資訊系統安全基礎/資訊安全與風險管理

簡介

資訊安全是指保護資訊（資料）和資訊系統免遭未經授權的訪問、使用、披露、中斷、修改或破壞。

資訊安全管理是一個定義安全控制以保護資訊資產的過程。

安全計劃

管理計劃實施資訊安全（iss）的首要行動是制定安全計劃。雖然有些人認為第一個行動應該是獲得一些真正的“概念證明”，“透過顯示器螢幕上的顯示解釋”安全知識。首先可以從瞭解 OS 密碼儲存在程式碼內的哪個檔案中，哪個目錄中開始。如果您不瞭解根目錄級別的作業系統，那麼在開始實施安全計劃管理和目標之前，您可能應該尋求那些瞭解作業系統的人的建議。

安全計劃目標

保護公司及其資產。
透過識別資產、發現威脅並估計風險來管理風險。
透過制定資訊安全策略、程式、標準、指南和基線來為安全活動提供方向。
資訊分類
安全組織和
安全教育

安全管理職責

確定安全計劃的目標、範圍、策略、預期要實現的目標
評估業務目標、安全風險、使用者生產力和功能需求。
定義步驟以確保上述所有內容都被考慮並在適當的範圍內得到解決

構建安全計劃的方法

自上而下的方法
- 計劃的啟動、支援和方向來自高層管理，然後向下傳遞到中層管理，最後到達員工。
- 被認為是最好的方法，但似乎是基於“我拿的工資更高，因此我必須對所有事情都瞭解”的心態。
- 確保最終負責保護公司資產的高階管理人員推動計劃。
自下而上的方法
- 低端團隊在沒有適當的管理支援和方向的情況下提出安全控制或計劃。
- 它通常被認為效率較低，註定會失敗，因為與上述思維方式存在同樣的缺陷：我拿的工資更高，因此我必須對所有事情都瞭解。

由於晉升與您說服他人的能力直接相關，而這些人通常不在您的工作職責和部門範圍內，因此您必須透過自己的有效書面溝通來證明自己對公司的更高價值，這導致了出色的簡歷撰寫者和不承擔責任的電子郵件回覆方式，這似乎肯定會導致公司標準和實際知識的最終失敗。它通常被關係所掩蓋，這些關係在任何人群中都形成於權力等級，那些被認為是所謂專家的實際上對他們使用的報告/應用程式的底層機制毫無頭緒，並且在宣告自己專業知識時寫下的電子郵件中沒有提供任何證據，或者將責任推給其他人。

安全控制

安全控制可以分為三類

管理控制包括

制定和釋出策略、標準、程式和指南。
人員篩選。
進行安全意識培訓和
實施變更控制程式。

技術或邏輯控制包括

實施和維護訪問控制機制。
密碼和資源管理。
識別和認證方法
安全裝置和
基礎設施配置。

物理控制包括

控制個人進入設施和不同部門
鎖定系統並移除不必要的軟盤或 CD-ROM 驅動器
保護設施的外圍
監控入侵和
環境控制。

 Security Note: It is the responsibility of the information owner (usually a Sr. executive within 
 the management group or head of a specific dept) to protect the data and is the due care 
 (liable by the court of law) for any kind of negligence

安全要素

漏洞

它是一個軟體、硬體或程式上的弱點，可能為攻擊者提供進入計算機或網路的“敞開大門”，使其能夠未經授權訪問環境中的資源。
漏洞是指安全措施的缺失或弱點，可被利用。
例如：伺服器上執行的服務、未修補的應用程式或作業系統軟體、不受限制的調變解調器撥號訪問、防火牆上的開放埠、缺乏物理安全等。

威脅

對資訊或系統的所有潛在危險。
威脅是指有人（個人、軟體）可能會識別並利用漏洞的可能性。
利用漏洞的實體被稱為威脅代理。例如：威脅代理可能是透過防火牆上的埠訪問網路的入侵者。

風險

風險是指威脅代理利用漏洞的可能性及其相應的業務影響。
降低漏洞和/或威脅可以降低風險。
例如：如果防火牆有幾個埠開啟，則入侵者更有可能利用其中一個以未經授權的方式訪問網路。

暴露

暴露是指受到威脅代理造成損失的例項。
漏洞使組織面臨潛在損害。
例如：如果密碼管理薄弱，並且沒有執行密碼規則，則公司可能會面臨使用者密碼被盜用並以未經授權的方式使用的風險。

對策或安全措施

它是減輕風險的應用程式或軟體配置、硬體或程式。
例如：強大的密碼管理、保安人員、作業系統中的訪問控制機制、基本輸入/輸出系統 (BIOS) 密碼的實施以及安全意識培訓。

安全要素之間的關係

示例：如果公司擁有防病毒軟體，但沒有及時更新病毒簽名，則這屬於漏洞。公司容易受到病毒攻擊。
威脅是指病毒會出現在環境中並破壞生產力。
病毒出現在環境中並造成損害的可能性就是風險。
如果病毒滲透到公司的環境中，則漏洞已被利用，公司將面臨損失。
在這種情況下，對策是更新簽名並在所有計算機上安裝防病毒軟體。

  Threat Agent gives rise to Threat exploits Vulnerability leads to Risk
  can damage Assets and causes an Exposure can be counter measured by Safeguard 
  directly effects Threat Agent

另一種描述
威脅代理透過利用漏洞來實現威脅。衡量這種利用造成損害程度的指標是暴露。暴露中產生的組織損失是影響。風險是指威脅事件在組織內部產生損失並實現的機率。

示例

目標：一家銀行存放著資金。
威脅：有些人想要或需要額外的資金。
漏洞：銀行使用的軟體存在安全漏洞。
暴露：銀行 20% 的資產受到該漏洞的影響。
利用：透過執行一小段程式碼（惡意軟體），可以非法訪問軟體。
威脅代理：有一些駭客學會了如何使用這種惡意軟體來控制銀行的軟體。
利用：駭客使用惡意軟體訪問軟體並盜取資金。
影響：銀行損失了貨幣資產、聲譽和未來業務。
風險：駭客利用銀行軟體漏洞並影響銀行聲譽和貨幣資源的可能性。

核心資訊安全原則

安全的三項基本原則是可用性、完整性和機密性，通常稱為 CIA 或 AIC 三元組，它們也是任何安全計劃的主要目標。

實現這些原則所需的安全性級別因公司而異，因為每個公司都有自己獨特的業務和安全目標和要求組合。

所有安全控制、機制和安全措施都是為了提供這些原則中的一個或多個。

所有風險、威脅和漏洞都根據其對破壞 AIC 原則中的一個或全部的潛在能力進行衡量。

機密性

確保在資料處理的每個環節都執行必要的保密級別，並防止未經授權的披露。當資料駐留在網路內的系統和裝置上時，以及在資料傳輸和到達目的地時，這種機密性級別應始終保持有效。
威脅來源
- 網路監控
- 肩窺 - 監控按鍵或螢幕
- 竊取密碼檔案
- 社會工程學 - 某人假冒實際身份
對策
- 對資料進行儲存和傳輸時的加密。
- 透過使用網路填充
- 實施嚴格的訪問控制機制和資料分類
- 對人員進行適當程式的培訓。

完整性

當提供資訊和系統準確性和可靠性的保證，並防止未經授權的修改時，資料的完整性將得到保護。
威脅來源
- 病毒
- 邏輯炸彈
- 後門
對策
- 嚴格的訪問控制
- 入侵檢測
- 雜湊

可用性

可用性確保授權人員能夠可靠且及時地訪問資料和資源。
威脅來源
- 裝置或軟體故障。
- 環境問題，如高溫、低溫、溼度、靜電和汙染物，也會影響系統可用性。
- 拒絕服務 (DoS) 攻擊
對策
- 維護備份以替換故障系統
- IDS 用於監控網路流量和主機系統活動
- 使用某些防火牆和路由器配置

資訊安全管理治理

安全治理

治理是指董事會和執行管理層行使的一系列責任和實踐，其目標是提供戰略方向，確保目標的實現，確定風險得到適當管理，並驗證企業的資源得到負責任的使用。

資訊安全治理或 ISG 是公司治理的一個子學科，側重於資訊安全系統及其效能和風險管理。

安全策略、程式、標準、指南和基線

策略

安全策略是高階管理人員（或選定的策略委員會）制定的總體一般性宣告，規定安全在組織中扮演的角色。

精心設計的策略解決

. 正在保護什麼？ - 通常是資產。
. 誰應該遵守該策略？ - 通常是員工。
. 漏洞、威脅或風險在哪裡？ - 通常是完整性或責任問題。

策略型別

監管：這種策略確保組織遵循特定行業法規設定的標準。這種策略型別非常詳細，特定於某種行業。這適用於金融機構、醫療保健機構、公共事業和政府監管的行業。例如：TRAI。
諮詢：這種策略強烈建議員工在組織內應該和不應該進行哪些型別的行為和活動。它還概述瞭如果員工不遵守既定的行為和活動可能會產生的後果。例如，可以使用這種策略型別來描述如何處理醫療資訊、如何處理財務交易或如何處理機密資訊。
資訊：這種策略向員工通報某些主題。它不是可執行的策略，而是用於教育個人瞭解與公司相關的特定問題的策略。它可以解釋公司如何與合作伙伴互動、公司的目標和使命以及不同情況下的一般報告結構。

安全策略型別

組織
- 管理層確定安全計劃的建立方式，制定計劃的目標，分配責任，展示安全的戰略和戰術價值，以及概述如何執行強制執行。
- 為組織內的所有未來安全活動提供範圍和方向。
- 該策略必須解決相關法律、法規和責任問題，以及如何滿足這些問題。
- 它還描述了高階管理人員願意接受的風險程度。
- 特點
  - 業務目標應驅動策略的建立、實施和執行。策略不應決定業務目標。
  - 它應該是一份易於理解的檔案，作為所有員工和管理層的參考點。
  - 它應被開發和使用，將安全整合到所有業務職能和流程中。
  - 它應源於並支援適用於公司的所有立法和法規。
  - 它應隨著公司的變化而進行審查和修改，例如採用新的商業模式、與另一家公司合併或所有權變更。
  - 每個策略迭代都應標註日期並進行版本控制。
  - 受策略約束的部門和個人必須能夠訪問相關的部分，而不應要求他們閱讀所有策略材料才能找到方向和答案。
問題特定
- 解決管理層認為需要更詳細說明和關注的特定安全問題，以確保建立一個全面的結構，並且所有員工都瞭解如何遵守這些安全問題。
- 例如：電子郵件策略可能規定管理層可以閱讀駐留在郵件伺服器上的任何員工的電子郵件，但不能閱讀駐留在使用者工作站上的電子郵件。
系統特定
- 介紹管理層對實際計算機、網路、應用程式和資料的特定決策。
- 這種型別的策略可能會提供一個批准的軟體列表，其中包含可安裝在單個工作站上的應用程式列表。
- 例如：此策略可能描述如何使用和保護資料庫，如何鎖定計算機以及如何使用防火牆、入侵檢測系統和掃描程式。

標準

標準是指強制性活動、行動、規則或法規。
標準可以為策略提供方向上的支援和加強。
標準可以是內部的，也可以是外部強制的（政府法律法規）。

程式

程式是詳細的分步任務，應執行這些任務以實現特定目標。
例如：我們可以編寫有關如何安裝作業系統、配置安全機制、實施訪問控制列表、設定新使用者帳戶、分配計算機許可權、稽核活動、銷燬材料、報告事件以及更多內容的程式。
程式被認為是策略鏈中最底層，因為它們最接近計算機和使用者（與策略相比），併為配置和安裝問題提供詳細的步驟。
程式詳細說明了如何在執行環境中實際實施策略、標準和指南。
如果策略規定所有訪問機密資訊的個人都必須經過適當的身份驗證，則支援程式將透過定義授權的訪問標準、如何實施和配置訪問控制機制以及如何稽核訪問活動來解釋實現此目的的步驟。

基線

基線可以指一個時間點，該時間點用作未來變化的比較依據。一旦風險得到緩解，並實施了安全措施，就正式審查並商定了基線，之後所有進一步的比較和開發都以該基線為參考。
基線會導致一致的參考點。
基線也用於定義所需的最低保護級別。
在安全方面，可以針對每個系統型別定義特定的基線，這表明所需的設定和提供的保護級別。例如，公司可能會規定所有會計系統必須達到評估保證級別 (EAL) 4 基線。

 Security Note : Baselines that are not technology-oriented should be created and enforced within organizations
 as well. For example, a company can mandate that all employees must have a badge with a picture ID in view while in the 
 facility at all times. It can also state that visitors must sign in at a front desk and be escorted while in the facility. 
 If these are followed, then this creates a baseline of protection.

指南

指南是當特定標準不適用時，向用戶、IT 員工、運營人員和其他人推薦的行動和操作指南。
指南可以處理技術、人員或物理安全的方法。

綜合起來

策略可能規定必須稽核訪問機密資料的許可權。支援指南可以進一步解釋稽核應包含足夠的資訊以允許與之前的審查進行核對。支援程式將概述配置、實施和維護此類稽核所需的步驟。
策略是戰略性的（長期），而標準、指南和程式是戰術性的（中期）。

組織安全模型

一些促進安全控制實施的最佳實踐包括資訊及相關技術控制目標 (COBIT)、ISO/IEC 17799/BS 7799、資訊科技基礎設施庫 (ITIL) 和運營關鍵威脅、資產和漏洞評估 (OCTAVE)。

COSO

特雷德韋委員會贊助組織委員會 (COSO) 是一個成立於 1985 年的美國私營部門倡議。其主要目標是確定導致虛假財務報告的因素，並提出建議以減少其發生率。COSO 制定了內部控制的共同定義、標準和準則，公司和組織可以根據這些準則評估其控制系統。

COSO 框架的關鍵概念

內部控制是一個過程。它是一種手段，而不是目的本身。
內部控制受到人員的影響。它不僅僅是政策手冊和表格，而是組織中各個層級的人員。
內部控制只能為實體的管理層和董事會提供合理保證，而不是絕對保證。
內部控制旨在實現一個或多個獨立但相互重疊的類別中的目標。

COSO 框架將內部控制定義為一個流程，由實體的董事會、管理層和其他人員實施，旨在就以下類別中的目標的實現提供合理保證

運營的有效性和效率
財務報告的可靠性
遵守適用的法律法規。

COSO 內部控制框架：五個組成部分

根據 COSO 框架，內部控制由五個相互關聯的組成部分組成。這些組成部分為描述和分析組織實施的內部控制系統提供了有效的框架。五個組成部分如下：

控制環境：控制環境設定了組織的基調，影響其人員的控制意識。它是所有其他內部控制組成部分的基礎，提供紀律和結構。控制環境因素包括誠信、道德價值觀、管理層的經營風格、授權系統以及組織中管理和培養人員的流程。
風險評估：每個實體都面臨著來自外部和內部來源的各種風險，必須對其進行評估。風險評估的先決條件是建立目標，因此風險評估是識別和分析實現指定目標的相關風險。風險評估是確定如何管理風險的先決條件。
控制活動：控制活動是指幫助確保管理指令得到執行的政策和程式。它們有助於確保採取必要的行動來應對實現實體目標的風險。控制活動發生在整個組織的各個層面和所有職能部門。它們包括各種各樣的活動，如批准、授權、核實、核對、運營績效審查、資產安全以及職責分離/工作分離。
資訊和溝通：資訊系統在內部控制系統中發揮著關鍵作用，因為它們會生成報告，包括運營、財務和合規性相關資訊，使執行和控制業務成為可能。從更廣泛的意義上講，有效的溝通必須確保資訊在組織內部上下流動。還應確保與外部各方（如客戶、供應商、監管機構和股東）進行有效溝通。
監控：內部控制系統需要進行監控，這是一個隨著時間的推移評估系統性能質量的過程。這是透過持續的監控活動或單獨的評估來實現的。透過這些監控活動發現的內部控制缺陷應上報，應採取糾正措施以確保系統不斷改進。

ITIL

資訊科技基礎設施庫 (ITIL) 是一套用於管理資訊科技 (IT) 基礎設施、開發和運營的概念和技術。

ITIL 以一系列書籍的形式出版，每本書涵蓋一個 IT 管理主題。

概述和優勢

ITIL 為 IT 服務供應管理提供了一種系統化和專業化的方法。採用其指導為使用者提供了廣泛的益處，包括

降低成本；
透過使用經過驗證的最佳實踐流程改進 IT 服務；
透過更專業化的服務交付方式提高客戶滿意度；
標準和指南；
提高生產力；
更有效地利用技能和經驗；以及
在服務採購中將 ITIL 或 ISO 20000 指定為服務交付標準，從而改進第三方服務的交付。

ITIL v3

於 2007 年 5 月釋出的 ITIL v3 包含 5 個主要卷

. 服務策略
. 服務設計
. 服務過渡
. 服務運營
. 持續服務改進

COBIT 4.X

資訊及相關技術控制目標（COBIT 4.X）是由資訊系統審計與控制協會（ISACA）和資訊科技治理機構（ITGI）於1992年建立的一套資訊科技（IT）管理最佳實踐（框架）。COBIT 為管理人員、審計人員和 IT 使用者提供了一套普遍接受的度量、指標、流程和最佳實踐，幫助他們最大限度地利用資訊科技帶來的益處，並在公司內發展適當的 IT 治理和控制。

概述

COBIT 包含 34 個高級別流程，涵蓋 210 個控制目標，分為四個領域。
- 規劃與組織
- 獲取與實施
- 交付與支援
- 監控
COBIT 為管理人員、IT 使用者和審計人員帶來益處。
- COBIT 為管理人員帶來益處，因為它為他們提供了制定 IT 相關決策和投資的基礎。決策更加有效，因為 COBIT 幫助管理人員制定戰略性 IT 計劃，定義資訊架構，獲取執行 IT 戰略所需的 IT 硬體和軟體，確保持續服務，並監控 IT 系統的效能。
- IT 使用者從 COBIT 中獲益，因為它透過 COBIT 定義的控制、安全性和流程治理為他們提供了保障。
- COBIT 使審計人員受益，因為它幫助他們識別公司 IT 基礎設施中的 IT 控制問題。它還有助於他們證實其審計結果。

COBIT 結構

規劃與組織：規劃與組織領域涵蓋資訊與技術的運用，以及如何最好地運用資訊與技術幫助公司實現其目標和目標。它還強調 IT 為實現最佳效果和從 IT 使用中獲得最大收益而採用的組織和基礎設施形式。
獲取與實施：獲取與實施領域涵蓋識別 IT 需求、獲取技術以及在公司現有業務流程中實施技術。此領域還涉及制定公司應採用的維護計劃，以延長 IT 系統及其元件的使用壽命。
交付與支援：交付與支援領域側重於資訊科技的交付方面。它涵蓋 IT 系統及其結果中的應用程式執行，以及使這些 IT 系統有效且高效執行的支援流程。這些支援流程包括安全問題和培訓。
監控與評估：監控與評估領域涉及公司評估公司需求的策略，以及當前 IT 系統是否仍然滿足其設計目標和滿足監管要求所需的控制。監控還涵蓋獨立評估 IT 系統滿足業務目標的能力以及公司內部和外部審計人員對控制流程的有效性的問題。

ISO/IEC 27000 系列（原 BS 7799/ISO 17799）

追蹤 ISO/IEC 27000 系列標準的歷史是一個挑戰。本節介紹了資訊安全管理 ISO 標準的歷史，該標準始於 BS 7799，後來演變為 ISO 17799，最終成為資訊安全管理體系 (ISMS) 的 ISO 27000“標準系列”。與其他控制和治理模型一樣，ISO 27000 系列提供了一套資訊安全管理指南和最佳實踐。這些標準是 ISO/IEC JTC1（聯合技術委員會 1）SC27（分委員會 27）的產物，這是一個每年舉行兩次面對面會議的國際機構。國際標準化組織 (ISO) 還制定了質量控制、環境保護、產品可用性、製造等方面的標準。

BS 7799

BS 7799 主要分為 3 部分。

BS 7799 第 1 部分最初於 1995 年由英國標準協會 (BSI) 釋出為 BS 7799。
- 它最終被 ISO 採納為 ISO/IEC 17799，“資訊科技 - 資訊安全管理實踐指南”，於 2000 年釋出。
- ISO/IEC 17799 最近一次修訂是在 2005 年 6 月，並於 2007 年 7 月更名為 ISO/IEC 27002。
BS 7799 的第 2 部分於 1999 年首次由 BSI 釋出，被稱為 BS 7799 第 2 部分，標題為“資訊安全管理體系 - 規範與使用指南”。它側重於如何實施資訊安全管理體系 (ISMS)
- 2002 年版的 BS 7799-2 引入了計劃 - 執行 - 檢查 - 行動 (PDCA)（戴明質量保證模型），使其與 ISO 9000 等質量標準保持一致。
- BS 7799 第 2 部分於 2005 年 11 月被 ISO 採納為 ISO/IEC 27001。
BS 7799 第 3 部分於 2005 年釋出，涵蓋風險分析和管理。它與 ISO/IEC 27001 保持一致。

ISO 17799

源自 BS 7799
它是一個國際公認的 ISM 標準，為企業安全提供高級別、概念性的建議。
ISO 17799 包含 2 部分。
- 第一部分是實施指南，其中包含有關如何構建全面的資訊安全基礎設施的指南。
- 第二部分是審計指南，基於組織被認為符合 ISO 17799 所必須滿足的要求。
ISO 17799 領域
- 組織的資訊安全策略：將業務目標對映到安全性、管理支援、安全目標和職責。
- 資訊安全基礎設施的建立：透過使用安全論壇、安全官員、定義安全職責、授權流程、外包和獨立審查來建立和維護組織安全結構。
- 資產分類與控制：透過問責制和清單、分類和處理程式來開發保護組織資產的安全基礎設施。
- 人員安全：透過員工篩選、定義角色和職責、對員工進行適當的培訓以及記錄未達到期望的員工所要承擔的後果來降低人為互動中固有的風險。
- 物理和環境安全：透過正確選擇設施位置、建立和維護安全邊界、實施訪問控制以及保護裝置來保護組織的資產。
- 通訊和運營管理：透過運營程式、適當的變更控制、事件處理、職責分離、容量規劃、網路管理和介質處理來執行運營安全。
- 訪問控制：根據業務需求、使用者管理、身份驗證方法和監控來控制對資產的訪問。
- 系統開發與維護：透過制定安全需求、加密、完整性和軟體開發程式，在系統的整個生命週期中實施安全。
- 業務連續性管理：透過使用連續性計劃和測試來應對正常運營的中斷。
- 合規性：透過使用技術控制、系統審計和法律意識來遵守監管、合同和法定要求。

ISO 27000 系列

ISO/IEC 27000 系列（也稱為“ISMS 標準系列”或簡稱“ISO27k”）包含由國際標準化組織 (ISO) 和國際電工委員會 (IEC) 聯合釋出的資訊安全標準。

該系列提供有關資訊安全管理、風險和控制的最佳實踐建議，這些建議是在資訊安全管理體系 (ISMS) 的整體背景下提出的，其設計類似於質量保證（ISO 9000 系列）和環境保護（ISO 14000 系列）的管理體系。

該系列的範圍有意涵蓋廣泛的內容，不僅僅涉及隱私、機密性和 IT 或技術安全問題。它適用於各種規模的組織。鼓勵所有組織評估其資訊安全風險，然後根據其需求實施適當的資訊安全控制，並在相關情況下使用指南和建議。鑑於資訊安全的動態特性，ISMS 概念包含持續的反饋和改進活動，由戴明的“計劃 - 執行 - 檢查 - 行動”方法概括，該方法旨在解決資訊安全事件的威脅、漏洞或影響的變化。

以下是目前釋出的 27000 系列標準。

ISO 27000 概述和詞彙 概述和術語表。
ISO 27001 資訊安全管理體系 - 要求。這是資訊安全管理體系 (ISMS) 的規範/要求，它取代了舊的 BS7799-2 標準。
ISO 27002 資訊安全管理實踐指南。這是原來 ISO 17799 標準（本身以前稱為 BS7799-1）的 27000 系列標準號。
ISO 27003 資訊安全管理體系實施指南。這將是新標準的正式編號，旨在為實施 ISMS（IS 管理體系）提供指導。
ISO 27004 資訊安全管理 - 測量。本標準涵蓋資訊安全系統管理測量和指標，包括建議的與 ISO27002 保持一致的控制。
ISO 27005 資訊安全風險管理。這是獨立於方法的 ISO 標準，用於資訊安全風險管理。
ISO 27006 提供資訊安全管理體系審計和認證機構的要求。本標準為提供 ISMS 認證的組織的認證提供了指南。

其他 27000 系列 ISO 出版物

ISO 27011 基於 ISO/IEC 27002 的電信組織資訊安全管理指南
ISO 27033 網路安全 - 第 1 部分：概述和概念
ISO 27799 健康資訊學 - 使用 ISO/IEC 27002 的健康資訊安全管理

儘管 ISO 27000 系列資訊安全管理標準的數量不斷增加，但ISO/IEC 27002 和 ISO/IEC 27001 仍然是最常用的標準，因為它們為企業資訊安全計劃實踐和流程提供了最基本的指導，而且它們也是其流行前身（BS 7799 和 ISO 17799）的最新版本。

組織行為

組織結構演變

當今的安全組織結構

最佳實踐

工作輪換

工作輪換是一種管理發展方法，個人透過一系列安排好的工作輪換，獲得對整個運營的廣泛瞭解。

工作輪換也是為了讓合格的員工對公司的流程有更多瞭解，透過工作變化提高工作滿意度。

職責分離

職責分離 (SoD) 的概念是指需要多個人才能完成一項任務。它也被稱為職責隔離，或者在政治領域被稱為權力分立。

***警告*** 關於 SoD 可能的不足之處 ******這種方法在試圖確定大型實體生產自動化中錯誤或故障的根本原因時可能導致高度困難，因為沒有人能夠從“大局”的角度檢視資訊流過程，以及自動程式如何啟動一個沒有建立正確輸出資料的應用程式，但沒有清楚地失敗到執行在虛擬伺服器客戶端上的錯誤訊息警報，該客戶端將建立的資料檔案傳輸到外部客戶端等等等等。特別是由於每個獨立部門的個人只會快速檢視其應用程式軟體，用於管理其螢幕上指定的部分，並且沒有看到明顯的錯誤，他們會假設導致系統或流程完全失敗的未知錯誤不在其部分內，然後繼續進行有效的溝通，同時記錄下他們提供的所有幫助實體實現既定目標的出色成果，以便在下次與管理層進行審查時可以提供這些成果，因為這是人力資源部門告訴他們要做的。（並非說這種行為存在缺陷或錯誤，實際上它是在做實體的激勵機制所鼓勵的事情，不僅是為了晉升，也是為了保住工作。）

如果沒有那些鳳毛麟角的專家級技術人員，他們擁有（或能獲得）檢視任何給定生產過程各個方面的管理許可權，幾乎不可能確定根本原因，並可能導致對問題的真正原因做出荒謬的判斷。（例如：決定放棄使用所有虛擬伺服器，回到多個實際伺服器機器，每個伺服器都連線到自己的監控器，因為在內部編寫的 .net 程式中沒有編碼錯誤處理。）（或者沒有人意識到自動軟體機器遇到了 RAM 問題，因為每個自動作業都被設定為在 6:00 準時自動啟動，而 MS Windows 在企業級也有一個內建限制，即一次最多隻能有 10 個網路連線等等。）***這些 SoD 職位對那些希望不斷接受挑戰的高階技術專家來說毫無興趣。***

概述

簡而言之，SoD 的意思是，任何個人都不應該控制交易或操作的兩個或多個階段，這樣，故意欺詐就更難發生了，因為它需要兩個或多個個人或當事方串通。
根據 SoD 的概念，可以將業務關鍵職責分為四種功能：授權、保管、記錄儲存和對賬。在一個完美的系統中，一個人不應該處理超過一種功能。
在資訊系統中，職責分離有助於減少一個人行為造成的潛在損失。應以達到充分職責分離的方式組織 IS 或終端使用者部門。

強制執行 SoD 的控制機制

有幾種控制機制可以幫助強制執行職責分離

審計跟蹤使 IT 管理員或審計員能夠從源頭到更新檔案中存在的位置重建實際交易流程。良好的審計跟蹤應能夠提供有關誰發起了交易、輸入時間和日期、輸入型別、它包含的資訊欄位以及它更新的檔案的資訊。
應用程式的對賬和獨立驗證過程最終是使用者的責任，它可以用來增加對應用程式成功執行的信心水平。
異常報告由監督級別處理，並以證據支援，表明異常得到了妥善和及時處理。通常需要準備報告的人簽字。
應維護手動或自動系統或應用程式交易日誌，記錄所有已處理的系統命令或應用程式交易。
應透過觀察和詢問進行監督審查，並與上一級管理層建立信任關係。
為了彌補重複錯誤或故意違反規定的程式，建議進行獨立審查。這種審查可以幫助發現錯誤和違規行為，但通常費用很高，可能會引發疑問，即與內部人員相比，外部獨立審查人員每季度能瞭解多少關於您的流程的資訊，以及與這些獨立審查人員之間能建立多少信任關係。

最小許可權（知情需要）

簡介

最小許可權原則，也稱為最小許可權原則或僅稱為最小許可權，要求在計算環境的特定抽象層中，每個模組（如程序、使用者或程式，根據我們正在考慮的層）只能訪問其合法目的所必需的資訊和資源。

注意： 此原則是一個有用的安全工具，但它從未成功地在系統上強制執行高保證安全。

優點

更好的系統穩定性。當代碼在對系統可以進行的更改範圍方面受到限制時，更容易測試其可能的動作以及與其他應用程式的互動。例如，在實踐中，以受限許可權執行的應用程式將無法訪問執行可能使機器崩潰或對同一系統上執行的其他應用程式產生不利影響的操作。
更好的系統安全性。當代碼在其可以執行的系統範圍內的操作方面受到限制時，一個應用程式中的漏洞不能被用來利用機器的其餘部分。例如，微軟指出，“在標準使用者模式下執行可以為客戶提供更強的保護，防止因“粉碎攻擊”和惡意軟體（如 rootkit、間諜軟體和無法檢測的病毒）造成的無意系統級損壞”。[1]
易於部署。通常，應用程式所需的許可權越少，在更大的環境中部署就越容易。這通常源於前兩個優點，安裝裝置驅動程式或需要提升安全許可權的應用程式通常需要額外的步驟，例如在 Windows 上，沒有裝置驅動程式的解決方案可以直接執行而無需安裝，而裝置驅動程式必須使用 Windows 安裝程式服務單獨安裝才能授予驅動程式提升許可權

強制休假

強制休假一到兩週用於審計和驗證員工的工作任務和許可權。這通常會導致輕鬆發現濫用、欺詐或疏忽。

職位敏感度

安全形色和職責

職責級別

高階管理層和其他管理層瞭解公司的願景、業務目標和目標。
職能管理層，其成員瞭解其各自部門的工作方式、個人在公司中的角色以及安全如何直接影響其部門。
運營經理和員工。這些層級更接近公司的實際運營。他們瞭解有關技術和流程要求、系統以及系統使用方式的詳細資訊。這些層級的員工瞭解安全機制如何整合到系統中、如何配置它們以及它們如何影響日常生產力。

角色分類及其職責

資料所有者

資料所有者（資訊所有者）通常是管理層成員，負責特定業務部門，並最終負責特定資訊子集的保護和使用。
資料所有者決定他負責的資料的分類，並在業務需要時更改該分類。
此人還負責確保必要的安全控制到位，確保使用適當的訪問許可權，根據分類定義安全要求和備份要求，批准任何披露活動，並定義使用者訪問標準。
資料所有者批准訪問請求，或者可以選擇將此功能委託給業務部門經理。並且，正是資料所有者將處理與其負責保護的資料相關的安全違規行為。
資料所有者（顯然他自己的工作已經夠多了）將資料保護機制的日常維護職責委託給資料管理員。

資料管理員

資料管理員（資訊管理員）負責維護和保護資料。
此角色通常由 IT 部門擔任，職責包括執行資料的定期備份、定期驗證資料的完整性、從備份介質恢復資料、保留活動記錄以及履行公司資訊安全和資料保護相關的安全策略、標準和指南中指定的各項要求。

系統所有者

系統所有者負責一個或多個系統，每個系統可能包含和處理由不同資料所有者擁有的資料。
系統所有者負責將安全考慮因素整合到應用程式和系統採購決策以及開發專案中。
系統所有者負責確保必要的控制、密碼管理、遠端訪問控制、作業系統配置等提供足夠的安全性。
此角色需要確保對系統進行適當的漏洞評估，並且必須向事件響應團隊和資料所有者報告任何漏洞。

安全管理員

安全管理員的任務很多，包括建立新的系統使用者帳戶、實施新的安全軟體、測試安全補丁和元件以及釋出新密碼。
安全管理員角色需要確保授予使用者的訪問許可權支援策略和資料所有者指令。

安全分析師

此角色的工作比前面描述的角色處於更高、更戰略的級別，並幫助制定策略、標準和指南，並設定各種基線。
而前面的角色都“沉浸於細節”，專注於他們各自的安全計劃部分，安全分析師則幫助定義安全計劃元素，並跟蹤以確保元素得到適當執行和實施。此人更多地在設計層面工作，而不是在實施層面工作。

應用程式所有者

應用程式所有者，通常是業務部門經理，負責指定誰可以訪問他們的應用程式，例如會計軟體、測試和開發軟體等。

主管

此角色也稱為使用者經理，最終負責所有使用者活動以及這些使用者建立和擁有的任何資產，例如確保所有員工瞭解其在安全方面的責任、分發初始密碼、確保員工帳戶資訊是最新的，以及在員工被解僱、停職或調動時通知安全管理員。

變更控制分析師

變更控制分析師負責批准或拒絕對網路、系統或軟體進行更改的請求。
此角色需要確保更改不會引入任何漏洞，已對其進行適當測試，並且已正確推出。
變更控制分析師需要了解各種更改如何影響安全性、互操作性、效能和生產力。

資料分析師

資料分析師負責確保資料以最適合公司和需要訪問和使用資料的人員的方式儲存。
資料分析師角色可能負責設計一個將儲存公司資訊的新系統，或建議購買可以做到這一點的產品。
資料分析師與資料所有者合作，以幫助確保建立的結構與公司業務目標一致並支援公司業務目標。

流程所有者

安全應該被視為和處理為另一個業務流程。流程所有者負責正確定義、改進和監控這些流程。
流程所有者不一定會繫結到一個業務部門或應用程式。複雜的流程涉及許多跨越不同部門、技術和資料型別的變數。

解決方案提供商

當企業遇到問題或需要改進流程時，就會呼叫此角色。
解決方案提供商與業務部門經理、資料所有者和高階管理層合作，開發和部署解決方案以減少公司的痛點。

使用者

使用者是任何定期使用資料執行與工作相關的任務的個人。
使用者必須擁有訪問資料的必要級別才能履行其職位職責，並負責遵循操作安全程式以確保資料的機密性、完整性和對其他人的可用性。

產品線經理

負責向供應商解釋業務需求，並篩選他們的言論以檢視產品是否適合公司。
負責確保遵守許可協議。
負責將業務需求轉換為產品或解決方案開發者的目標和規範。
決定他的公司是否真的需要升級其當前系統。
此角色必須瞭解業務驅動因素、業務流程以及支援它們所需的技術。
產品線經理評估市場上的不同產品，與供應商合作，瞭解公司可以採取的不同選擇，並向管理層和業務部門提供有關滿足其目標所需的適當解決方案的建議。

資訊安全官的職責

將風險傳達給高層管理人員
為資訊安全活動預算
確保制定策略、程式、基線、標準和指南
開發和提供安全意識培訓計劃
瞭解業務目標
保持對新興威脅和漏洞的意識
評估安全事件和響應
制定安全合規計劃
建立安全指標
參加管理會議
確保遵守政府法規
協助內部和外部審計人員
瞭解新興技術

報告模型

業務關係
向 CEO 報告
向資訊科技 (IT) 部門報告
向企業安全部門報告
向行政服務部門報告
向保險和風險管理部門報告
向內部審計部門報告
向法律部門報告
確定最佳方案

企業範圍的安全監督

定義目標

願景宣告
使命宣告

安全規劃

戰略規劃
戰術規劃
運營和專案規劃

人員安全

人員職責的許多方面都屬於管理的職責範圍，其中一些方面與環境的整體安全直接相關，例如

聘用最合格的人員
對使用詳細職位描述的人員進行背景調查
提供必要的培訓
執行嚴格的訪問控制，以及
以保護所有相關方的方式解僱個人。

招聘實踐

根據需要填補的職位，人力資源部門應進行一定程度的篩選，以確保公司為合適的職位聘用合適的人選。

應測試和評估技能，並審查個人的素質和品格。
需要制定並由新員工簽署保密協議，以保護公司及其敏感資訊。
需要解決任何利益衝突，並且應與臨時工和合同工簽訂不同的協議並採取預防措施。
應核實推薦信，審查兵役記錄，驗證教育背景，並在必要時進行毒品測試。
很多時候，重要的個人行為可以被隱藏，因此招聘實踐應包括情景問題、性格測試和對個人的觀察，而不僅僅是檢視一個人的工作歷史。

員工控制

必須建立管理結構，以確保每個人都有上級，並且對他人行為的責任能夠公平合理地分擔。
必須在事件發生之前傳達不遵守規定或行為不當的後果。
需要學習並運用適當的監督技能，以確保運營順利進行，並且可以及時處理任何異常活動，防止其失控。
應採用職位輪換制度，以保持每個部門的健康和高效狀態。任何人都不能在一個職位上呆太長時間，因為他們可能會對業務的一部分擁有過多的控制權，從而導致欺詐、資料修改和資源濫用。
敏感區域的員工應強制休假，即強制休假制度，這為替代人員提供了檢測任何欺詐性錯誤或活動的範圍。
職責分離和控制的兩種變體是知識分離和雙重控制。
- 在這兩種情況下，授權並要求兩名或多名個人執行一項職責或任務。
- 在知識分離的情況下，沒有人知道或掌握執行一項任務的所有細節。
- 在雙重控制的情況下，同樣授權兩個人執行一項任務，但必須兩個人都可用並積極參與才能完成任務或使命。

終止

公司應該有一套特定的程式，在每次終止時都要遵循。

安全意識、培訓和教育

進行正式的安全意識培訓

需求

管理層關於安全的指示在安全策略中都有體現，並且制定了標準、程式和指南來支援這些指示。但是，如果沒有人知道這些指示以及公司希望如何實施它們，這些指示將不會有效。

為了使安全成功有效，從高層管理人員到其他員工，所有人都需要充分了解企業和資訊安全的重要性。
所有員工都應該瞭解安全的根本重要性以及對他們期望的特定安全相關要求。
安全程式的控制和程式應反映正在處理資料的性質。
安全程式應以適合不同文化和環境的方式開發。
安全程式應向其員工傳達安全的“什麼”、“如何”和“為什麼”。
安全意識培訓應全面、針對特定群體，並覆蓋整個組織，目標是讓每個員工都瞭解安全對整個公司和每個人的重要性。
需要澄清預期的責任和可接受的行為，並且需要在實施之前解釋不遵守規定造成的後果，這些後果可能包括警告或解僱。

不同型別的安全意識培訓

安全意識程式通常至少針對三個不同的受眾：管理層、員工和技術人員。

每種型別的意識培訓都需要針對不同的受眾，以確保每個群體都瞭解其特定的責任、義務和期望。
管理層成員將從簡短的、重點突出的安全意識介紹中獲益最多，該介紹討論了與安全相關的企業資產以及財務收益和損失。
中層管理人員將從對政策、程式、標準和指南的更詳細解釋中獲益，以及這些內容如何與他們負責的各個部門相對應。
應向中層管理人員傳達為什麼他們對特定部門的支援至關重要，以及他們在確保員工進行安全計算活動方面承擔的責任水平。還應向他們展示，他們管轄範圍內的人員不遵守規定可能對整個公司造成的影響，以及他們作為管理人員，可能需要對這些不當行為負責。
技術部門必須接受不同的介紹，與他們的日常任務更加一致。他們應該接受更深入的培訓，以討論技術配置、事件處理以及不同型別安全漏洞的跡象，以便能夠正確識別這些跡象。
員工不應該試圖自行對抗攻擊者或處理欺詐活動，而是應該被告知將這些問題上報給上層管理人員，由上層管理人員決定如何處理。
向員工提供的介紹需要說明安全對公司和他們個人而言為什麼很重要。他們越瞭解不安全的活動會如何對他們造成負面影響，他們就越願意參與到預防此類活動的活動中。
通常最好讓每個員工簽署一份檔案，表明他們已經聽過並理解了所有討論的安全主題，以及不遵守規定的後果。
安全培訓應定期和持續進行。

評估程式

安全意識培訓是一種控制措施，與任何其他控制措施一樣，應監測和評估其有效性。

在員工參加意識培訓後，公司可以讓他們填寫問卷調查和調查，以衡量他們的記憶水平，並徵求他們對培訓的反饋意見，以評估程式的有效性。
培訓有效性的一個良好指標可以透過比較培訓前後發生的的事件次數來獲取。
對於線上培訓，記錄個人的姓名以及在特定時間段內已完成或未完成的培訓模組。然後，可以將其整合到他們的工作表現檔案中。
安全意識培訓必須以不同的格式重複最重要的資訊，保持最新，有趣、積極和幽默，易於理解，並且最重要的是，得到高層管理人員的支援。

專業培訓專案

培訓個人使用專門的裝置和技術。
不同的角色需要不同型別的培訓（防火牆管理、風險管理、策略制定、入侵檢測系統等）。一支熟練的員工隊伍是公司安全最重要的組成部分之一，而許多公司都沒有投入足夠的資金和精力來為員工提供適當水平的安全教育。

培訓主題

安全意識課程可能是什麼樣子？

意識活動和方法

工作培訓

專業教育

績效指標

資訊風險管理

資訊風險管理 (IRM) 是識別和評估風險、認識到將其降低到可接受水平的侷限性以及實施正確的機制來維持該水平的過程。

風險管理概念

風險類別

物理損壞- 火災、水災、破壞、停電和自然災害
人機互動- 意外或故意的行為或不作為，可能影響生產力
裝置故障- 系統和外圍裝置的故障
內部和外部攻擊- 駭客、入侵和攻擊
資料濫用- 分享商業秘密、欺詐、間諜活動和盜竊
資料丟失- 透過破壞性手段故意或無意地丟失資訊
應用程式錯誤- 計算錯誤、輸入錯誤和緩衝區溢位
社會地位- 失去客戶群和信譽

 Security Tip: The threats need to be identified, classified by category, and evaluated to calculate their 
 actual magnitude of potential loss. Real risk is hard to measure, (more accurately stated it is hard to accept) 
 but prioritizing the potential risks in order of which risk needs to be addressed first is attainable

定義風險管理策略

IRM 策略為組織的風險管理流程和程式提供基礎架構。
IRM 策略的特徵
- 它應涵蓋資訊安全的所有問題，從人員篩選和內部威脅到物理安全和防火牆。
- 它應提供關於 IRM 團隊如何將有關公司風險的資訊傳遞給高層管理人員，以及如何正確執行高層管理人員關於風險緩解任務的決定的指示。
- IRM 策略應是組織整體風險管理策略的一部分，並且應對映到組織安全策略。
IRM 策略應解決以下事項
- 定義 IRM 團隊的目標
- 公司將接受的風險水平以及什麼是可接受的風險
- 風險識別的正式流程
- IRM 策略與組織戰略規劃流程之間的聯絡
- 屬於 IRM 的責任以及要履行這些責任的角色
- 將風險對映到內部控制
- 應對風險分析，改變員工行為和資源配置的方法
- 將風險對映到績效目標和預算
- 監控控制有效性的關鍵指標

風險管理實踐

風險管理團隊應具備執行最佳實踐的能力，其中一些最佳實踐包括

按照高層管理人員提供的規定，建立風險接受水平
記錄風險評估流程和程式
建立識別和緩解風險的適當程式
獲得高階管理人員的支援，以確保適當的資源和資金分配
在評估表明有必要的情況下，定義應急計劃
確保為所有與資訊資產相關的員工提供安全意識培訓。
在必要時努力在特定領域建立改進（或風險緩解）
應將法律法規合規要求對映到控制和實施要求
開發指標和績效指標，以便能夠衡量和管理各種型別的風險
隨著環境和公司發生變化，識別和評估新的風險
整合IRM和組織的變更控制流程，以確保變更不會引入新的漏洞

風險處理策略

由於不可能擁有一個100%安全的系統或環境，因此應該有一個可接受的風險水平。

剩餘風險與總風險

剩餘風險：始終存在一些需要處理的剩餘風險。
總風險：沒有風險措施，風險為100%。當成本/效益分析結果表明這是最佳行動方案時，此類風險是可以接受的。
關係:
- 威脅*漏洞*資產價值 = 總風險
- 威脅*漏洞*資產價值*控制差距= 剩餘風險

處理風險的方法

有四種基本方法可以處理風險

轉移：如果公司的總風險或剩餘風險過高，並且它購買了保險，那麼它就是將風險轉移給了保險公司。
拒絕：如果一家公司否認其風險或忽略其風險，它就是在拒絕風險。
降低：如果一家公司實施了對策，它就是在降低風險。
接受：如果一家公司瞭解風險並決定不實施任何型別的對策，它就是在接受風險。實際上，所有計算機系統都歸結於此。如果系統要連線到網際網路，就沒有辦法減輕風險。只有一個使用者，沒有任何與其他計算機系統的網路連線，這是你最接近於沒有任何風險的方式。

一旦獲得控制檯訪問許可權（坐在實際的硬體裝置上，無論是計算機、伺服器還是路由器），就沒有任何安全措施可以阻止熟練的人員進入該系統。一個也沒有。 這是計算機系統安全的“知識開端”。知識的增加會增加悲傷。

這兩件事你必須接受，因為它們是事實。如果你不能像成年人一樣處理這兩個絕對事實，也許你應該去從事其他事情。嘗試成為一名演員，也許，或者詩人，但如果你不能進入這種心態，就不要繼續相信自己有任何計算機安全知識。並非每個人都能處理真相，這沒關係，這很困難，令人不舒服，而且它確實很痛苦（這種痛苦的感覺被稱為認知失調）。

風險評估/分析

風險分析是一種識別漏洞和威脅並評估可能造成的損害以確定在何處實施安全保障的方法。

為什麼要進行風險分析？

確保安全是經濟有效的、相關的、及時的，並且對威脅做出反應。
提供成本/效益比較，這將安全措施的年化成本與潛在的損失成本進行比較。
幫助將安全計劃目標與公司的業務目標和要求相整合。
在威脅的影響和對策成本之間取得經濟平衡。

風險分析活動

識別資產及其價值
識別漏洞和威脅
分析風險 - 兩種方法
- 定量方法
- 定性方法
選擇和實施對策

識別風險要素

識別資產及其價值

資產型別
- 有形：可衡量 - 計算機、設施、用品
- 無形：不可衡量，難以評估 - 聲譽、智慧財產權。
在評估資訊和資產價值時需要考慮的因素。
- 獲取或開發資產的成本
- 維護和保護資產的成本
- 資產對所有者和使用者的價值
- 資產對對手的價值
- 開發資訊所涉及的智慧財產權的價值
- 其他人願意為該資產支付的價格
- 如果資產丟失，更換資產的成本
- 如果資產不可用，將受到影響的運營和生產活動
- 如果資產受到損害，責任問題
- 資產在組織中的用途和作用
確定資產價值的必要性
- 進行有效的成本/效益分析
- 選擇特定的對策和安全措施
- 確定要購買的保險範圍
- 瞭解究竟是什麼在風險之中
- 符合應盡注意義務並遵守法律法規要求

識別漏洞和威脅

有許多型別的威脅代理可以利用幾種型別的漏洞，從而導致各種特定的威脅

威脅代理	可以利用此漏洞	導致此威脅
病毒	缺乏防病毒軟體	病毒感染
駭客	伺服器上執行的強大服務	未經授權訪問機密資訊
使用者	作業系統中配置錯誤的引數	系統故障
火災	缺乏滅火器	設施和計算機損壞，可能造成人員傷亡
員工	* 缺乏培訓或標準執行 * 缺乏審計	* 共享關鍵任務資訊 * 更改資料處理應用程式的資料輸入和輸出
承包商	缺乏訪問控制機制	竊取商業秘密
攻擊者	* 編寫不當的應用程式 * 缺乏嚴格的防火牆設定	* 進行緩衝區溢位 * 進行拒絕服務攻擊
入侵者	缺乏保安	破窗而入，盜竊電腦和裝置

定量風險分析方法

定量分析使用風險計算，試圖預測每種型別的威脅的貨幣損失水平和發生機率。
定量風險分析還在確定威脅可能性時提供具體的機率百分比。
分析中的每個要素（資產價值、威脅頻率、漏洞嚴重程度、影響損害、安全措施成本、安全措施有效性、不確定性和機率專案）都被量化並輸入方程式，以確定總風險和剩餘風險。
純粹的定量風險分析是不可能的，因為該方法試圖量化定性專案，並且定量值中總是存在不確定性

定量風險分析的示例步驟

步驟 1：為資產分配價值 - 對於每項資產，回答以下問題以確定其價值
- 該資產對公司的價值是多少？
- 維護成本是多少？
- 它為公司創造多少利潤？
- 它對競爭對手來說價值多少？
- 重新建立或恢復的成本是多少？
- 獲取或開發的成本是多少？
- 您在保護此資產方面承擔多少責任？
步驟 2：估計每項威脅的潛在損失 - 要估計威脅造成的潛在損失，請回答以下問題
- 威脅可能造成多少物理損害，這將花費多少？
- 威脅可能造成多少生產力損失，這將花費多少？
- 如果機密資訊洩露，將損失多少價值？
- 從這種威脅中恢復的成本是多少？
- 如果關鍵裝置出現故障，將損失多少價值？
- 每項資產和每項威脅的單次損失期望值 (SLE) 是多少？
步驟 3：進行威脅分析 - 採取以下步驟進行威脅分析
- 從每個部門的人員、過去記錄和提供此類資料的官方安全資源中收集有關每項威脅發生的可能性資訊。
- 計算年化發生率 (ARO)，即威脅在 12 個月內可能發生的次數。
步驟 4：得出每項威脅的總體損失潛力 - 要得出每項威脅的總體損失潛力，請執行以下操作
- 將潛在損失和機率結合起來。
- 使用前三個步驟中計算的資訊，計算每項威脅的年化損失期望值 (ALE)。
- 選擇補救措施來抵消每項威脅。
- 對已識別的對策進行成本/效益分析。
步驟 5：降低、轉移或接受風險 - 對於每項風險，您可以選擇降低、轉移或接受風險
- 風險降低方法
  - 安裝安全控制和元件。
  - 改程序序。
  - 改變環境。
  - 提供早期檢測方法，以便在威脅發生時將其捕獲並減少其可能造成的損害。
  - 制定一項應急計劃，說明如果發生特定威脅，企業如何繼續運營，從而減少威脅可能造成的進一步損害。
  - 建立對威脅的防禦措施。
  - 進行安全意識培訓。
- 風險轉移 - 例如，購買保險來轉移部分風險。
- 風險接受 - 接受風險並不再投入更多資金進行防護。

定量風險分析指標

單次損失期望值 (SLE) - 由於一次威脅事件造成的損失金額。
年化損失期望值 (ALE) - 預計的年度損失。
暴露因子 (EF) - 表示已實現威脅可能對特定資產造成的損失百分比。
年化發生率 (ARO) - 表示特定威脅在一年的時間範圍內發生的估計頻率的值。它的範圍可以從 0.0 到 1.0。
關係
- 資產價值 * 暴露因子 (EF) = SLE
  - 示例：如果一個數據倉庫的資產價值為 150,000 美元，並且估計如果發生火災，倉庫的 25% 將會損壞，則 SLE = 0.25 * $150000 = $37,500。
- SLE * 年化發生率 (ARO) = ALE。如果 ARO 為 0.1（表示十年一次），則 ALE = $37,500 * 0.1 = $3750。這告訴公司，如果它想投入控制措施或安全措施來保護資產免受這種威脅，它可以在一年內花費不超過 3750 美元來提供必要的防護級別。

定量風險分析的結果

以下是風險分析結果通常預期的簡要列表

分配給資產的貨幣價值
所有可能且重大威脅的綜合列表
每種威脅發生的機率
公司在 12 個月時間範圍內可以承受的每個威脅的潛在損失
建議的安全措施、對策和行動分析。

定量優勢

需要更復雜的計算
更容易自動化和評估
用於風險管理績效跟蹤
提供可靠的成本效益分析
顯示可以在一年內累積的明確損失

定量劣勢

計算更復雜。管理層能否理解這些值的來源？
如果沒有自動工具，此過程非常繁瑣。
需要收集有關環境的詳細資訊。
沒有可用的標準。每個供應商都有自己解釋流程及其結果的方式。

定性風險分析方法

在定性方法中，我們逐步瞭解風險可能性不同的場景，並對威脅的嚴重程度和不同可能的對策的有效性進行排序。
定性分析技術包括判斷、最佳實踐、直覺和經驗。
定性風險分析技術
- 德爾菲 - 一種群體決策方法，用於確保每個成員對他們認為特定威脅的結果給出誠實的意見。此方法用於在沒有個人需要口頭達成一致的情況下，就成本、損失價值和發生的機率達成一致。
- 頭腦風暴
- 故事板
- 焦點小組
- 調查
- 問卷調查
- 清單
- 一對一會議
- 訪談。
風險分析團隊將確定針對需要評估的威脅以及公司文化和參與分析的個人的最佳技術。
執行風險分析的團隊會召集具有評估威脅方面經驗和教育背景的人員。當這個小組被呈現一個描述威脅和潛在損失的場景時，每個成員都會根據他們對威脅的可能性及其可能造成的損害程度的直覺和經驗做出回應。

人員	威脅嚴重程度	威脅發生的可能性	潛在損失	防火牆的有效性	入侵檢測系統的有效性
IT 經理	4	2	4	4	3
DBA	4	4	4	3	4
應用程式程式設計師	2	3	3	4	2
系統操作員	3	4	3	4	2
運營經理	5	4	4	4	4
結果	3.6	3.4	3.6	3.8	3

定性優勢

需要簡單的計算
涉及高度的猜測
提供一般區域和風險指示
提供最瞭解流程的個人的意見

定性劣勢

評估和結果基本上是主觀的。
通常會消除為成本效益討論建立美元價值的機會。
難以使用主觀指標跟蹤風險管理目標。
沒有可用的標準。每個供應商都有自己解釋流程及其結果的方式。

選擇和實施對策

對策選擇

安全對策應具有成本效益，並應基於一些成本效益分析來決定。
對給定保護措施常用的成本效益計算為

（實施保護措施之前的 ALE） - （實施保護措施之後的 ALE） - （保護措施的年度成本）= 保護措施對公司的價值

對策的功能和有效性

以下列出了一些在承諾使用保護機制之前需要考慮的特徵

特徵	描述
模組化	它可以安裝或從環境中移除，而不會對其他機制產生不利影響。
提供統一保護	它以標準化方法將安全級別應用於所有旨在保護的機制。
提供覆蓋功能	管理員可以根據需要覆蓋限制。
預設最低許可權	安裝時，它預設為缺少許可權和權利，而不是安裝後每個人都擁有完全控制權。
保護措施與其保護的資產相互獨立	保護措施可用於保護不同的資產，不同的資產也可以由不同的保護措施保護。
靈活性和安全性	保護措施提供的安全性越高越好。此功能應具有靈活性，使您能夠選擇不同的功能，而不是全部或無功能。
清楚區分使用者和管理員	使用者在配置或停用保護機制方面的許可權應該更少。
最少的人工干預	當人類必須配置或修改控制措施時，這會為錯誤開啟大門。保護措施應儘可能減少來自人類的輸入。
易於升級	軟體不斷發展，更新應該能夠無縫進行。
審計功能	應該有一個機制作為保護措施的一部分，提供最少和/或詳細的審計。
最大程度地減少對其他元件的依賴	保護措施應靈活，並且對安裝環境沒有嚴格的要求。
易於使用、可接受且為人員容忍	如果保護措施對生產力構成障礙或為簡單的任務新增額外的步驟，使用者將無法容忍它。
必須以可使用且易於理解的格式輸出	重要資訊應以易於人類理解和用於趨勢分析的格式呈現。
必須能夠重置保護措施	該機制應該能夠重置並恢復到原始配置和設定，而不會影響它正在保護的系統或資產。
可測試	保護措施應該能夠在不同的環境下，在不同的情況下進行測試。
不會引入其他漏洞	保護措施不應提供任何隱蔽通道或後門。
系統和使用者效能	系統和使用者效能不應受到很大影響。
適當的警報	應該能夠設定閾值，以便在何時向人員發出安全漏洞警報，並且這種型別的警報應是可以接受的。
不影響資產	環境中的資產不應受到保護措施的負面影響。

確定可能性

確定影響

確定風險

報告調查結果

對策選擇

資訊估值

資訊分類

簡介

在確定要保護的資訊後，有必要對資訊進行分類，並根據其對丟失、洩露或不可用的敏感性進行組織。
資料分類的主要目的是指示每種資料集所需的機密性、完整性和可用性保護級別。
資料分類有助於確保以最具成本效益的方式保護資料。
每個分類應具有單獨的處理要求和程式，涉及如何訪問、使用和銷燬該資料。

分類型別

分類	定義	示例	將使用此分類的組織
公開	• 不歡迎洩露，但它不會對公司或人員造成不利影響。	• 正在特定專案上工作的人數 • 未來專案	商業企業
敏感	• 需要採取特殊預防措施以確保資料的完整性和機密性，方法是保護資料免遭未經授權的修改或刪除。 • 需要比平時更高的準確性和 \| 完整性保證。	• 財務資訊 • 專案詳細資訊 • 利潤收益和預測	商業企業
私人	• 用於公司內部的個人資訊。 • 未經授權的洩露可能會對人員或公司造成不利影響	• 工作經歷 • 人力資源資訊 • 醫療資訊	商業企業
機密	• 僅供公司內部使用。 • 根據《資訊自由法》或其他法律和法規免於披露的資料。 • 未經授權的洩露可能會嚴重影響公司。	• 商業秘密 • 醫療保健資訊 • 程式設計程式碼 • 使公司保持競爭力的資訊	商業企業 / 軍事
非機密	• 資料不敏感或不保密。	• 計算機手冊和保修資訊 • 招聘資訊	軍事
敏感但未經分類 (SBU)	• 輕微機密。 • 如果洩露，可能會造成嚴重損害。	• 醫療資料 • 考試成績答案	軍事
秘密	• 如果洩露，可能會對國家安全造成嚴重損害。	• 部署部隊的計劃 • 核彈放置	軍事
絕密	• 如果洩露，可能會對國家安全造成嚴重損害。	• 新型戰時武器的藍圖 • 間諜衛星資訊 • 間諜活動資料	軍事

資訊分類指南

分類不應是冗長的清單，也不應過於限制和細節導向。
每個分類都應該是唯一的，並且不應有任何重疊。
分類過程應概述資訊和應用程式在其整個生命週期中的處理方式。

資訊分類標準

資料的有用性
資料的價值
資料的年齡
如果資料洩露可能造成的損害程度
如果資料被修改或損壞可能造成的損害程度
保護資料的法律、法規或合同責任
資料對國家安全的影響
誰應該能夠訪問資料
誰應該維護資料
資料應該儲存在哪裡
誰應該能夠複製資料
哪些資料需要標籤和特殊標記
資料是否需要加密
是否需要職責分離
哪種備份策略是合適的
哪種恢復策略是合適的

 Security Note: An organization needs to make sure that whoever is backing up classified data—and whoever has access 
 to backed-up data—has the necessary clearance level. A large security risk can be introduced if low-end technicians with 
 no security clearance can have access to this information during their tasks. Backups contain all your data and deserve the 
 same considerations in terms of security risk as the entire infrastructure because that is exactly what it is only in a single
 location, often stored as a single file and usually with little thought put into what are the risks involved with that appliance.

資料分類程式

以下概述了適當分類程式的必要步驟

定義分類級別。
指定將決定如何對資料進行分類的標準。
讓資料所有者指定她負責的資料的分類。
識別將負責維護資料及其安全級別的資料管理員。
指出每個分類級別所需的安全控制或保護機制。
記錄對先前分類問題的任何例外情況。
指出將資訊的保管權轉移給不同的資料所有者的方法。
建立一個定期審查分類和所有權的程式。將任何更改通知資料管理員。
指出對資料進行降級的終止程式。
將這些問題整合到安全意識計劃中，以便所有員工瞭解如何處理不同分類級別的資料。
DataClassificationPolicySample

分類控制

根據管理層和安全團隊確定的所需保護級別來實施每種分類的控制型別。一些控制措施是

對所有級別的敏感資料和程式實施嚴格和細粒度的訪問控制
在儲存和傳輸時對資料進行加密
審計和監控（確定所需的審計級別以及日誌保留時間）
職責分離（確定是否需要兩個人參與訪問敏感資訊以防止欺詐活動；如果是，定義和記錄程式）
定期審查（審查分類級別以及符合其標準的資料和程式，以確保它們仍然與業務需求一致；資料或應用程式也可能需要重新分類或降級，具體情況視情況而定）
備份和恢復程式（定義和記錄）
變更控制程式（定義和記錄）
檔案和檔案系統訪問許可權（定義和記錄）

道德

道德是一個與價值問題有關的研究領域，即對在任何特定情況下什麼型別的人類行為是“好”或“壞” 的判斷。道德是標準、價值觀、道德、原則等等，人們以此為基礎做出決定或採取行動；通常，沒有明確的 “正確”或“錯誤” 答案。

基本概念

計算機倫理

術語 “計算機倫理” 可以從廣義和狹義上進行解釋。

在狹義上，計算機倫理可以理解為專業哲學家努力將傳統的道德理論（如功利主義、康德主義或德性倫理）應用於與計算機技術使用相關的問題。
在廣義上，它可以理解為專業實踐標準、行為準則、計算機法律的某些方面、公共政策、企業倫理，甚至計算機社會學和心理學的某些主題。

專業道德準則

認證的專業人士，包括持有 CISSP 認證的專業人士，在道德方面，有時在法律方面，也需要遵守更高的標準。為了在行業內和我們企業邊界內促進適當的計算行為，專業人士應將道德納入其組織政策和意識計劃中。

幾個組織透過道德指南解決了道德行為的問題。這些組織包括

計算機倫理研究所，
網際網路活動委員會，
國際計算機安全協會，
資訊系統安全協會，以及
(ISC)² 道德準則。

計算機倫理研究所

CEI 計算機倫理十誡

你不可使用計算機傷害他人。
你不可干擾他人的計算機工作。
你不可窺探他人的計算機檔案。
你不可使用計算機盜竊。
你不可使用計算機作偽證。
你不可複製或使用未支付費用的專有軟體。
你不可未經授權或適當補償而使用他人的計算機資源。
你不可挪用他人的智慧財產權。
你應該思考你正在編寫的程式或設計的系統的社會後果。
你應該始終以確保對他人的尊重和考慮的方式使用計算機。

網際網路架構委員會

網際網路架構委員會 (IAB) 是網際網路設計、工程和管理的協調委員會。它是一個獨立的由對網際網路的健康和發展有技術興趣的研究人員和專業人士組成的委員會。

IAB 有兩個主要的下屬工作組
- 網際網路工程任務組 (IETF) 和
- 網際網路研究任務組 (IRFT)。

IAB 釋出了有關網際網路使用的與道德相關的宣告。它認為網際網路是一種資源，它取決於可用性和可訪問性，才能對廣泛的人群有用。它主要關注網際網路上可能威脅到其存在或對他人產生負面影響的不負責任的行為。它將網際網路視為一項偉大的禮物，並努力為所有依賴它的人保護它。 IAB 認為使用網際網路是一種特權，應該像對待這種特權一樣對待它，並以尊重的態度使用它。

IAB 認為以下行為不道德且不可接受
- 故意試圖獲取對網際網路資源的未經授權的訪問許可權
- 破壞網際網路的預期使用目的
- 透過故意的行為浪費資源（人員、容量和計算機）
- 破壞基於計算機的資訊的完整性
- 損害他人的隱私
- 以疏忽的方式進行網際網路範圍的實驗

(ISC)² 道德準則

所有由 (ISC)2 認證的資訊系統安全專業人員都認識到，這種認證是一種特權，必須同時獲得和維護。為了支援這一原則，所有認證資訊系統安全專業人員 (CISSP) 都承諾全力支援本道德規範。故意或明知違反本規範任何條款的 CISSP 將受到同行評審小組的處罰，這可能導致其認證被撤銷。

道德規範序言

為了社會安全、對我們委託人和彼此的責任，我們必須遵守並被認為遵守最高道德行為標準。
因此，嚴格遵守本規範是認證的條件。

道德規範原則

保護社會、聯邦和基礎設施。
以誠實、公正、負責任和合法的方式行動。
為委託人提供勤勉和勝任的服務。
促進和保護職業發展。

道德規範

保護社會、聯邦和基礎設施
- 促進和維護公眾對資訊和系統的信任和信心。
- 促進對謹慎的資訊安全措施的理解和接受。
- 維護和加強公共基礎設施的完整性。
- 阻止不安全的操作。
以誠實、公正、負責任和合法的方式行動
- 說實話；及時讓所有利益相關者瞭解你的行動。
- 遵守所有明示或暗示的合同和協議。
- 公平對待所有相關方。在解決衝突時，應按照以下順序考慮公共安全和對委託人、個人和職業的義務：公共安全、委託人、個人、職業。
- 提供謹慎的建議；避免引起不必要的恐慌或給予不必要的安慰。注意要誠實、客觀、謹慎，並且符合你的能力範圍。
- 在解決不同司法管轄區之間不同的法律時，優先考慮你提供服務的司法管轄區的法律。
為委託人提供勤勉和勝任的服務
- 維護其系統、應用程式和資訊的價值。
- 尊重他們的信任以及他們賦予你的特權。
- 避免利益衝突或利益衝突的表象。
- 只提供你完全勝任和合格的服務。
促進和保護職業發展
- 推薦最合格的人員進行職業發展。在其他條件相同的情況下，優先考慮那些獲得認證並遵守這些原則的人。避免與那些其行為或聲譽可能損害職業的人進行專業交往。
- 注意不要透過惡意或漠不關心來損害其他專業人員的聲譽。
- 保持你的能力；使你的技能和知識保持最新。在培訓他人方面慷慨地付出你的時間和知識。

計算機倫理示例主題

工作場所的計算機

計算機對傳統工作的威脅

作為一種“通用工具”，原則上可以執行幾乎所有任務，計算機顯然對工作構成威脅。

雖然計算機偶爾需要維修，但它們不需要睡眠，它們不會感到疲倦，它們不會生病回家或休息放鬆。同時，計算機在執行許多工方面通常比人類效率更高。因此，用計算機裝置取代人類的經濟激勵非常高。
在工業化世界中，許多工人已經被計算機裝置取代，甚至像醫生、律師、教師、會計師和心理學家這樣的專業人士也發現，計算機可以非常有效地執行他們許多傳統的專業職責。
然而，就業前景並不全是壞的。從短期來看，計算機造成的失業將是一個重要的社會問題；但從長遠來看，資訊科技將創造比它消除的更多工作崗位。
即使一項工作沒有被計算機淘汰，它也會因“去技能化”而發生根本變化，使工人成為被動的觀察者和按鈕按壓者。
希望隨著知識的傳播，人們會發現，沒有理由實行稀缺驅動型經濟（例如，1942 年美國專利了一種用汞輻射形式製造人造黃金的方法，以及類似的鑽石、石油等成就），世界可以擺脫過去不人道的做法，讓自動化計算機系統來完成下層人民、農民、奴隸和貧困工作者長期以來一直在做的工作。但我們必須始終警惕源於“人人平等但只有我享有特權”的人類缺陷導致的權力濫用，這種缺陷我們每個人都可能屈服於它，並給社會帶來可怕的破壞。而且由於我們天生都懶惰（你會在口渴時通常走到最遠的水源，而不是走到最近的可飲用水源），我們可以確信很難保持這種狀態。

工作場所的健康和安全

另一個工作場所問題涉及健康和安全。根據 Forester 和 Morrison 的說法，當將資訊科技引入工作場所時，重要的是要考慮其可能對使用它的工人的健康和工作滿意度造成的影響。例如，這樣的工人可能會感到壓力，因為他們努力跟上高速計算機裝置的步伐，或者他們可能會因反覆進行相同的身體動作而受傷，或者他們的健康可能會受到計算機顯示器發出的輻射的威脅。這些只是將資訊科技引入工作場所時出現的一些社會和倫理問題。

計算機犯罪

犯罪背後的安全方面

在這個計算機“病毒”和來自數千英里外的“駭客”進行國際間諜活動的時代，計算機安全顯然是計算機倫理領域關注的主題。問題不在於硬體的物理安全（防止被盜、火災、洪水等），而在於“邏輯安全”，根據 Spafford、Heaphy 和 Ferbrache 的說法，邏輯安全可分為五個方面

隱私和機密性
完整性——確保資料和程式未經授權未被修改
無障礙服務
一致性——確保我們今天看到的資料和行為在明天將保持一致
控制對資源的訪問

挑戰

惡意軟體或“程式化威脅”對計算機安全提出了重大挑戰。這些包括

病毒，它們無法獨立執行，而是被插入其他計算機程式中；
蠕蟲，它們可以在網路中從一臺機器移動到另一臺機器，並且可能在不同的機器上執行它們的部分內容；
特洛伊木馬，它們看起來像是一種程式，但實際上是在幕後造成損害；
邏輯炸彈，它們檢查特定的條件，並在這些條件出現時執行；以及
細菌或兔子，它們會迅速繁殖並填滿計算機的記憶體。

可信人員/安全許可人員 vs 駭客/搗亂者

計算機犯罪，如挪用公款、交易中的金融欺詐、利率操縱或邏輯炸彈的植入，通常是由被授權使用計算機系統和/或訪問機密資訊的可信人員實施的。因此，計算機安全還必須關注可信計算機使用者和擁有機密安全許可人員的行為。

可信級別/安全許可訪問級別越高，或組織層級中的級別越高，在成本和安全方面造成更大損害的風險越大，而在被發現的可能性方面則呈指數級下降。更令人擔憂的是，曾經“最可信”但現在是罪犯的人實際上被提起刑事指控的機會在最高層幾乎降至零，因為這些罪犯將在指控被提出之前以被盜金額的一小部分進行和解，而且他們的聲譽不會受到任何損害，因此他們可以維持“最可信”的地位。這不僅對組織內部的人員來說是令人擔憂的事情，對所有受金融/經濟貿易協定約束的國家或國家聯盟的人民來說也是如此，因為這些協定基於信任，並可能導致這些國家之間的大規模戰爭。還有什麼比這更令人恐懼的系統性風險嗎？

駭客/搗亂者透過未知的安全風險未經許可闖入他人的計算機系統。有些人故意竊取資料或進行破壞活動，而另一些人只是“探索”系統，看看它的工作原理以及它包含哪些檔案。這些“探索者”通常聲稱自己是自由的仁慈捍衛者，以及反對大型公司敲詐勒索和流氓政府間諜活動的人。有些人認為自己是在為資訊系統的更多“IT 挑戰者”使用者提供慈善工作，這些使用者要麼出於無知，要麼出於懶惰，沒有發現這些風險。這些自封的網路義警/慈善工作者說他們沒有造成任何傷害，並聲稱透過暴露使用者的安全風險來幫助社會，這些使用者要麼天生沒有能力或技能來發現這些風險，要麼是故意無知，不願付出努力。

有些人認為任何駭客行為都是有害的，因為任何已知的成功滲透計算機系統都需要所有者徹底檢查損壞或丟失的資料和程式。他們聲稱，即使駭客確實沒有進行任何更改，計算機所有者也必須對受損系統進行昂貴且耗時的調查。其他人可能會聲稱（實際上在本頁上面的單獨安全部分中已說明），資料/系統/應用程式所有者應該已經定期檢查損壞或丟失的資料或受損的程式和應用程式。這些人問，你寧願有一個良性入侵者，它找到了一種滲透你的計算機/網路系統的方法，並讓你知道潛在的安全漏洞，還是一個犯罪入侵者入侵你的系統，意圖從你或你的客戶那裡竊取數百萬美元，在你意識到你所承擔的風險或你給客戶/客戶/機密或專有資料帶來的風險之前？如果你持後一種觀點，你是否應該承擔經濟或刑事責任，因為你自願選擇這種方式？

隱私和匿名

隱私問題

隱私是最早引起公眾關注的計算機倫理主題之一。

計算機和計算機網路可以輕鬆有效地用於收集、儲存、搜尋、比較、檢索和共享個人資訊，這使得計算機技術對那些希望將各種“敏感”資訊（例如，醫療記錄）保密或不落入那些被視為潛在威脅的人手中的人來說尤其具有威脅性。

暴露隱私的因素

一些加劇人們對隱私擔憂的因素包括：

網際網路的商業化和快速發展；
全球資訊網的興起；
計算機和應用程式的“使用者友好性”不斷提升
計算機的處理能力；
計算機技術的成本不斷下降
資料探勘和資料匹配，
網路上“點選軌跡”的記錄等等。

匿名性

網路匿名性有時與網路隱私問題在同一語境下討論，因為匿名性可以提供與隱私相同的許多益處。例如，如果有人使用網際網路獲取醫療或心理諮詢，或討論敏感話題（例如，艾滋病），匿名性可以提供類似於隱私的保護。同樣，網路匿名性和隱私都可以在維護人的價值觀（如安全、心理健康、自我實現和心靈平靜）方面有所幫助。不幸的是，隱私和匿名性也可能被利用，以在網路空間中促進不希望和不良的計算機輔助活動，例如洗錢、毒品交易、恐怖主義或捕食弱者。

智慧財產權

爭論

計算機倫理中最有爭議的領域之一涉及與軟體所有權相關的智慧財產權。

有些人，比如啟動自由軟體基金會的理查德·斯托曼，認為軟體囤積不應該被允許。他聲稱，所有分發給公眾的程式都應該是免費的，並且所有分發給公眾的程式都應該可以被任何想要這樣做的人複製、研究和修改。
有些人認為，如果軟體公司或程式設計師不能以許可費或銷售的形式收回投資，他們就不會在軟體開發上投入數週和數月的努力以及大量的資金。雖然在過去 20 年裡，由全球數千名開發人員免費建立和維護的自由開源軟體似乎已經清楚地反駁了這些說法。

場景

當今的軟體行業是經濟中一個價值數十億美元的部分；軟體公司聲稱每年因非法複製（“軟體盜版”）而損失數十億美元。
許多人認為軟體應該是可擁有的，但“隨意複製”個人擁有的程式供朋友使用也應該被允許。
軟體行業聲稱，由於這種複製行為，他們損失了數百萬美元的銷售額。所有權是一個複雜的問題，因為軟體的幾個不同方面可以被擁有，並且有三種不同型別的所有權：版權、商業秘密和專利。一個人可以擁有程式的以下方面：
- “原始碼”，由程式設計師用高階計算機語言（如 Java 或 C++）編寫。
- “目的碼”，是原始碼的機器語言翻譯。
- “演算法”，是原始碼和目的碼所代表的機器指令序列。
- 程式的“外觀和感覺”，即程式在螢幕上的顯示方式以及與使用者的互動方式。
當今一個非常有爭議的問題是擁有計算機演算法的專利。
- 專利授予對專利專案的獨佔性壟斷權，因此，演算法所有者可以禁止他人使用演算法中包含的數學公式。
- 數學家和科學家對此表示憤怒，他們聲稱演算法專利實際上將數學的一部分從公共領域中刪除，從而威脅到科學的發展。

挑戰

執行初步的“專利搜尋”以確保你的“新”程式沒有侵犯任何人的軟體專利，這是一個昂貴且耗時的過程，而且在法庭之外能夠達到的置信度幾乎為零。因此，只有擁有鉅額預算的大公司才能負擔得起這樣的搜尋，或負擔得起昂貴的訴訟。這實際上淘汰了許多小型軟體公司，抑制了競爭，並減少了社會可獲得的程式的多樣性和質量。

專業責任

計算機專業人員擁有專業知識，並且通常在社群中擁有權威和尊重。隨著改變世界的這種權力而來的是負責任地行使權力的責任。計算機專業人員發現自己與其他人建立了各種專業關係，包括：

僱主-僱員
客戶-專業人士
專業人士-專業人士
社會-專業人士

這些關係涉及多種利益，有時這些利益會相互衝突。因此，負責任的計算機專業人員會意識到可能存在的利益衝突，並儘量避免它們，並努力記住所有相關人員都是人，並要有同理心。始終思考的最好方法是問自己：如果我處於他們的位置，我會希望如何被對待？

像美國計算機協會 (ACM) 和電氣和電子工程師協會 (IEEE) 這樣的專業組織也制定了倫理準則、課程指南和認證要求，以幫助計算機專業人員瞭解和管理倫理責任。

全球化

當今的計算機倫理正在迅速發展成為一個更廣泛、甚至更重要的領域，這個領域可以合理地稱為“全球資訊倫理”。

在人類歷史上，倫理和價值觀首次在一個不侷限於特定地理區域，也不受特定宗教或文化限制的背景下進行辯論和轉變。這很可能是歷史上最重要的社會發展之一，但一些問題，如全球法律、全球網路商業、全球教育、資訊富裕和資訊貧困等，正日益成為網路世界的關注點。

常見的計算機倫理謬誤

缺乏早期的、以計算機為導向的童年養育和條件反射導致了幾個普遍存在的謬誤。計算機使用者群體包括 7 到 70 歲的使用計算和其他資訊科技的人。就像所有謬誤一樣，有些人受到它們的強烈影響，而有些人則不太受影響。一些最常見的謬誤，可能是最重要的，包括：

電腦遊戲謬誤
守法公民謬誤
堅不可摧的謬誤
從嬰兒手中奪糖果的謬誤
駭客謬誤
免費資訊謬誤

駭客和駭客行動

駭客是指喜歡深入瞭解系統內部工作原理的人，尤其是計算機和計算機網路。

駭客倫理

兩種最常見的但沒有得到廣泛認可的駭客倫理是：

認為資訊共享是強大的積極因素，並且駭客有道德義務透過編寫開原始碼並儘可能地促進資訊和計算資源的訪問來分享他們的專業知識。
認為為了樂趣和探索而破解系統在道德上是可以的，只要破解者不進行任何盜竊、破壞或違反保密性。

參考資料

資訊安全治理

安全策略資訊安全管理第三版作者：邁克爾·E·惠特曼計算機倫理與職業責任

簡介