本发明专利技术揭露一种信息安全稽核管控系统及方法。信息安全稽核管控方法应用于信息安全稽核管控系统,其中信息安全稽核管控方法包含:根据组织的多个组织成员各对应的结构层级及至少一特征计算对应的正规加权值;对组织成员计算对应多个风险稽核项目的多个风险评分值,进一步依据风险评分值以及各组织成员的正规加权值计算各组织成员的正规化风险值;以及判断各组织成员的正规化风险值与多个风险门槛值区间的相对关系,以根据相对关系动态调整风险稽核项目的稽核周期及/或稽核项目数量。
【技术实现步骤摘要】
【专利摘要】本专利技术揭露一种。信息安全稽核管控方法应用于信息安全稽核管控系统,其中信息安全稽核管控方法包含:根据组织的多个组织成员各对应的结构层级及至少一特征计算对应的正规加权值;对组织成员计算对应多个风险稽核项目的多个风险评分值,进一步依据风险评分值以及各组织成员的正规加权值计算各组织成员的正规化风险值;以及判断各组织成员的正规化风险值与多个风险门槛值区间的相对关系,以根据相对关系动态调整风险稽核项目的稽核周期及/或稽核项目数量。【专利说明】
本专利技术是有关于一种信息安全稽核技术,且特别是有关于一种。
技术介绍
在网络及计算机技术日益发达的今天,大量的信息可透过计算机装置进行处理与储存,亦可通过网络快速地交换与传输。虽然利用网络与计算机可加速信息的处理与控管,带来许多的便利性,但是网络与计算机的漏洞往往也成为骇客攻击的目标。在遭受骇客攻击后,如公司或是公家机关的机密资料将有外泄的疑虑。因此,信息安全的重要性不言而喻。在信息安全的控管流程中,往往是针对单一弱点或是重要资产进行评估,无法针对组织或企业提供整体信息安全的风险评估。并且,信息安全风险评估多采人力固定周期的方式进行,在信息安全威胁愈来愈多且持续发生的情形下,将无法有效率地进行控管,从而提高发生信息安全事件的机率。因此,如何设计一个,以积极且有效率的进行动态稽核与管控,乃为此一业界亟待解决的问题。
技术实现思路
因此,本专利技术的一方面是在提供一种信息安全稽核管控系统,包含:群组分化模块、风险计算模块以及动态稽核模块。群组分化模块根据组织的多个组织成员各对应的结构层级及至少一特征计算对应的正规加权值。风险计算模块对组织成员计算对应多个风险稽核项目的多个风险评分值,进一步依据风险评分值以及各组织成员的正规加权值计算各组织成员的正规化风险值。动态稽核模块判断各组织成员的正规化风险值及/或风险评分值与多个风险门槛值区间的相对关系,以根据相对关系动态调整风险稽核项目的稽核周期及/或稽核项目数量。依据本专利技术一实施例,其中当正规化风险值及/或风险评分值由第一风险门槛值区间变动至第二风险门槛值区间,且第一风险门槛值区间小于第二风险门槛值区间,动态稽核模块调降稽核周期及/或调增稽核项目数量。依据本专利技术另一实施例,其中当正规化风险值及/或风险评分值由一第一风险门槛值区间变动至一第二风险门槛值区间,且第一风险门槛值区间大于第二风险门槛值区间,动态稽核模块调增稽核周期及/或调降稽核项目数量。依据本专利技术又一实施例,其中动态稽核模块是依特定比例或风险稽核项目关联性动态调整稽核周期及/或稽核项目数量。依据本专利技术再一实施例,其中动态稽核模块还依据相对关系动态调整警示频率及/或事件处理频率。依据本专利技术还具有的一实施例,其中特征包含成员属性、成员资产价值、成员营运绩效或其排列组合。依据本专利技术再具有的一实施例,还包含关联数据库,其中群组分化模块进一步将结构层级、特征以及正规加权值储存于关联数据库。依据本专利技术一实施例,其中风险计算模块计算各组织成员的正规化风险值是由组织成员中具有最低结构层级者依序计算至具有最高结构层级者。依据本专利技术另一实施例,其中组织成员包含至少一人员及/或至少一系统资源。本专利技术的另一方面是在提供一种信息安全稽核管控方法,应用于信息安全稽核管控系统,其中信息安全稽核管控方法包含:根据组织的多个组织成员各对应的结构层级及至少一特征计算对应的正规加权值;对组织成员计算对应多个风险稽核项目的多个风险评分值,进一步依据风险评分值以及各组织成员的正规加权值计算各组织成员的正规化风险值;以及判断各组织成员的正规化风险值及/或风险评分值与多个风险门槛值区间的相对关系,以根据相对关系动态调整风险稽核项目的稽核周期及/或稽核项目数量。依据本专利技术一实施例,其中动态调整风险稽核项目的步骤还包含当正规化风险值及/或风险评分值由第一风险门槛值区间变动至第二风险门槛值区间,且第一风险门槛值区间小于第二风险门槛值区间,调降稽核周期及/或调增稽核项目数量。依据本专利技术另一实施例,其中动态调整风险稽核项目的步骤还包含当正规化风险值及/或风险评分值由第一风险门槛值区间变动至第二风险门槛值区间,且第一风险门槛值区间大于第二风险门槛值区间,调增稽核周期及/或调降稽核项目数量。依据本专利技术又一实施例,其中动态调整风险稽核项目的步骤还包含依特定比例或风险稽核项目关联性动态调整稽核周期及/或稽核项目数量。依据本专利技术再一实施例,其中信息安全稽核管控方法还包含依据相对关系动态调整警示频率及/或事件处理频率。依据本专利技术还具有的一实施例,其中特征包含成员属性、成员资产价值、成员营运绩效或其排列组合。依据本专利技术再具有的一实施例,信息安全稽核管控方法还包含将结构层级、特征以及正规加权值储存于关联数据库。依据本专利技术一实施例,其中计算各组织成员的正规化风险值的步骤还包含由组织成员中具有最低结构层级者依序计算至具有最高结构层级者。依据本专利技术另一实施例,其中组织成员包含至少一人员及/或至少一系统资源。应用本专利技术的优点在于通过依据各个成员依结构层级进行正规化后的风险值来动态调整稽核的周期及稽核的项目数量,可对组织的安全性进行更弹性地调整及监控,而轻易地达到上述的目的。【专利附图】【附图说明】为让本专利技术的上述和其他目的、特征、优点与实施例能更明显易懂,所附附图的说明如下:图1为本专利技术一实施例中,一种信息安全稽核管控系统的方块图;图2为本专利技术一实施例中,组织架构的示意图;图3为本专利技术一实施例中,风险评分的直觉显示界面示意图;图4为本专利技术一实施例中,一种信息安全稽核管控方法的流程图;图5为本专利技术一实施例中,动态调整风险稽核项目的稽核周期更详细的流程图;以及图6为本专利技术一实施例中,动态调整风险稽核项目的稽核项目数量更详细的流程图。【主要元件符号说明】1:信息安全稽核管控系统 10:群组分化模块11:组织信息12:关联数据库13:正规加权值14:风险计算模块15:风险稽核项目16:动态稽核模块17:风险值18:操作界面400:信息安全稽核管控方法401-407:步骤501-505 步骤601_605:步骤【具体实施方式】请参照图1。图1为本专利技术一实施例中,一种信息安全稽核管控系统I的方块图。信息安全稽核管控系统I包含`:群组分化模块10、关联数据库12、风险计算模块14、动态稽核模块16以及操作界面18。操作界面18可用以供使用者输入一个组织的组织信息11,包含多个组织成员各对应的结构层级及至少一特征。其中,“组织”一词可例如但不限于一个公司、一个社团或一个机关,其成员的结构层级可由高结构层级的成员(如事业群、部门等)进行群组分类直至低结构层级的成员(如小组、个人等)。并且,组织的成员可包含人员以及系统资源(如个人主机、开发系统或网管系统等)。特征于本实施例中,包含可例如但不限于成员属性、成员资产价值、成员营运绩效或其排列组合。举例来说,成员属性可区分为高度机密性、中度机密性及低度机密性。成员资产价值可例如为各小组的系统资源的价值。成员营运绩效则可例如为各事业群单位的总产值。群组分化模块10可根据包含多个组织成员各对应的结构层级及至少一特征的组织信息11,计算各个组织成员对应的正规加权值13。依上述结构层级以及特征,群组分化模块1本文档来自技高网...
【技术保护点】
一种信息安全稽核管控系统,其特征在于,包含:一群组分化模块,用以根据一组织的多个组织成员各对应的一结构层级及至少一特征计算对应的一正规加权值;一风险计算模块,用以对所述多个组织成员计算对应多个风险稽核项目的多个风险评分值,进一步依据所述多个风险评分值以及各所述组织成员的该正规加权值计算各所述组织成员的一正规化风险值;以及一动态稽核模块,用以判断各所述组织成员的该正规化风险值及/或所述多个风险评分值与多个风险门槛值区间的一相对关系,以根据该相对关系动态调整所述多个风险稽核项目的一稽核周期及/或一稽核项目数量。
【技术特征摘要】
...
【专利技术属性】
技术研发人员:郭建廷,阮鹤鸣,雷钦隆,
申请(专利权)人:财团法人资讯工业策进会,
类型:发明
国别省市:台湾;71
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。