(fēng)險稽核項目的步驟還包含依特定比例或風(fēng)險稽核項目關(guān)聯(lián)性動態(tài)調(diào)整稽核周期及/或稽核項目數(shù)量。
[0018]依據(jù)本發(fā)明再一實施例,其中信息安全稽核管控方法還包含依據(jù)相對關(guān)系動態(tài)調(diào)整警示頻率及/或事件處理頻率。
[0019]依據(jù)本發(fā)明還具有的一實施例,其中特征包含成員屬性、成員資產(chǎn)價值、成員營運績效或其排列組合。
[0020]依據(jù)本發(fā)明再具有的一實施例,信息安全稽核管控方法還包含將結(jié)構(gòu)層級、特征以及正規(guī)加權(quán)值儲存于關(guān)聯(lián)數(shù)據(jù)庫。
[0021]依據(jù)本發(fā)明一實施例,其中計算各組織成員的正規(guī)化風(fēng)險值的步驟還包含由組織成員中具有最低結(jié)構(gòu)層級者依序計算至具有最高結(jié)構(gòu)層級者。
[0022]依據(jù)本發(fā)明另一實施例,其中組織成員包含至少一人員及/或至少一系統(tǒng)資源。
[0023]應(yīng)用本發(fā)明的優(yōu)點在于通過依據(jù)各個成員依結(jié)構(gòu)層級進(jìn)行正規(guī)化后的風(fēng)險值來動態(tài)調(diào)整稽核的周期及稽核的項目數(shù)量,可對組織的安全性進(jìn)行更彈性地調(diào)整及監(jiān)控,而輕易地達(dá)到上述的目的。
【專利附圖】
【附圖說明】
[0024]為讓本發(fā)明的上述和其他目的、特征、優(yōu)點與實施例能更明顯易懂,所附附圖的說明如下:
[0025]圖1為本發(fā)明一實施例中,一種信息安全稽核管控系統(tǒng)的方塊圖;
[0026]圖2為本發(fā)明一實施例中,組織架構(gòu)的示意圖;
[0027]圖3為本發(fā)明一實施例中,風(fēng)險評分的直覺顯示界面示意圖;[0028]圖4為本發(fā)明一實施例中,一種信息安全稽核管控方法的流程圖;
[0029]圖5為本發(fā)明一實施例中,動態(tài)調(diào)整風(fēng)險稽核項目的稽核周期更詳細(xì)的流程圖;以及
[0030]圖6為本發(fā)明一實施例中,動態(tài)調(diào)整風(fēng)險稽核項目的稽核項目數(shù)量更詳細(xì)的流程圖。
[0031]【主要元件符號說明】
[0032]1:信息安全稽核管控系統(tǒng) 10:群組分化模塊
[0033]11:組織信息12:關(guān)聯(lián)數(shù)據(jù)庫
[0034]13:正規(guī)加權(quán)值14:風(fēng)險計算模塊
[0035]15:風(fēng)險稽核項目16:動態(tài)稽核模塊
[0036]17:風(fēng)險值18:操作界面
[0037]400:信息安全稽核管控方法401-407:步驟
[0038]501-505 步驟601_605:步驟
【具體實施方式】
[0039]請參照圖1。圖1為本發(fā)明一實施例中,一種信息安全稽核管控系統(tǒng)I的方塊圖。信息安全稽核管控系統(tǒng)I包含`:群組分化模塊10、關(guān)聯(lián)數(shù)據(jù)庫12、風(fēng)險計算模塊14、動態(tài)稽核模塊16以及操作界面18。
[0040]操作界面18可用以供使用者輸入一個組織的組織信息11,包含多個組織成員各對應(yīng)的結(jié)構(gòu)層級及至少一特征。其中,“組織”一詞可例如但不限于一個公司、一個社團(tuán)或一個機(jī)關(guān),其成員的結(jié)構(gòu)層級可由高結(jié)構(gòu)層級的成員(如事業(yè)群、部門等)進(jìn)行群組分類直至低結(jié)構(gòu)層級的成員(如小組、個人等)。并且,組織的成員可包含人員以及系統(tǒng)資源(如個人主機(jī)、開發(fā)系統(tǒng)或網(wǎng)管系統(tǒng)等)。
[0041]特征于本實施例中,包含可例如但不限于成員屬性、成員資產(chǎn)價值、成員營運績效或其排列組合。舉例來說,成員屬性可區(qū)分為高度機(jī)密性、中度機(jī)密性及低度機(jī)密性。成員資產(chǎn)價值可例如為各小組的系統(tǒng)資源的價值。成員營運績效則可例如為各事業(yè)群單位的總產(chǎn)值。
[0042]群組分化模塊10可根據(jù)包含多個組織成員各對應(yīng)的結(jié)構(gòu)層級及至少一特征的組織信息11,計算各個組織成員對應(yīng)的正規(guī)加權(quán)值13。依上述結(jié)構(gòu)層級以及特征,群組分化模塊10可例如但不限于以比例分配的分式計算出正規(guī)加權(quán)值13。更詳細(xì)的范例,將于后續(xù)的段落有進(jìn)一步的說明。于本實施例中,組織信息11以及對應(yīng)的正規(guī)加權(quán)值13可進(jìn)一步儲存于關(guān)聯(lián)數(shù)據(jù)庫12中。
[0043]操作界面18于本實施例中還可供使用者輸入各個組織成員對應(yīng)的多個風(fēng)險稽核項目15。風(fēng)險稽核項目15可例如但不限于偵測如個人計算機(jī)、開發(fā)系統(tǒng)或網(wǎng)管系統(tǒng)的系統(tǒng)資源中防毒軟體的版本、更新日期、系統(tǒng)中及/或系統(tǒng)中軟體的密碼強(qiáng)度、防火墻系統(tǒng)設(shè)定或入侵偵測防御系統(tǒng)等防護(hù)項目設(shè)定、以及系統(tǒng)資源弱點檢測項目等等。風(fēng)險計算模塊14可對上述的各個組織成員計算對應(yīng)多個風(fēng)險稽核項目15的多個風(fēng)險評分值。舉例來說,風(fēng)險評分值可為例如但不限于0-100的分?jǐn)?shù),分?jǐn)?shù)愈高表示其信息安全風(fēng)險愈大。其中,不同風(fēng)險稽核項目對應(yīng)使用的風(fēng)險值計算方法可由各種已知的方式進(jìn)行評分,因此不再此進(jìn)行贅述。風(fēng)險計算模塊14進(jìn)一步依據(jù)風(fēng)險評分值以及各組織成員的正規(guī)加權(quán)值13計算各組織成員的正規(guī)化風(fēng)險值。
[0044]于一實施例中,風(fēng)險計算模塊14可依組織成員中具有最低結(jié)構(gòu)層級者起始計算風(fēng)險評分值以及正規(guī)化風(fēng)險值,再依序計算至具有最高結(jié)構(gòu)層級者。
[0045]動態(tài)稽核模塊16判斷各組織成員由風(fēng)險計算模塊14計算出,包含正規(guī)化風(fēng)險值及/或風(fēng)險評分值的風(fēng)險值17與多個風(fēng)險門檻值區(qū)間的相對關(guān)系,以根據(jù)相對關(guān)系動態(tài)調(diào)整前述的風(fēng)險稽核項目15的稽核周期及/或稽核項目數(shù)量。其中,稽核周期表示每次稽核的間隔時間。調(diào)降或調(diào)增稽核周期即表示縮短或拉長每次稽核的間隔時間。例如由每兩周進(jìn)行一次稽核調(diào)整為每一周進(jìn)行一次稽核,即為對稽核周期進(jìn)行調(diào)降,而由每一周進(jìn)行一次稽核調(diào)整為每兩周進(jìn)行一次稽核,即為對稽核周期進(jìn)行調(diào)增。而對于稽核項目數(shù)量的調(diào)整則例如由對如個人計算機(jī)、開發(fā)系統(tǒng)或網(wǎng)管系統(tǒng)的系統(tǒng)資源中防毒軟體的廠牌及版本的稽核調(diào)整為對系統(tǒng)資源中防毒軟體的廠牌、版本、更新日期、掃描頻率的稽核,即為對稽核項目數(shù)量進(jìn)行調(diào)增。而由對系統(tǒng)資源的密碼強(qiáng)度、防火墻系統(tǒng)政策設(shè)定或入侵偵測防御系統(tǒng)等防護(hù)項目設(shè)定、以及系統(tǒng)資源弱點檢測項目、使用者權(quán)限的稽核調(diào)整為僅對密碼強(qiáng)度的稽核,則為對稽核項目數(shù)量進(jìn)行調(diào)降。
[0046]于一實施例中,當(dāng)正規(guī)化風(fēng)險值及/或風(fēng)險評分值由第一風(fēng)險門檻值區(qū)間變動至第二風(fēng)險門檻值區(qū)間,且第一風(fēng)險門檻值區(qū)間小于第二風(fēng)險門檻值區(qū)間,動態(tài)稽核模塊16將調(diào)降稽核周期及/或調(diào)增稽核項目數(shù)量。舉例來說,當(dāng)前次稽核的正規(guī)化風(fēng)險值由50分至60分的區(qū)間變動至60分至70分的區(qū)間,即表示風(fēng)險升高,則動態(tài)稽核模塊16動態(tài)地調(diào)降稽核周期及/或調(diào)增稽核項目數(shù)量。
[0047]于另一實施例中,當(dāng)正規(guī)化風(fēng)險值及/或風(fēng)險評分值由第一風(fēng)險門檻值區(qū)間變動至第二風(fēng)險門檻值區(qū)間,且第一風(fēng)險門檻值區(qū)間大于第二風(fēng)險門檻值區(qū)間,動態(tài)稽核模塊16將調(diào)增稽核周期及/或調(diào)降稽核項目數(shù)量。舉例來說,當(dāng)前次稽核的風(fēng)險評分值由91分至100分的區(qū)間變動至71分至80分的區(qū)間,即表示風(fēng)險降低,則動態(tài)稽核模塊16動態(tài)地調(diào)降稽核周期及/或調(diào)增稽核項目數(shù)量。
[0048]于不同的實施例,動態(tài)稽核模塊16可依特定比例或風(fēng)險稽核項目關(guān)聯(lián)性動態(tài)調(diào)整稽核周期及/或稽核項目數(shù)量。舉例來說,當(dāng)正規(guī)化風(fēng)險值由51分至60分的區(qū)間變動至61分至70分的區(qū)間,即將稽核周期縮短一半,而當(dāng)正規(guī)化風(fēng)險值由61分至70分的區(qū)間變動至71分至80分的區(qū)間,則將稽核周期縮短為四分之一。稽核項目數(shù)量亦可進(jìn)行類似的調(diào)整,例如當(dāng)正規(guī)化風(fēng)險值由51分至60分的區(qū)間變動至61分至70分的區(qū)間,則稽核項目的數(shù)量由三項增加為六項。而當(dāng)正規(guī)化風(fēng)險值由61分至70分的區(qū)間變動至71分至80分的區(qū)間,則稽核項目的數(shù)量由六項增加為八項后,則額外依與此八項相關(guān)聯(lián)的稽核項目額外納入兩項成為十項(如原先稽核項目為防毒軟體,則與防止計算機(jī)系統(tǒng)被入侵的防火墻相關(guān)稽核項目亦被納入)。需注意的是,以上的比例僅為舉例,于其他實施例中,可依其他的比例進(jìn)行調(diào)整。
[0049]于一實施例中,動態(tài)稽核模塊16可還依據(jù)相對關(guān)系動態(tài)調(diào)整警示頻率及/或事件處理頻率。舉例來說,動態(tài)稽核模塊16可依據(jù)在正規(guī)化風(fēng)險值及/或風(fēng)險評分值由低風(fēng)險門檻值區(qū)間變動至高風(fēng)險門檻值區(qū)間時,將警示頻率及/或事件處理頻率提高,以密集地提示相關(guān)人員需加緊信息安全漏洞的補(bǔ)強(qiáng)(如透過對軟硬體的調(diào)整、對人員的信息安全教育訓(xùn)練或?qū)θ藛T的電子郵件警示),或是將數(shù)據(jù)庫更新頻率提高等。
[0050]因此,通過依據(jù)各個成員依結(jié)構(gòu)層級進(jìn)行正規(guī)化后的風(fēng)險值來動態(tài)調(diào)整稽核的周期及稽核的項目數(shù)量,可對組織的安全性進(jìn)行更彈性地調(diào)整及監(jiān)控。
[0051]請參照圖2。圖2為本發(fā)明一實施例中,組織架構(gòu)的示意圖。此范例中的組織總資產(chǎn)為1000萬,并區(qū)分為各具600萬資產(chǎn)的A組及400萬資產(chǎn)的B組兩個成員。其中A組又區(qū)分為三個成員,即人員Al、A2及A3,各具有300萬、150萬及150萬的資產(chǎn)。B組亦區(qū)分為三個成員,即人員B1、B2及B3,各具有200萬、100萬及100萬的資產(chǎn)。各個人員具有三個稽核項目,且其稽核項目的風(fēng)險評分值于其下列出。
[0052]因此,如組織的正規(guī)加權(quán)值為1,則A組及B組于其同層級架構(gòu)將被分別由群組分化模塊10計算出0.6及0.4的正規(guī)加權(quán)值,人員Al、A2及A3的正規(guī)加權(quán)值分別由群組分化模塊10計算出為0.5,0.25及0.25,而人員B 1、B2及B3的正規(guī)加權(quán)值分別由群組分化模塊10計算出為0.5,0.25及0.25。
[0053]由于對人員Al的稽核項目的風(fēng)險評分值為40、90及55,因此經(jīng)過風(fēng)險計算模塊14平均計算后人員Al的正規(guī)化風(fēng)險值將為(40+90+55)/3=61.67。依類似方式風(fēng)險計算模塊14可計算出人員A2及A3的正規(guī)化風(fēng)險值將為65及40。而B 1、B2及B3分別的正規(guī)化風(fēng)險值將為40、36.67及30。A組的正規(guī)化風(fēng)險值將由風(fēng)險計算模塊14計算為61.67*0.5+65*0.25+40*0.25=57.0853 組的正規(guī)化風(fēng)險值將為 40*0.5+36.67*0.25+30*0.25=36.66。最后,組織的正規(guī)化風(fēng)險值將由風(fēng)險計算模塊14計算為48.315。
[0054]因此,動態(tài)稽核模塊16將對正規(guī)化風(fēng)險值進(jìn)行判斷。舉例來說,人員Al如果在稽核項目2的風(fēng)險評分值超過門檻值70分,則將使人員Al稽核項目2的稽核周期由兩周調(diào)整為一周。而如果A組中人員Al及A2的正規(guī)化風(fēng)險值均超過門檻值65,則可將人員Al及A2的所有稽核項目的稽核周期由兩周調(diào)整為一周,或是將A組所有人員的所有稽核項目的稽核周期均由兩周調(diào)整為一周。并且由于人員Al在稽核項目2的風(fēng)險評分值由門檻值區(qū)間71-80變動至81-90分,因此亦可同時動態(tài)調(diào)整其稽核項目的數(shù)量為五個。
[0055]請參照圖3。圖3為本發(fā)明一實施例中,風(fēng)險評分的直覺顯示界面示意圖。于本實施例中,風(fēng)險計算模塊14可進(jìn)一步將計算出的風(fēng)險評分值及正規(guī)化風(fēng)險值以圖3繪示的方式顯示于系統(tǒng)的顯示器(未繪示)的顯示界面上,將群組、子群組、總體風(fēng)險評分區(qū)間等以直覺顏色深淺方式呈現(xiàn)。于其他實施例中,亦可以其他輸出裝置以例如但不限于圖示大小、音量大小、音頻高低等直覺方式呈現(xiàn)組織的信息安全風(fēng)險情形。
[0056]請參照圖4。圖4為本發(fā)明一實施例中,一種信息安全稽核管控方法400的流程圖。信息安全稽核管控方法400可應(yīng)用于如圖1所繪示的信息安全稽核管控系統(tǒng)I。此信息安全稽核管控方法400可實作為一計算機(jī)程序,并儲存于一計算機(jī)可讀取記錄媒體中,而使計算機(jī)讀取此記錄媒體后執(zhí)行信息安全稽核管控方法。計算機(jī)可讀取記錄媒體可為只讀記憶體、快閃記憶體、軟盤、硬盤、光盤、隨身盤、磁帶、可由網(wǎng)絡(luò)存取的數(shù)據(jù)庫或熟悉此技藝者可輕易思及具有相同功能的計算機(jī)可讀取記錄媒體。信息安全稽核管控方法400包含下列步驟(應(yīng)了解到,在本實施方式中所提及的步驟,除特別敘明其順序者外,均可依實際需要調(diào)整其前后順序,甚至可同時或部分同時執(zhí)行)。
[0057]于步驟401,稽核流程開始。
[0058]于步驟402,由群組分化模塊10根據(jù)組織的多個組織成員各對應(yīng)的結(jié)構(gòu)層級及至少一特征計算對應(yīng)的正規(guī)加權(quán)值。
[0059]于步驟403,由風(fēng)險計算模塊14對組織成員計算對應(yīng)多個風(fēng)險稽核項目的多個風(fēng)險評分值,進(jìn)一步依據(jù)風(fēng)險評分值以及各組織成員的正規(guī)加權(quán)值計算各組織成員的正規(guī)化風(fēng)險值。
[0060]于步驟404,由動態(tài)稽核模塊16判斷各組織成員的正規(guī)化風(fēng)險值及/或風(fēng)險評分值與多個風(fēng)險門檻值區(qū)間的相對關(guān)系是否變動。
[0061]當(dāng)相對關(guān)系變動,亦即由第一風(fēng)險門檻值區(qū)間變動至第二風(fēng)險門檻值區(qū)間,則流程將于步驟405動態(tài)調(diào)整風(fēng)險稽核項目的稽核周期及/或稽核項目數(shù)量,并繼續(xù)進(jìn)行至步驟406,結(jié)束稽核流程,并依照動態(tài)調(diào)整后及/或恢復(fù)預(yù)設(shè)值調(diào)整后的稽核周期及/或稽核項目數(shù)量于下次稽核時回至步驟401啟始稽核流程。
[0062]當(dāng)相對關(guān)系未變動,于步驟407,進(jìn)一步檢查正規(guī)化風(fēng)險值及/或風(fēng)險評分值所位于風(fēng)險門檻值區(qū)間的稽核周期及/或稽核項目數(shù)量是否為對應(yīng)的預(yù)設(shè)值。當(dāng)并非預(yù)設(shè)值,流程將進(jìn)行至步驟405調(diào)整風(fēng)險稽核項目的稽核周期及/或稽核項目數(shù)量。而如正規(guī)化風(fēng)險值及/或風(fēng)險評分值所位于風(fēng)險門檻值區(qū)間的稽核周期及/或稽核項目數(shù)量是對應(yīng)的預(yù)設(shè)值,則流程將進(jìn)行至步驟406,以結(jié)束稽核流程。
[0063]請參照圖5。圖5為本發(fā)明一實施例中,圖4中的步驟405中動態(tài)調(diào)整風(fēng)險稽核項目的稽核周期的步驟更詳細(xì)的流程圖。
[0064]于步驟501,稽核周期動態(tài)調(diào)整流程開始。
[0065]于步驟502,判斷是否需要依正規(guī)化風(fēng)險值及/或風(fēng)險評分值調(diào)增或調(diào)降稽核周期。
[0066]當(dāng)此流程是延續(xù)圖4中的步驟404進(jìn)行時,則判斷為需要依正規(guī)化風(fēng)險值及/或風(fēng)險評分值調(diào)增或調(diào)降稽核周期,并于步驟503將稽核周期依特定比例調(diào)增或調(diào)降。流程接著將進(jìn)行至步驟504,結(jié)束稽核周期動態(tài)調(diào)整流程。
[0067]當(dāng)此流程是延續(xù)圖4中的步驟407進(jìn)行時,則判斷為不需要依正規(guī)化風(fēng)險值及/或風(fēng)險評分值調(diào)增或調(diào)降稽核周期,并于步驟505將稽核周期調(diào)整回復(fù)至預(yù)設(shè)值。流程接著將進(jìn)行至步驟504,結(jié)束稽核周期動態(tài)調(diào)整流程。
[0068]請參照圖6。圖6為本發(fā)明一實施例中,圖4中的步驟405中動態(tài)調(diào)整風(fēng)險稽核項目的稽核項目數(shù)量的步驟更詳細(xì)的流程圖。
[0069]于步驟601,稽核項目數(shù)量動態(tài)調(diào)整流程開始。
[0070]于步驟602,判斷是否需要依正規(guī)化風(fēng)險值及/或風(fēng)險評分值調(diào)增或調(diào)降稽核項
目數(shù)量。
[0071]當(dāng)此流程是延續(xù)圖4中的步驟404進(jìn)行時,則判斷為需要依正規(guī)化風(fēng)險值及/或風(fēng)險評分值調(diào)增或調(diào)降稽核項目數(shù)量,并于步驟603依特定比例調(diào)增或調(diào)降稽核項目數(shù)量或關(guān)聯(lián)稽核項目。流程接著將進(jìn)行至步驟604,結(jié)束稽核項目數(shù)量動態(tài)調(diào)整流程。
[0072]當(dāng)此流程是延續(xù)圖4中的步驟407進(jìn)行時,則判斷為不需要依正規(guī)化風(fēng)險值及/或風(fēng)險評分值調(diào)增或調(diào)降稽核項目數(shù)量,并于步驟605將稽核項目數(shù)量調(diào)整回復(fù)至預(yù)設(shè)值。流程接著將進(jìn)行至步驟604,結(jié)束稽核項目數(shù)量動態(tài)調(diào)整流程。
[0073]雖然本發(fā)明已以實施方式揭露如上,然其并非用以限定本發(fā)明,任何熟悉此技藝者,在不脫離本發(fā)明的精神和范圍內(nèi),當(dāng)可作各種的更動與潤飾,因此本發(fā)明的保護(hù)范圍當(dāng)視所附的權(quán)利要求書所界定的范圍為準(zhǔn)。
【權(quán)利要求】
1.一種信息安全稽核管控系統(tǒng),其特征在于,包含: 一群組分化模塊,用以根據(jù)一組織的多個組織成員各對應(yīng)的一結(jié)構(gòu)層級及至少一特征計算對應(yīng)的一正規(guī)加權(quán)值; 一風(fēng)險計算模塊,用以對所述多個組織成員計算對應(yīng)多個風(fēng)險稽核項目的多個風(fēng)險評分值,進(jìn)一步依據(jù)所述多個風(fēng)險評分值以及各所述組織成員的該正規(guī)加權(quán)值計算各所述組織成員的一正規(guī)化風(fēng)險值;以及 一動態(tài)稽核模塊,用以判斷各所述組織成員的該正規(guī)化風(fēng)險值及/或所述多個風(fēng)險評分值與多個風(fēng)險門檻值區(qū)間的一相對關(guān)系,以根據(jù)該相對關(guān)系動態(tài)調(diào)整所述多個風(fēng)險稽核項目的一稽核周期及/或一稽核項目數(shù)量。
2.根據(jù)權(quán)利要求1所述的信息安全稽核管控系統(tǒng),其特征在于,當(dāng)該正規(guī)化風(fēng)險值及/或所述多個風(fēng)險評分值由一第一風(fēng)險門檻值區(qū)間變動至一第二風(fēng)險門檻值區(qū)間,且該第一風(fēng)險門檻值區(qū)間小于該第二風(fēng)險門檻值區(qū)間,該動態(tài)稽核模塊調(diào)降該稽核周期及/或調(diào)增該稽核項目數(shù)量。
3.根據(jù)權(quán)利要求1所述的信息安全稽核管控系統(tǒng),其特征在于,當(dāng)該正規(guī)化風(fēng)險值及/或所述多個風(fēng)險評分值由一第一風(fēng)險門檻值區(qū)間變動至一第二風(fēng)險門檻值區(qū)間,且該第一風(fēng)險門檻值區(qū)間大于該第二風(fēng)險門檻值區(qū)間,該動態(tài)稽核模塊調(diào)增該稽核周期及/或調(diào)降該稽核項目數(shù)量。
4.根據(jù)權(quán)利要求1所述的信息安全稽核管控系統(tǒng),其特征在于,該動態(tài)稽核模塊是依一特定比例或一風(fēng)險稽 核項目關(guān)聯(lián)性動態(tài)調(diào)整該稽核周期及/或該稽核項目數(shù)量。
5.根據(jù)權(quán)利要求1所述的信息安全稽核管控系統(tǒng),其特征在于,該動態(tài)稽核模塊還依據(jù)該相對關(guān)系動態(tài)調(diào)整一警示頻率及/或一事件處理頻率。
6.根據(jù)權(quán)利要求1所述的信息安全稽核管控系統(tǒng),其特征在于,該特征包含一成員屬性、一成員資產(chǎn)價值、一成員營運績效或其排列組合。
7.根據(jù)權(quán)利要求1所述的信息安全稽核管控系統(tǒng),其特征在于,還包含一關(guān)聯(lián)數(shù)據(jù)庫,其中該群組分化模塊進(jìn)一步將該結(jié)構(gòu)層級、該特征以及該正規(guī)加權(quán)值儲存于該關(guān)聯(lián)數(shù)據(jù)庫。
8.根據(jù)權(quán)利要求1所述的信息安全稽核管控系統(tǒng),其特征在于,該風(fēng)險計算模塊計算各所述組織成員的該正規(guī)化風(fēng)險值是由所述多個組織成員中具有一最低結(jié)構(gòu)層級者依序計算至具有一最高結(jié)構(gòu)層級者。
9.根據(jù)權(quán)利要求1所述的信息安全稽核管控系統(tǒng),其特征在于,所述多個組織成員包含至少一人員及/或至少一系統(tǒng)資源。
10.一種信息安全稽核管控方法,其特征在于,應(yīng)用于一信息安全稽核管控系統(tǒng),其中該信息安全稽核管控方法包含: 根據(jù)一組織的多個組織成員各對應(yīng)的一結(jié)構(gòu)層級及至少一特征計算對應(yīng)的一正規(guī)加權(quán)值; 對所述多個組織成員計算對應(yīng)多個風(fēng)險稽核項目的多個風(fēng)險評分值,進(jìn)一步依據(jù)所述多個風(fēng)險評分值以及各所述組織成員的該正規(guī)加權(quán)值計算各所述組織成員的一正規(guī)化風(fēng)險值;以及 判斷各所述組織成員的該正規(guī)化風(fēng)險值及/或所述多個風(fēng)險評分值與多個風(fēng)險門檻值區(qū)間的一相對關(guān)系,以根據(jù)該相對關(guān)系動態(tài)調(diào)整所述多個風(fēng)險稽核項目的一稽核周期及/或一稽核項目數(shù)量。
11.根據(jù)權(quán)利要求10所述的信息安全稽核管控方法,其特征在于,動態(tài)調(diào)整所述多個風(fēng)險稽核項目的步驟還包含當(dāng)該正規(guī)化風(fēng)險值及/或所述多個風(fēng)險評分值由一第一風(fēng)險門檻值區(qū)間變動至一第二風(fēng)險門檻值區(qū)間,且該第一風(fēng)險門檻值區(qū)間小于該第二風(fēng)險門檻值區(qū)間,調(diào)降該稽核周期及/或調(diào)增該稽核項目數(shù)量。
12.根據(jù)權(quán)利要求10所述的信息安全稽核管控方法,其特征在于,動態(tài)調(diào)整所述多個風(fēng)險稽核項目的步驟還包含當(dāng)該正規(guī)化風(fēng)險值及/或所述多個風(fēng)險評分值由一第一風(fēng)險門檻值區(qū)間變動至一第二風(fēng)險門檻值區(qū)間,且該第一風(fēng)險門檻值區(qū)間大于該第二風(fēng)險門檻值區(qū)間,調(diào)增該稽核周期及/或調(diào)降該稽核項目數(shù)量。
13.根據(jù)權(quán)利要求10所述的信息安全稽核管控方法,其特征在于,動態(tài)調(diào)整所述多個風(fēng)險稽核項目的步驟還包含依一特定比例或一風(fēng)險稽核項目關(guān)聯(lián)性動態(tài)調(diào)整該稽核周期及/或該稽核項目數(shù)量。
14.根據(jù)權(quán)利要求10所述的信息安全稽核管控方法,其特征在于,還包含依據(jù)該相對關(guān)系動態(tài)調(diào)整一警示頻率及/或一事件處理頻率。
15.根據(jù)權(quán)利要求10所述的信息安全稽核管控方法,其特征在于,該特征包含一成員屬性、一成員資產(chǎn)價值、一成員營運績效或其排列組合。
16.根據(jù)權(quán)利要求10所述的信息安全稽核管控方法,其特征在于,還包含將該結(jié)構(gòu)層級、該特征以及該正規(guī)加權(quán)值儲存于一關(guān)聯(lián)數(shù)據(jù)庫。
17.根據(jù)權(quán)利要求10所述的信息安全稽核管控方法,其特征在于,計算各所述組織成員的該正規(guī)化風(fēng)險值的步驟還包含由所述多個組織成員中具有一最低結(jié)構(gòu)層級者依序計算至具有一最聞結(jié)構(gòu)層級者。
18.根據(jù)權(quán)利 要求10所述的信息安全稽核管控方法,其特征在于,所述多個組織成員包含至少一人員及/或至少一系統(tǒng)資源。
【文檔編號】G06Q10/06GK103810558SQ201210476879
【公開日】2014年5月21日 申請日期:2012年11月21日 優(yōu)先權(quán)日:2012年11月6日
【發(fā)明者】郭建廷, 阮鶴鳴, 雷欽隆 申請人:財團(tuán)法人資訊工業(yè)策進(jìn)會