|
依據世界經濟論壇《2024全球風險報告》未來2年與10年內的十大風險,Cyber insecurity 網絡犯罪與安全危機高居第四與第八大風險,幾乎每天都有重大資訊通報,包含疑似資料外洩或遭遇駭客網路攻擊等,大家可以上網看一下。
根據金管會明文規定,國內任何一家上市、上櫃或興櫃公司出現重大資安事件時,應即時發布重訊;如果損失超過實收資本額20%或新台幣3億元以上,須進一步召開重訊記者會。證交所對上市公司重大訊息查證暨公司處理程序規定第4條上市公司重大訊息中,原本第26項規範發生災難、集體抗議、罷工、環境污染或其他重大情事,證交所表示,過去資安事件發生可歸類於其他重大情事,但這樣的定義並不算明確,並於2021年修正第26項,正式將資通安全事件明確訂於法規之中。 2024年證交所、櫃買中心更發布的公開文件,明確企業重大資安事件定義出爐,以下受害類型都須發布重訊:包含公司的核心資通系統、官方網站或機密文件檔案資料等,遭到入侵、破壞、竄改、刪除、加密、竊取、分散式阻斷服務攻擊(DDoS)等,導致無法營運或正常提供服務,或者發生個資外洩等 。
筆者並非資訊背景人員,多年從事電腦稽核工作,希望透過有用工具協助非資訊背景之稽核人員也能進行法令規定必須進行之資安查核工作,善盡當則。 尤其是在此資安事件頻傳的環境中,唯有內控三道防線有效運作,方能確保組織控制有效。
ISO/IEC 27001:2022資訊安全、網宇安全及隱私保護: 導入了Cybersecurity and Privacy protection(網路安全和隱私保護)的概念,為了對應業界標準,從原先的A5到A18共14個控制措施,也就是14個領域, 簡化合併成4大領域 : 組織面、人員面、 實體面、 技術面。
ISO27001 :2022引入11個新控制措施如下,但沒有刪除任何控制措施,而是將許多控制措施合併在一起,從而減少了總數:5.7 威脅情報、5.23 使用雲服務的信息安全、5.30 ICT 為業務連續性做好準備、7.4 物理安全監控、8.9 配置管理、8.10 信息刪除、8.11 數據屏蔽、8.12 數據洩露預防、8.16 監控活動、8.23 網頁過濾、8.28 安全編碼
筆者近期透過公開課程指導學員如何善用AI稽核工具JCAATs 強大功能,協助以上ISO 27001 2022年新版5.7威脅情報的控制措施,是否有依照規定辦理進行證實性電腦稽核。課程以資通安全電腦稽核-資安漏洞公告查核進行實例演練,協助學員了解通用漏洞(CVE)警訊相關規範和通用漏洞評分系統(CVSS)的用途及其在資訊安全中的應用,運用JCAATs AI稽核軟體之OPEN DATA連結器,指導學員如何快速取得CVE網站(https://www.cve.org/Downloads ) 上超過30多萬通用漏洞資訊,透過智能大數據資料分析方式,進行CVE國際通用漏洞警訊年度趨勢分析,了解最新資安漏洞警訊重點事項,並可透過最新文字探勘技術應用,協助指導學員建立資安風險關鍵字字典,透過自然語言演算法,文字雲等圖形式分析方式,讓查核人員可以快速瞭解各年度資安弱點的重要變化,於查核時做為參考,查核公司年度資安計畫是否有對應進行風險控管。
以下簡單介紹一下關於CVE通用漏洞與通用漏洞評分系統 (CVSS):
通用漏洞 (CVE)
公共漏洞和暴露(CVE, Common Vulnerabilities and Exposures)又稱通用漏洞披露、常見漏洞與披露,是一個與資訊安全有關的資料庫,收集各種資安弱點及漏洞並給予編號以便於公眾查閱。此資料庫現由美國非營利組織MITRE(Mitre Corporation)所屬的National Cybersecurity FFRDC(英語:National Cybersecurity FFRDC)所營運維護。
CVE使命是識別、定義和分類公開揭露的網路安全漏洞。目錄中的每個漏洞都有一個CVE 記錄。這些漏洞由世界各地與 CVE 計劃合作的組織發現、分配和發布。合作夥伴發布 CVE 記錄以傳達一致的漏洞描述。資訊科技和網路安全專業人員使用 CVE 記錄來確保他們正在討論相同問題,並協調他們的工作,確定優先順序並解決漏洞。
通用漏洞 (CVE) 和通用漏洞評分系統 (CVSS)
CVE收集了已知的網路安全性漏洞和暴露,方便連結漏洞資料庫的信息,並進行安全工具和服務的比較。CVSS是一種被廣泛使用的漏洞評分標準,提供一個標準化的漏洞評估框架,使組織能夠了解漏洞的影響程度、比較不同漏洞的嚴重性和優先順序,並基於風險等級分配資源和修補措施。基本度量群組考慮漏洞的特徵,如攻擊向量、攻擊複雜度、身份驗證要求等,評分範圍從0到10,數值越高代表漏洞越嚴重。
點擊連結深入了解
JCAATs AI 稽核軟體
|
(共有12人投票)
