TWI482047B - 資訊安全稽核管控系統、方法及其電腦可讀取紀錄媒體 - Google Patents

資訊安全稽核管控系統、方法及其電腦可讀取紀錄媒體 Download PDF

Info

Publication number
TWI482047B
TWI482047B TW101141166A TW101141166A TWI482047B TW I482047 B TWI482047 B TW I482047B TW 101141166 A TW101141166 A TW 101141166A TW 101141166 A TW101141166 A TW 101141166A TW I482047 B TWI482047 B TW I482047B
Authority
TW
Taiwan
Prior art keywords
risk
value
audit
members
auditing
Prior art date
Application number
TW101141166A
Other languages
English (en)
Other versions
TW201419026A (zh
Inventor
Chienting Kuo
Heming Ruan
Chinlaung Lei
Original Assignee
Inst Information Industry
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Inst Information Industry filed Critical Inst Information Industry
Priority to TW101141166A priority Critical patent/TWI482047B/zh
Priority to CN201210476879.8A priority patent/CN103810558A/zh
Priority to US13/686,897 priority patent/US20140130170A1/en
Priority to GB201221598A priority patent/GB2507598A/en
Publication of TW201419026A publication Critical patent/TW201419026A/zh
Application granted granted Critical
Publication of TWI482047B publication Critical patent/TWI482047B/zh

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Business, Economics & Management (AREA)
  • Human Resources & Organizations (AREA)
  • Computing Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Economics (AREA)
  • Strategic Management (AREA)
  • Development Economics (AREA)
  • Game Theory and Decision Science (AREA)
  • Educational Administration (AREA)
  • Marketing (AREA)
  • Operations Research (AREA)
  • Quality & Reliability (AREA)
  • Tourism & Hospitality (AREA)
  • General Business, Economics & Management (AREA)

Description

資訊安全稽核管控系統、方法及其電腦可讀取紀錄媒體
本揭示內容是有關於一種資訊安全稽核技術,且特別是有關於一種資訊安全稽核管控系統、方法及其電腦可讀取紀錄媒體。
在網路及電腦技術日益發達的今天,大量的資訊可透過電腦裝置進行處理與儲存,亦可藉由網路快速地交換與傳輸。雖然利用網路與電腦可加速資訊的處理與控管,帶來許多的便利性,但是網路與電腦的漏洞往往也成為駭客攻擊的目標。在遭受駭客攻擊後,如公司或是公家機關的機密資料將有外洩的疑慮。因此,資訊安全的重要性不言而喻。
在資安的控管流程中,往往是針對單一弱點或是重要資產進行評估,無法針對組織或企業提供整體資安的風險評估。並且,資安風險評估多採人力固定週期的方式進行,在資安威脅愈來愈多且持續發生的情形下,將無法有效率地進行控管,從而提高發生資訊安全事件的機率。
因此,如何設計一個資訊安全稽核管控系統、方法及其電腦可讀取紀錄媒體,以積極且有效率的進行動態稽核與管控,乃為此一業界亟待解決的問題。
因此,本揭示內容之一態樣是在提供一種資訊安全稽核管控系統,包含:群組分化模組、風險計算模組以及動態稽核模組。群組分化模組根據組織之複數組織成員各對應之結構層級及至少一特徵計算對應之正規加權值。風險計算模組對組織成員計算對應複數風險稽核項目之複數風險評分值,進一步依據風險評分值以及各組織成員之正規加權值計算各組織成員之正規化風險值。動態稽核模組判斷各組織成員之正規化風險值及/或風險評分值與複數風險門檻值區間之相對關係,俾根據相對關係動態調整風險稽核項目之稽核週期及/或稽核項目數量。
依據本揭示內容一實施例,其中當正規化風險值及/或風險評分值由第一風險門檻值區間變動至第二風險門檻值區間,且第一風險門檻值區間小於第二風險門檻值區間,動態稽核模組調降稽核週期及/或調增稽核項目數量。
依據本揭示內容另一實施例,其中當正規化風險值及/或風險評分值由一第一風險門檻值區間變動至一第二風險門檻值區間,且第一風險門檻值區間大於第二風險門檻值區間,動態稽核模組調增稽核週期及/或調降稽核項目數量。
依據本揭示內容又一實施例,其中動態稽核模組係依特定比例或風險稽核項目關聯性動態調整稽核週期及/或稽核項目數量。
依據本揭示內容再一實施例,其中動態稽核模組更依據相對關係動態調整警示頻率及/或事件處理頻率。
依據本揭示內容更具有之一實施例,其中特徵包含成 員屬性、成員資產價值、成員營運績效或其排列組合。
依據本揭示內容再具有之一實施例,更包含關聯資料庫,其中群組分化模組進一步將結構層級、特徵以及正規加權值儲存於關聯資料庫。
依據本揭示內容一實施例,其中風險計算模組計算各組織成員之正規化風險值係由組織成員中具有最低結構層級者依序計算至具有最高結構層級者。
依據本揭示內容另一實施例,其中組織成員包含至少一人員及/或至少一系統資源。
本揭示內容之另一態樣是在提供一種資訊安全稽核管控方法,應用於資訊安全稽核管控系統,其中資訊安全稽核管控方法包含:根據組織之複數組織成員各對應之結構層級及至少一特徵計算對應之正規加權值;對組織成員計算對應複數風險稽核項目之複數風險評分值,進一步依據風險評分值以及各組織成員之正規加權值計算各組織成員之正規化風險值;以及判斷各組織成員之正規化風險值及/或風險評分值與複數風險門檻值區間之相對關係,俾根據相對關係動態調整風險稽核項目之稽核週期及/或稽核項目數量。
依據本揭示內容一實施例,其中動態調整風險稽核項目之步,驟更包含當正規化風險值及/或風險評分值由第一風險門檻值區間變動至第二風險門檻值區間,且第一風險門檻值區間小於第二風險門檻值區間,調降稽核週期及/或調增稽核項目數量。
依據本揭示內容另一實施例,其中動態調整風險稽核 項目之步驟更包含當正規化風險值及/或風險評分值由第一風險門檻值區間變動至第二風險門檻值區間,且第一風險門檻值區間大於第二風險門檻值區間,調增稽核週期及/或調降稽核項目數量。
依據本揭示內容又一實施例,其中動態調整風險稽核項目之步驟更包含依特定比例或風險稽核項目關聯性動態調整稽核週期及/或稽核項目數量。
依據本揭示內容再一實施例,其中資訊安全稽核管控方法更包含依據相對關係動態調整警示頻率及/或事件處理頻率。
依據本揭示內容更具有之一實施例,其中特徵包含成員屬性、成員資產價值、成員營運績效或其排列組合。
依據本揭示內容再具有之一實施例,資訊安全稽核管控方法更包含將結構層級、特徵以及正規加權值儲存於關聯資料庫。
依據本揭示內容一實施例,其中計算各組織成員之正規化風險值之步驟更包含由組織成員中具有最低結構層級者依序計算至具有最高結構層級者。
依據本揭示內容另一實施例,其中組織成員包含至少一人員及/或至少一系統資源。
本揭示內容之又一態樣是在提供一種電腦可讀取紀錄媒體,儲存電腦程式,用以執行一種應用於資訊安全稽核管控系統之資訊安全稽核管控方法,其中資訊安全稽核管控方法包含:根據組織之複數組織成員各對應之結構層級及至少一特徵計算對應之正規加權值;對組織成員計算對 應複數風險稽核項目之複數風險評分值,進一步依據風險評分值以及各組織成員之正規加權值計算各組織成員之正規化風險值;以及判斷各組織成員之正規化風險值及/或風險評分值與複數風險門檻值區間之相對關係,俾根據相對關係動態調整風險稽核項目之稽核週期及/或稽核項目數量。
依據本揭示內容一實施例,其中動態調整風險稽核項目之步驟更包含當正規化風險值及/或風險評分值由第一風險門檻值區間變動至第二風險門檻值區間,且第一風險門檻值區間小於第二風險門檻值區間,調降稽核週期及/或調增稽核項目數量。
依據本揭示內容另一實施例,其中動態調整風險稽核項目之步驟更包含當正規化風險值及/或風險評分值由第一風險門檻值區間變動至第二風險門檻值區間,且第一風險門檻值區間大於第二風險門檻值區間,調增稽核週期及/或調降稽核項目數量。
依據本揭示內容又一實施例,其中動態調整風險稽核項目之步驟更包含依特定比例或風險稽核項目關聯性動態調整稽核週期及/或稽核項目數量。
依據本揭示內容再一實施例,其中資訊安全稽核管控方法更包含依據相對關係動態調整警示頻率及/或事件處理頻率。
依據本揭示內容更具有之一實施例,其中特徵包含成員屬性、成員資產價值、成員營運績效或其排列組合。
依據本揭示內容再具有之一實施例,資訊安全稽核管 控方法更包含將結構層級、特徵以及正規加權值儲存於關聯資料庫。
依據本揭示內容一實施例,其中計算各組織成員之正規化風險值之步驟更包含由組織成員中具有最低結構層級者依序計算至具有最高結構層級者。
依據本揭示內容另一實施例,其中組織成員包含至少一人員及/或至少一系統資源。
應用本揭示內容之優點係在於藉由依據各個成員依結構層級進行正規化後的風險值來動態調整稽核的週期及稽核的項目數量,可對組織的安全性進行更彈性地調整及監控,而輕易地達到上述之目的。
請參照第1圖。第1圖為本揭示內容一實施例中,一種資訊安全稽核管控系統1之方塊圖。資訊安全稽核管控系統1包含:群組分化模組10、關聯資料庫12、風險計算模組14、動態稽核模組16以及操作介面18。
操作介面18可用以供使用者輸入一個組織的組織資訊11,包含複數組織成員各對應之結構層級及至少一特徵。其中,「組織」一詞可例如但不限於一個公司、一個社團或一個機關,其成員的結構層級可由高結構層級的成員(如事業群、部門等)進行群組分類直至低結構層級的成員(如小組、個人等)。並且,組織的成員可包含人員以及系統資源(如個人主機、開發系統或網管系統等)。
特徵於本實施例中,包含可例如但不限於成員屬性、 成員資產價值、成員營運績效或其排列組合。舉例來說,成員屬性可區分為高度機密性、中度機密性及低度機密性。成員資產價值可例如為各小組的系統資源的價值。成員營運績效則可例如為各事業群單位的總產值。
群組分化模組10可根據包含複數組織成員各對應之結構層級及至少一特徵的組織資訊11,計算各個組織成員對應之正規加權值13。依上述結構層級以及特徵,群組分化模組10可例如但不限於以比例分配的分式計算出正規加權值13。更詳細的範例,將於後續的段落有進一步的說明。於本實施例中,組織資訊11以及對應的正規加權值13可進一步儲存於關聯資料庫12中。
操作介面18於本實施例中更可供使用者輸入各個組織成員對應的複數風險稽核項目15。風險稽核項目15可例如但不限於偵測如個人電腦、開發系統或網管系統的系統資源中防毒軟體的版本、更新日期或是的密碼強度、防火牆系統設定或入侵偵測防禦系統等防護項目設定、以及系統資源弱點檢測項目等等。風險計算模組14可對上述的各個組織成員計算對應複數風險稽核項目15之複數風險評分值。舉例來說,風險評分值可為例如但不限於0-100的分數,分數愈高表示其資安風險愈大。其中,不同風險稽核項目對應使用的風險值計算方法可由各種習知的方式進行評分,因此不再此進行贅述。風險計算模組14進一步依據風險評分值以及各組織成員之正規加權值13計算各組織成員之正規化風險值。
於一實施例中,風險計算模組14可依組織成員中具有 最低結構層級者起始計算風險評分值以及正規化風險值,再依序計算至具有最高結構層級者。
動態稽核模組16判斷各組織成員由風險計算模組14計算出,包含正規化風險值及/或風險評分值的風險值17與複數風險門檻值區間之相對關係,俾根據相對關係動態調整前述之風險稽核項目15之稽核週期及/或稽核項目數量。其中,稽核週期表示每次稽核的間隔時間。調降或調增稽核週期即表示縮短或拉長每次稽核的間隔時間。例如由每兩週進行一次稽核調整為每一週進行一次稽核,即為對稽核週期進行調降,而由每一週進行一次稽核調整為每兩週進行一次稽核,即為對稽核週期進行調增。而對於稽核項目數量的調整則例如由對如個人電腦、開發系統或網管系統的系統資源中防毒軟體的廠牌及版本的稽核調整為對系統資源中防毒軟體的廠牌、版本、更新日期、掃描頻率的稽核,即為對稽核項目數量進行調增。而由對系統資源的密碼強度、防火牆系統政策設定或入侵偵測防禦系統等防護項目設定、以及系統資源弱點檢測項目、使用者權限的稽核調整為僅對密碼強度的稽核,則為對稽核項目數量進行調降。
於一實施例中,當正規化風險值及/或風險評分值由第一風險門檻值區間變動至第二風險門檻值區間,且第一風險門檻值區間小於第二風險門檻值區間,動態稽核模組16將調降稽核週期及/或調增稽核項目數量。舉例來說,當前次稽核之正規化風險值由50分至60分的區間變動至60分至70分的區間,即表示風險升高,則動態稽核模組16動 態地調降稽核週期及/或調增稽核項目數量。
於另一實施例中,當正規化風險值及/或風險評分值由第一風險門檻值區間變動至第二風險門檻值區間,且第一風險門檻值區間大於第二風險門檻值區間,動態稽核模組16將調增稽核週期及/或調降稽核項目數量。舉例來說,當前次稽核之風險評分值由91分至100分的區間變動至71分至80分的區間,即表示風險降低,則動態稽核模組16動態地調降稽核週期及/或調增稽核項目數量。
於不同的實施例,動態稽核模組16可依特定比例或風險稽核項目關聯性動態調整稽核週期及/或稽核項目數量。舉例來說,當正規化風險值由51分至60分的區間變動至61分至70分的區間,即將稽核週期縮短一半,而當正規化風險值由61分至70分的區間變動至71分至80分的區間,則將稽核週期縮短為四分之一。稽核項目數量亦可進行類似的調整,例如當正規化風險值由51分至60分的區間變動至61分至70分的區間,則稽核項目的數量由三項增加為六項。而當正規化風險值由61分至70分的區間變動至71分至80分的區間,則稽核項目的數量由六項增加為八項後,則額外依與此八項相關聯的稽核項目額外納入兩項成為十項(如原先稽核項目為防毒軟體,則與防止電腦系統被入侵的防火牆相關稽核項目亦被納入)。需注意的是,以上的比例僅為舉例,於其他實施例中,可依其他的比例進行調整。
於一實施例中,動態稽核模組16可更依據相對關係動態調整警示頻率及/或事件處理頻率。舉例來說,動態稽核 模組16可依據在正規化風險值及/或風險評分值由低風險門檻值區間變動至高風險門檻值區間時,將警示頻率及/或事件處理頻率提高,以密集地提示相關人員需加緊資安漏洞的補強(如透過對軟硬體的調整、對人員的資安教育訓練或對人員的電子郵件警示),或是將資料庫更新頻率提高等。
因此,藉由依據各個成員依結構層級進行正規化後的風險值來動態調整稽核的週期及稽核的項目數量,可對組織的安全性進行更彈性地調整及監控。
請參照第2圖。第2圖為本揭示內容一實施例中,組織架構的示意圖。此範例中的組織總資產為1000萬,並區分為各具600萬資產的A組及400萬資產的B組兩個成員。其中A組又區分為三個成員,即人員A1、A2及A3,各具有300萬、150萬及150萬的資產。B組亦區分為三個成員,即人員B1、B2及B3,各具有200萬、100萬及100萬的資產。各個人員具有三個稽核項目,且其稽核項目的風險評分值於其下列出。
因此,如組織的正規加權值為1,則A組及B組於其同層級架構將被分別由群組分化模組10計算出0.6及0.4的正規加權值,人員A1、A2及A3的正規加權值分別由群組分化模組10計算出為0.5、0.25及0.25,而人員B1、B2及B3的正規加權值分別由群組分化模組10計算出為為0.5、0.25及0.25。
由於對人員A1的稽核項目的風險評分值為40、90及55,因此經過風險計算模組14平均計算後人員A1的正規 化風險值將為(40+90+55)/3=61.67。依類似方式風險計算模組14可計算出人員A2及A3的正規化風險值將為65及40。而B1、B2及B3分別的正規化風險值將為40、36.67及30。A組的正規化風險值將由風險計算模組14計算為61.67*0.5+65*0.25+40*0.25=57.085。B組的正規化風險值將為40*0.5+36.67*0.25+30*0.25=36.66。最後,組織的正規化風險值將由風險計算模組14計算為48.315。
因此,動態稽核模組16將對正規化風險值進行判斷。舉例來說,人員A1如果在稽核項目2的風險評分值超過門檻值70分,則將使人員A1稽核項目2的稽核週期由兩週調整為一週。而如果A組中人員A1及A2的正規化風險值均超過門檻值65,則可將人員A1及A2的所有稽核項目的稽核週期由兩週調整為一週,或是將A組所有人員的所有稽核項目的稽核週期均由兩週調整為一週。並且由於人員A1在稽核項目2的風險評分值由門檻值區間71-80變動至81-90分,因此亦可同時動態調整其稽核項目的數量為五個。
請參照第3圖。第3圖為本揭示內容一實施例中,風險評分的直覺顯示介面示意圖。於本實施例中,風險計算模組14可進一步將計算出的風險評分值及正規化風險值以第3圖繪示的方式顯示於系統的顯示器(未繪示)的顯示介面上,將群組、子群組、總體風險評分區間等以直覺顏色深淺方式呈現。於其他實施例中,亦可以其他輸出裝置以例如但不限於圖示大小、音量大小、音頻高低等直覺方式呈現組織的資安風險情形。
請參照第4圖。第4圖為本揭示內容一實施例中,一種資訊安全稽核管控方法400之流程圖。資訊安全稽核管控方法400可應用於如第1圖所繪示之資訊安全稽核管控系統1。此資訊安全稽核管控方法400可實作為一電腦程式,並儲存於一電腦可讀取記錄媒體中,而使電腦讀取此記錄媒體後執行資訊安全稽核管控方法。電腦可讀取記錄媒體可為唯讀記憶體、快閃記憶體、軟碟、硬碟、光碟、隨身碟、磁帶、可由網路存取之資料庫或熟悉此技藝者可輕易思及具有相同功能之電腦可讀取紀錄媒體。資訊安全稽核管控方法400包含下列步驟(應瞭解到,在本實施方式中所提及的步驟,除特別敘明其順序者外,均可依實際需要調整其前後順序,甚至可同時或部分同時執行)。
於步驟401,稽核流程開始。
於步驟402,由群組分化模組10根據組織之複數組織成員各對應之結構層級及至少一特徵計算對應之正規加權值。
於步驟403,由風險計算模組14對組織成員計算對應複數風險稽核項目之複數風險評分值,進一步依據風險評分值以及各組織成員之正規加權值計算各組織成員之正規化風險值。
於步驟404,由動態稽核模組16判斷各組織成員之正規化風險值及/或風險評分值與複數風險門檻值區間之相對關係是否變動。
當相對關係變動,亦即由第一風險門檻值區間變動至第二風險門檻值區間,則流程將於步驟405動態調整風險 稽核項目之稽核週期及/或稽核項目數量,並繼續進行至步驟406,結束稽核流程,並依照動態調整後及/或恢復預設值調整後的稽核周期及/或稽核項目數量於下次稽核時回至步驟401啟始稽核流程。
當相對關係未變動,於步驟407,進一步檢查正規化風險值及/或風險評分值所位於風險門檻值區間的稽核週期及/或稽核項目數量是否為對應的預設值。當並非預設值,流程將進行至步驟405調整風險稽核項目之稽核週期及/或稽核項目數量。而如正規化風險值及/或風險評分值所位於風險門檻值區間的稽核週期及/或稽核項目數量是對應的預設值,則流程將進行至步驟406,以結束稽核流程。
請參照第5圖。第5圖為本揭示內容一實施例中,第4圖中的步驟405中動態調整風險稽核項目之稽核週期之步驟更詳細之流程圖。
於步驟501,稽核週期動態調整流程開始。
於步驟502,判斷是否需要依正規化風險值及/或風險評分值調增或調降稽核週期。
當此流程是延續第4圖中的步驟404進行時,則判斷為需要依正規化風險值及/或風險評分值調增或調降稽核週期,並於步驟503將稽核週期依特定比例調增或調降。流程接著將進行至步驟504,結束稽核週期動態調整流程。
當此流程是延續第4圖中的步驟407進行時,則判斷為不需要依正規化風險值及/或風險評分值調增或調降稽核週期,並於步驟505將稽核週期調整回復至預設值。流程接著將進行至步驟504,結束稽核週期動態調整流程。
請參照第6圖。第6圖為本揭示內容一實施例中,第4圖中的步驟405中動態調整風險稽核項目之稽核項目數量之步驟更詳細之流程圖。
於步驟601,稽核項目數量動態調整流程開始。
於步驟602,判斷是否需要依正規化風險值及/或風險評分值調增或調降稽核項目數量。
當此流程是延續第4圖中的步驟404進行時,則判斷為需要依正規化風險值及/或風險評分值調增或調降稽核項目數量,並於步驟603依特定比例調增或調降稽核項目數量或關聯稽核項目。流程接著將進行至步驟604,結束稽核項目數量動態調整流程。
當此流程是延續第4圖中的步驟407進行時,則判斷為不需要依正規化風險值及/或風險評分值調增或調降稽核項目數量,並於步驟605將稽核項目數量調整回復至預設值。流程接著將進行至步驟604,結束稽核項目數量動態調整流程。
雖然本揭示內容已以實施方式揭露如上,然其並非用以限定本揭示內容,任何熟習此技藝者,在不脫離本揭示內容之精神和範圍內,當可作各種之更動與潤飾,因此本揭示內容之保護範圍當視後附之申請專利範圍所界定者為準。
1‧‧‧資訊安全稽核管控系統
10‧‧‧群組分化模組
11‧‧‧組織資訊
12‧‧‧關聯資料庫
13‧‧‧正規加權值
14‧‧‧風險計算模組
15‧‧‧風險稽核項目
16‧‧‧動態稽核模組
17‧‧‧風險值
18‧‧‧操作介面
400‧‧‧資訊安全稽核管控方法
401-407‧‧‧步驟
501-505‧‧‧步驟
601-605‧‧‧步驟
為讓本揭示內容之上述和其他目的、特徵、優點與實施例能更明顯易懂,所附圖式之說明如下: 第1圖為本揭示內容一實施例中,一種資訊安全稽核管控系統之方塊圖;第2圖為本揭示內容一實施例中,組織架構的示意圖;第3圖為本揭示內容一實施例中,風險評分的直覺顯示介面示意圖;第4圖為本揭示內容一實施例中,一種資訊安全稽核管控方法之流程圖;第5圖為本揭示內容一實施例中,動態調整風險稽核項目之稽核週期更詳細之流程圖;以及第6圖為本揭示內容一實施例中,動態調整風險稽核項目之稽核項目數量更詳細之流程圖。
400‧‧‧資訊安全稽核管控方法
401-407‧‧‧步驟

Claims (27)

  1. 一種資訊安全稽核管控系統,包含:一群組分化模組,用以根據一組織之複數組織成員各對應之一結構層級及至少一特徵計算對應之一正規加權值,其中該些組織成員包括一第一成員與多個第二成員,該第一成員的該結構層級在該些第二成員的該結構層級之上,該第一成員的該特徵為該些第二成員的該些特徵的總和,每一該些第二成員的該正規加權值是根據對應的該第二成員的該特徵相對於該第一成員的該特徵的一比例所計算出;一風險計算模組,用以對該等組織成員計算對應複數風險稽核項目之複數風險評分值,進一步依據該等風險評分值以及各該等組織成員之該正規加權值計算各該等組織成員之一正規化風險值,其中該些第二成員的該些正規化風險值是根據該些第二成員對應的該些風險稽核項目的該些風險評分值所計算出,該第一成員的該正規化風險值是將該些第二成員的該些正規加權值分別乘上對應的該些正規化風險值後再累加所計算出;以及一動態稽核模組,用以判斷各該等組織成員之該正規化風險值及/或該等風險評分值與複數風險門檻值區間之一相對關係,俾根據該相對關係動態調整該等風險稽核項目之一稽核週期及/或一稽核項目數量。
  2. 如請求項1所述之資訊安全稽核管控系統,其中當該正規化風險值及/或該等風險評分值由一第一風險門 檻值區間變動至一第二風險門檻值區間,且該第一風險門檻值區間小於該第二風險門檻值區間,該動態稽核模組調降該稽核週期及/或調增該稽核項目數量。
  3. 如請求項1所述之資訊安全稽核管控系統,其中當該正規化風險值及/或該等風險評分值由一第一風險門檻值區間變動至一第二風險門檻值區間,且該第一風險門檻值區間大於該第二風險門檻值區間,該動態稽核模組調增該稽核週期及/或調降該稽核項目數量。
  4. 如請求項1所述之資訊安全稽核管控系統,其中該動態稽核模組係依一特定比例或一風險稽核項目關聯性動態調整該稽核週期及/或該稽核項目數量。
  5. 如請求項1所述之資訊安全稽核管控系統,其中該動態稽核模組更依據該相對關係動態調整一警示頻率及/或一事件處理頻率。
  6. 如請求項1所述之資訊安全稽核管控系統,其中該特徵包含一成員屬性、一成員資產價值、一成員營運績效或其排列組合。
  7. 如請求項1所述之資訊安全稽核管控系統,更包含一關聯資料庫,其中該群組分化模組進一步將該結構層級、該特徵以及該正規加權值儲存於該關聯資料庫。
  8. 如請求項1所述之資訊安全稽核管控系統,其中該風險計算模組計算各該等組織成員之該正規化風險值係由該等組織成員中具有一最低結構層級者依序計算至具有一最高結構層級者。
  9. 如請求項1所述之資訊安全稽核管控系統,其中該等組織成員包含至少一人員及/或至少一系統資源。
  10. 一種資訊安全稽核管控方法,應用於一資訊安全稽核管控系統,其中該資訊安全稽核管控方法包含:根據一組織之複數組織成員各對應之一結構層級及至少一特徵計算對應之一正規加權值,其中該些組織成員包括一第一成員與多個第二成員,該第一成員的該結構層級在該些第二成員的該結構層級之上,該第一成員的該特徵為該些第二成員的該些特徵的總和,每一該些第二成員的該正規加權值是根據對應的該第二成員的該特徵相對於該第一成員的該特徵的一比例所計算出;對該等組織成員計算對應複數風險稽核項目之複數風險評分值,進一步依據該等風險評分值以及各該等組織成員之該正規加權值計算各該等組織成員之一正規化風險值,其中該些第二成員的該些正規化風險值是根據該些第二成員對應的該些風險稽核項目的該些風險評分值所計算出,該第一成員的該正規化風險值是將該些第二成員的該些正規加權值分別乘上對應的該些正規化風險值後再累加 所計算出;以及判斷各該等組織成員之該正規化風險值及/或該等風險評分值與複數風險門檻值區間之一相對關係,俾根據該相對關係動態調整該等風險稽核項目之一稽核週期及/或一稽核項目數量。
  11. 如請求項10所述之資訊安全稽核管控方法,其中動態調整該等風險稽核項目之步驟更包含當該正規化風險值及/或該等風險評分值由一第一風險門檻值區間變動至一第二風險門檻值區間,且該第一風險門檻值區間小於該第二風險門檻值區間,調降該稽核週期及/或調增該稽核項目數量。
  12. 如請求項10所述之資訊安全稽核管控方法,其中動態調整該等風險稽核項目之步驟更包含當該正規化風險值及/或該等風險評分值由一第一風險門檻值區間變動至一第二風險門檻值區間,且該第一風險門檻值區間大於該第二風險門檻值區間,調增該稽核週期及/或調降該稽核項目數量。
  13. 如請求項10所述之資訊安全稽核管控方法,其中動態調整該等風險稽核項目之步驟更包含依一特定比例或一風險稽核項目關聯性動態調整該稽核週期及/或該稽核項目數量。
  14. 如請求項10所述之資訊安全稽核管控方法,其中更包含依據該相對關係動態調整一警示頻率及/或一事件處理頻率。
  15. 如請求項10所述之資訊安全稽核管控方法,其中該特徵包含一成員屬性、一成員資產價值、一成員營運績效或其排列組合。
  16. 如請求項10所述之資訊安全稽核管控方法,更包含將該結構層級、該特徵以及該正規加權值儲存於一關聯資料庫。
  17. 如請求項10所述之資訊安全稽核管控方法,其中計算各該等組織成員之該正規化風險值之步驟更包含由該等組織成員中具有一最低結構層級者依序計算至具有一最高結構層級者。
  18. 如請求項10所述之資訊安全稽核管控方法,其中該等組織成員包含至少一人員及/或至少一系統資源。
  19. 一種電腦可讀取紀錄媒體,儲存一電腦程式,用以執行一種應用於一資訊安全稽核管控系統之一資訊安全稽核管控方法,其中該資訊安全稽核管控方法包含:根據一組織之複數組織成員各對應之一結構層級及至少一特徵計算對應之一正規加權值,其中該些組織成員包 括一第一成員與多個第二成員,該第一成員的該結構層級在該些第二成員的該結構層級之上,該第一成員的該特徵為該些第二成員的該些特徵的總和,每一該些第二成員的該正規加權值是根據對應的該第二成員的該特徵相對於該第一成員的該特徵的一比例所計算出;對該等組織成員計算對應複數風險稽核項目之複數風險評分值,進一步依據該等風險評分值以及各該等組織成員之該正規加權值計算各該等組織成員之一正規化風險值,其中該些第二成員的該些正規化風險值是根據該些第二成員對應的該些風險稽核項目的該些風險評分值所計算出,該第一成員的該正規化風險值是將該些第二成員的該些正規加權值分別乘上對應的該些正規化風險值後再累加所計算出;以及判斷各該等組織成員之該正規化風險值及/或該等風險評分值與複數風險門檻值區間之一相對關係,俾根據該相對關係動態調整該等風險稽核項目之一稽核週期及/或一稽核項目數量。
  20. 如請求項19所述之電腦可讀取紀錄媒體,其中動態調整該等風險稽核項目之步驟更包含當該正規化風險值及/或該等風險評分值由一第一風險門檻值區間變動至一第二風險門檻值區間,且該第一風險門檻值區間小於該第二風險門檻值區間,調降該稽核週期及/或調增該稽核項目數量。
  21. 如請求項19所述之電腦可讀取紀錄媒體,其中動態調整該等風險稽核項目之步驟更包含當該正規化風險值及/或該等風險評分值由一第一風險門檻值區間變動至一第二風險門檻值區間,且該第一風險門檻值區間大於該第二風險門檻值區間,調增該稽核週期及/或調降該稽核項目數量。
  22. 如請求項19所述之電腦可讀取紀錄媒體,其中動態調整該等風險稽核項目之步驟更包含依一特定比例或一風險稽核項目關聯性動態調整該稽核週期及/或該稽核項目數量。
  23. 如請求項19所述之電腦可讀取紀錄媒體,其中更包含依據該相對關係動態調整一警示頻率及/或一事件處理頻率。
  24. 如請求項19所述之電腦可讀取紀錄媒體,其中該特徵包含一成員屬性、一成員資產價值、一成員營運績效或其排列組合。
  25. 如請求項19所述之電腦可讀取紀錄媒體,更包含將該結構層級、該特徵以及該正規加權值儲存於一關聯資料庫。
  26. 如請求項19所述之電腦可讀取紀錄媒體,其中計 算各該等組織成員之該正規化風險值之步驟更包含由該等組織成員中具有一最低結構層級者依序計算至具有一最高結構層級者。
  27. 如請求項19所述之電腦可讀取紀錄媒體,其中該等組織成員包含至少一人員及/或至少一系統資源。
TW101141166A 2012-11-06 2012-11-06 資訊安全稽核管控系統、方法及其電腦可讀取紀錄媒體 TWI482047B (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
TW101141166A TWI482047B (zh) 2012-11-06 2012-11-06 資訊安全稽核管控系統、方法及其電腦可讀取紀錄媒體
CN201210476879.8A CN103810558A (zh) 2012-11-06 2012-11-21 信息安全稽核管控系统及方法
US13/686,897 US20140130170A1 (en) 2012-11-06 2012-11-27 Information security audit method, system and computer readable storage medium for storing thereof
GB201221598A GB2507598A (en) 2012-11-06 2012-11-30 Information security audit method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW101141166A TWI482047B (zh) 2012-11-06 2012-11-06 資訊安全稽核管控系統、方法及其電腦可讀取紀錄媒體

Publications (2)

Publication Number Publication Date
TW201419026A TW201419026A (zh) 2014-05-16
TWI482047B true TWI482047B (zh) 2015-04-21

Family

ID=50473826

Family Applications (1)

Application Number Title Priority Date Filing Date
TW101141166A TWI482047B (zh) 2012-11-06 2012-11-06 資訊安全稽核管控系統、方法及其電腦可讀取紀錄媒體

Country Status (4)

Country Link
US (1) US20140130170A1 (zh)
CN (1) CN103810558A (zh)
GB (1) GB2507598A (zh)
TW (1) TWI482047B (zh)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10084811B1 (en) 2015-09-09 2018-09-25 United Services Automobile Association (Usaa) Systems and methods for adaptive security protocols in a managed system
US10467632B1 (en) * 2016-12-13 2019-11-05 Massachusetts Mutual Life Insurance Company Systems and methods for a multi-tiered fraud alert review
CN107133864B (zh) * 2017-05-12 2020-10-02 云南电网有限责任公司 一种基于大数据的集团员工挂账审计方法及装置
CN111143837A (zh) * 2019-12-25 2020-05-12 天津南大通用数据技术股份有限公司 一种数据库安全审计记录的存储方法
JP2022047160A (ja) * 2020-09-11 2022-03-24 富士フイルムビジネスイノベーション株式会社 監査システムおよびプログラム
CN113673828B (zh) * 2021-07-23 2023-04-07 北京信息科技大学 一种基于知识图谱及大数据的审计数据处理方法、系统、介质及装置
CN114598502A (zh) * 2022-02-16 2022-06-07 深圳融安网络科技有限公司 攻击路径风险检测方法、电子设备及可读存储介质
CN114676222B (zh) * 2022-03-29 2022-12-02 北京国信网联科技有限公司 快速对进出内部网络数据审计方法
CN115063120B (zh) * 2022-08-05 2022-11-04 国网浙江省电力有限公司金华供电公司 基于云服务的工程审计系统
CN115664695B (zh) * 2022-08-26 2023-11-17 南方电网数字电网研究院有限公司 一种基于二维码反映的网络空间安全形势的综合评估方法
CN117369850B (zh) * 2023-10-27 2024-05-07 全拓科技(杭州)股份有限公司 一种基于大数据的企业信息安全管理方法与系统
CN118485310A (zh) * 2024-06-25 2024-08-13 甘肃衍河石油管道涂层有限公司 一种用于制备防腐防蜡防垢涂料的控制系统及其方法

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020147803A1 (en) * 2001-01-31 2002-10-10 Dodd Timothy David Method and system for calculating risk in association with a security audit of a computer network
WO2007004056A1 (en) * 2005-05-18 2007-01-11 Alcatel Lucent Security risk analysis systems and methods
EP1768045A2 (en) * 2005-09-22 2007-03-28 Alcatel Application of cut-sets to network interdependency security risk assessment
US7278163B2 (en) * 2005-02-22 2007-10-02 Mcafee, Inc. Security risk analysis system and method
TW200842736A (en) * 2007-04-16 2008-11-01 zhi-jun You Object-oriented information management system and the method
TW200947325A (en) * 2008-05-14 2009-11-16 Chunghwa Telecom Co Ltd Risk management system of information security and method thereof
CN102609883A (zh) * 2011-12-20 2012-07-25 吉林省电力有限公司延边供电公司 一种安全风险分析方法及系统

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2002256018A1 (en) * 2001-03-29 2002-10-15 Accenture Llp Overall risk in a system
US8572744B2 (en) * 2005-05-02 2013-10-29 Steelcloud, Inc. Information security auditing and incident investigation system
US7752125B1 (en) * 2006-05-24 2010-07-06 Pravin Kothari Automated enterprise risk assessment
US7890869B1 (en) * 2006-06-12 2011-02-15 Redseal Systems, Inc. Network security visualization methods, apparatus and graphical user interfaces
US20080288330A1 (en) * 2007-05-14 2008-11-20 Sailpoint Technologies, Inc. System and method for user access risk scoring
US8402546B2 (en) * 2008-11-19 2013-03-19 Microsoft Corporation Estimating and visualizing security risk in information technology systems
RU2446459C1 (ru) * 2010-07-23 2012-03-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ проверки веб-ресурсов на наличие вредоносных компонент
US8418229B2 (en) * 2010-08-17 2013-04-09 Bank Of America Corporation Systems and methods for performing access entitlement reviews
US20120215575A1 (en) * 2011-02-22 2012-08-23 Bank Of America Corporation Risk Assessment And Prioritization Framework
CN102624696B (zh) * 2011-12-27 2014-11-05 中国航天科工集团第二研究院七〇六所 一种网络安全态势评估方法

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020147803A1 (en) * 2001-01-31 2002-10-10 Dodd Timothy David Method and system for calculating risk in association with a security audit of a computer network
US7278163B2 (en) * 2005-02-22 2007-10-02 Mcafee, Inc. Security risk analysis system and method
WO2007004056A1 (en) * 2005-05-18 2007-01-11 Alcatel Lucent Security risk analysis systems and methods
EP1768045A2 (en) * 2005-09-22 2007-03-28 Alcatel Application of cut-sets to network interdependency security risk assessment
TW200842736A (en) * 2007-04-16 2008-11-01 zhi-jun You Object-oriented information management system and the method
TW200947325A (en) * 2008-05-14 2009-11-16 Chunghwa Telecom Co Ltd Risk management system of information security and method thereof
CN102609883A (zh) * 2011-12-20 2012-07-25 吉林省电力有限公司延边供电公司 一种安全风险分析方法及系统

Also Published As

Publication number Publication date
US20140130170A1 (en) 2014-05-08
GB2507598A (en) 2014-05-07
TW201419026A (zh) 2014-05-16
CN103810558A (zh) 2014-05-21

Similar Documents

Publication Publication Date Title
TWI482047B (zh) 資訊安全稽核管控系統、方法及其電腦可讀取紀錄媒體
US10404737B1 (en) Method for the continuous calculation of a cyber security risk index
US9832214B2 (en) Method and apparatus for classifying and combining computer attack information
EP3343867B1 (en) Methods and apparatus for processing threat metrics to determine a risk of loss due to the compromise of an organization asset
US9544321B2 (en) Anomaly detection using adaptive behavioral profiles
US8181253B1 (en) System and method for reducing security risk in computer network
US11792218B2 (en) Method, apparatus, and computer-readable medium for determining risk associated with anomalous behavior of a user on a computer network
US20200320845A1 (en) Adaptive severity functions for alerts
US20190044969A1 (en) Aggregation of risk scores across ad-hoc entity populations
US20160344762A1 (en) Method and system for aggregating and ranking of security event-based data
US20110167011A1 (en) Dynamic employee security risk scoring
US11997140B2 (en) Ordering security incidents using alert diversity
KR101623843B1 (ko) 정보자산의 위험평가시스템 및 그 방법
US20170142147A1 (en) Rating threat submitter
EP4049433B1 (en) User impact potential for security alert management
EP3479279B1 (en) Dynamic ranking and presentation of endpoints based on age of symptoms and importance of the endpoint in the environment
WO2015159926A1 (ja) 情報漏洩検知装置、情報漏洩検知方法、および情報漏洩検知プログラム
JP2009048317A (ja) セキュリティ評価方法、セキュリティ評価装置
WO2012053041A1 (ja) セキュリティポリシーに基づくセキュリティ監視装置、セキュリティ監視方法及びセキュリティ監視プログラム
CN113904815A (zh) 一种告警聚合方法、装置、设备及计算机存储介质
US20240330463A1 (en) Managing risk content of an electronic file
WO2024138440A1 (zh) 评估资产风险的方法、装置、电子设备及存储介质
US20240323204A1 (en) Systems and method of cyber-monitoring which utilizes a knowledge database
Liu et al. Data flow network security strategies based on data mining
US20230239303A1 (en) User risk scoring based on role and event risk scores