信息安全稽核管控系統及方法
2023-05-25 10:50:56 2
信息安全稽核管控系統及方法
【專利摘要】本發明揭露一種信息安全稽核管控系統及方法。信息安全稽核管控方法應用於信息安全稽核管控系統,其中信息安全稽核管控方法包含:根據組織的多個組織成員各對應的結構層級及至少一特徵計算對應的正規加權值;對組織成員計算對應多個風險稽核項目的多個風險評分值,進一步依據風險評分值以及各組織成員的正規加權值計算各組織成員的正規化風險值;以及判斷各組織成員的正規化風險值與多個風險門檻值區間的相對關係,以根據相對關係動態調整風險稽核項目的稽核周期及/或稽核項目數量。
【專利說明】信息安全稽核管控系統及方法
【技術領域】
[0001]本發明是有關於一種信息安全稽核技術,且特別是有關於一種信息安全稽核管控系統及方法。
【背景技術】
[0002]在網絡及計算機技術日益發達的今天,大量的信息可透過計算機裝置進行處理與儲存,亦可通過網絡快速地交換與傳輸。雖然利用網絡與計算機可加速信息的處理與控管,帶來許多的便利性,但是網絡與計算機的漏洞往往也成為駭客攻擊的目標。在遭受駭客攻擊後,如公司或是公家機關的機密資料將有外洩的疑慮。因此,信息安全的重要性不言而喻。
[0003]在信息安全的控管流程中,往往是針對單一弱點或是重要資產進行評估,無法針對組織或企業提供整體信息安全的風險評估。並且,信息安全風險評估多採人力固定周期的方式進行,在信息安全威脅愈來愈多且持續發生的情形下,將無法有效率地進行控管,從而提高發生信息安全事件的機率。
[0004]因此,如何設計一個信息安全稽核管控系統及方法,以積極且有效率的進行動態稽核與管控,乃為此一業界亟待解決的問題。
【發明內容】
[0005]因此,本發明的一方面是在提供一種信息安全稽核管控系統,包含:群組分化模塊、風險計算模塊以及動態稽核模塊。群組分化模塊根據組織的多個組織成員各對應的結構層級及至少一特徵計算對應的正規加權值。風險計算模塊對組織成員計算對應多個風險稽核項目的多個風險評分值,進一步依據風險評分值以及各組織成員的正規加權值計算各組織成員的正規化風險值。動態稽核模塊判斷各組織成員的正規化風險值及/或風險評分值與多個風險門檻值區間的相對關係,以根據相對關係動態調整風險稽核項目的稽核周期及/或稽核項目數量。
[0006]依據本發明一實施例,其中當正規化風險值及/或風險評分值由第一風險門檻值區間變動至第二風險門檻值區間,且第一風險門檻值區間小於第二風險門檻值區間,動態稽核模塊調降稽核周期及/或調增稽核項目數量。
[0007]依據本發明另一實施例,其中當正規化風險值及/或風險評分值由一第一風險門檻值區間變動至一第二風險門檻值區間,且第一風險門檻值區間大於第二風險門檻值區間,動態稽核模塊調增稽核周期及/或調降稽核項目數量。
[0008]依據本發明又一實施例,其中動態稽核模塊是依特定比例或風險稽核項目關聯性動態調整稽核周期及/或稽核項目數量。
[0009]依據本發明再一實施例,其中動態稽核模塊還依據相對關係動態調整警示頻率及/或事件處理頻率。
[0010]依據本發明還具有的一實施例,其中特徵包含成員屬性、成員資產價值、成員營運績效或其排列組合。
[0011]依據本發明再具有的一實施例,還包含關聯資料庫,其中群組分化模塊進一步將結構層級、特徵以及正規加權值儲存於關聯資料庫。
[0012]依據本發明一實施例,其中風險計算模塊計算各組織成員的正規化風險值是由組織成員中具有最低結構層級者依序計算至具有最高結構層級者。
[0013]依據本發明另一實施例,其中組織成員包含至少一人員及/或至少一系統資源。
[0014]本發明的另一方面是在提供一種信息安全稽核管控方法,應用於信息安全稽核管控系統,其中信息安全稽核管控方法包含:根據組織的多個組織成員各對應的結構層級及至少一特徵計算對應的正規加權值;對組織成員計算對應多個風險稽核項目的多個風險評分值,進一步依據風險評分值以及各組織成員的正規加權值計算各組織成員的正規化風險值;以及判斷各組織成員的正規化風險值及/或風險評分值與多個風險門檻值區間的相對關係,以根據相對關係動態調整風險稽核項目的稽核周期及/或稽核項目數量。
[0015]依據本發明一實施例,其中動態調整風險稽核項目的步驟還包含當正規化風險值及/或風險評分值由第一風險門檻值區間變動至第二風險門檻值區間,且第一風險門檻值區間小於第二風險門檻值區間,調降稽核周期及/或調增稽核項目數量。
[0016]依據本發明另一實施例,其中動態調整風險稽核項目的步驟還包含當正規化風險值及/或風險評分值由第一風險門檻值區間變動至第二風險門檻值區間,且第一風險門檻值區間大於第二風險門檻值區間,調增稽核周期及/或調降稽核項目數量。
[0017]依據本發明又一實施例,其中動態調整風險稽核項目的步驟還包含依特定比例或風險稽核項目關聯性動態調整稽核周期及/或稽核項目數量。
[0018]依據本發明再一實施例,其中信息安全稽核管控方法還包含依據相對關係動態調整警示頻率及/或事件處理頻率。
[0019]依據本發明還具有的一實施例,其中特徵包含成員屬性、成員資產價值、成員營運績效或其排列組合。
[0020]依據本發明再具有的一實施例,信息安全稽核管控方法還包含將結構層級、特徵以及正規加權值儲存於關聯資料庫。
[0021]依據本發明一實施例,其中計算各組織成員的正規化風險值的步驟還包含由組織成員中具有最低結構層級者依序計算至具有最高結構層級者。
[0022]依據本發明另一實施例,其中組織成員包含至少一人員及/或至少一系統資源。
[0023]應用本發明的優點在於通過依據各個成員依結構層級進行正規化後的風險值來動態調整稽核的周期及稽核的項目數量,可對組織的安全性進行更彈性地調整及監控,而輕易地達到上述的目的。
【專利附圖】
【附圖說明】
[0024]為讓本發明的上述和其他目的、特徵、優點與實施例能更明顯易懂,所附附圖的說明如下:
[0025]圖1為本發明一實施例中,一種信息安全稽核管控系統的方塊圖;
[0026]圖2為本發明一實施例中,組織架構的示意圖;
[0027]圖3為本發明一實施例中,風險評分的直覺顯示界面示意圖;[0028]圖4為本發明一實施例中,一種信息安全稽核管控方法的流程圖;
[0029]圖5為本發明一實施例中,動態調整風險稽核項目的稽核周期更詳細的流程圖;以及
[0030]圖6為本發明一實施例中,動態調整風險稽核項目的稽核項目數量更詳細的流程圖。
[0031]【主要元件符號說明】
[0032]1:信息安全稽核管控系統 10:群組分化模塊
[0033]11:組織信息12:關聯資料庫
[0034]13:正規加權值14:風險計算模塊
[0035]15:風險稽核項目16:動態稽核模塊
[0036]17:風險值18:操作界面
[0037]400:信息安全稽核管控方法401-407:步驟
[0038]501-505 步驟601_605:步驟
【具體實施方式】
[0039]請參照圖1。圖1為本發明一實施例中,一種信息安全稽核管控系統I的方塊圖。信息安全稽核管控系統I包含`:群組分化模塊10、關聯資料庫12、風險計算模塊14、動態稽核模塊16以及操作界面18。
[0040]操作界面18可用以供使用者輸入一個組織的組織信息11,包含多個組織成員各對應的結構層級及至少一特徵。其中,「組織」一詞可例如但不限於一個公司、一個社團或一個機關,其成員的結構層級可由高結構層級的成員(如事業群、部門等)進行群組分類直至低結構層級的成員(如小組、個人等)。並且,組織的成員可包含人員以及系統資源(如個人主機、開發系統或網管系統等)。
[0041]特徵於本實施例中,包含可例如但不限於成員屬性、成員資產價值、成員營運績效或其排列組合。舉例來說,成員屬性可區分為高度機密性、中度機密性及低度機密性。成員資產價值可例如為各小組的系統資源的價值。成員營運績效則可例如為各事業群單位的總產值。
[0042]群組分化模塊10可根據包含多個組織成員各對應的結構層級及至少一特徵的組織信息11,計算各個組織成員對應的正規加權值13。依上述結構層級以及特徵,群組分化模塊10可例如但不限於以比例分配的分式計算出正規加權值13。更詳細的範例,將於後續的段落有進一步的說明。於本實施例中,組織信息11以及對應的正規加權值13可進一步儲存於關聯資料庫12中。
[0043]操作界面18於本實施例中還可供使用者輸入各個組織成員對應的多個風險稽核項目15。風險稽核項目15可例如但不限於偵測如個人計算機、開發系統或網管系統的系統資源中防毒軟體的版本、更新日期、系統中及/或系統中軟體的密碼強度、防火牆系統設定或入侵偵測防禦系統等防護項目設定、以及系統資源弱點檢測項目等等。風險計算模塊14可對上述的各個組織成員計算對應多個風險稽核項目15的多個風險評分值。舉例來說,風險評分值可為例如但不限於0-100的分數,分數愈高表示其信息安全風險愈大。其中,不同風險稽核項目對應使用的風險值計算方法可由各種已知的方式進行評分,因此不再此進行贅述。風險計算模塊14進一步依據風險評分值以及各組織成員的正規加權值13計算各組織成員的正規化風險值。
[0044]於一實施例中,風險計算模塊14可依組織成員中具有最低結構層級者起始計算風險評分值以及正規化風險值,再依序計算至具有最高結構層級者。
[0045]動態稽核模塊16判斷各組織成員由風險計算模塊14計算出,包含正規化風險值及/或風險評分值的風險值17與多個風險門檻值區間的相對關係,以根據相對關係動態調整前述的風險稽核項目15的稽核周期及/或稽核項目數量。其中,稽核周期表示每次稽核的間隔時間。調降或調增稽核周期即表示縮短或拉長每次稽核的間隔時間。例如由每兩周進行一次稽核調整為每一周進行一次稽核,即為對稽核周期進行調降,而由每一周進行一次稽核調整為每兩周進行一次稽核,即為對稽核周期進行調增。而對於稽核項目數量的調整則例如由對如個人計算機、開發系統或網管系統的系統資源中防毒軟體的廠牌及版本的稽核調整為對系統資源中防毒軟體的廠牌、版本、更新日期、掃描頻率的稽核,即為對稽核項目數量進行調增。而由對系統資源的密碼強度、防火牆系統政策設定或入侵偵測防禦系統等防護項目設定、以及系統資源弱點檢測項目、使用者權限的稽核調整為僅對密碼強度的稽核,則為對稽核項目數量進行調降。
[0046]於一實施例中,當正規化風險值及/或風險評分值由第一風險門檻值區間變動至第二風險門檻值區間,且第一風險門檻值區間小於第二風險門檻值區間,動態稽核模塊16將調降稽核周期及/或調增稽核項目數量。舉例來說,當前次稽核的正規化風險值由50分至60分的區間變動至60分至70分的區間,即表示風險升高,則動態稽核模塊16動態地調降稽核周期及/或調增稽核項目數量。
[0047]於另一實施例中,當正規化風險值及/或風險評分值由第一風險門檻值區間變動至第二風險門檻值區間,且第一風險門檻值區間大於第二風險門檻值區間,動態稽核模塊16將調增稽核周期及/或調降稽核項目數量。舉例來說,當前次稽核的風險評分值由91分至100分的區間變動至71分至80分的區間,即表示風險降低,則動態稽核模塊16動態地調降稽核周期及/或調增稽核項目數量。
[0048]於不同的實施例,動態稽核模塊16可依特定比例或風險稽核項目關聯性動態調整稽核周期及/或稽核項目數量。舉例來說,當正規化風險值由51分至60分的區間變動至61分至70分的區間,即將稽核周期縮短一半,而當正規化風險值由61分至70分的區間變動至71分至80分的區間,則將稽核周期縮短為四分之一。稽核項目數量亦可進行類似的調整,例如當正規化風險值由51分至60分的區間變動至61分至70分的區間,則稽核項目的數量由三項增加為六項。而當正規化風險值由61分至70分的區間變動至71分至80分的區間,則稽核項目的數量由六項增加為八項後,則額外依與此八項相關聯的稽核項目額外納入兩項成為十項(如原先稽核項目為防毒軟體,則與防止計算機系統被入侵的防火牆相關稽核項目亦被納入)。需注意的是,以上的比例僅為舉例,於其他實施例中,可依其他的比例進行調整。
[0049]於一實施例中,動態稽核模塊16可還依據相對關係動態調整警示頻率及/或事件處理頻率。舉例來說,動態稽核模塊16可依據在正規化風險值及/或風險評分值由低風險門檻值區間變動至高風險門檻值區間時,將警示頻率及/或事件處理頻率提高,以密集地提示相關人員需加緊信息安全漏洞的補強(如透過對軟硬體的調整、對人員的信息安全教育訓練或對人員的電子郵件警示),或是將資料庫更新頻率提高等。
[0050]因此,通過依據各個成員依結構層級進行正規化後的風險值來動態調整稽核的周期及稽核的項目數量,可對組織的安全性進行更彈性地調整及監控。
[0051]請參照圖2。圖2為本發明一實施例中,組織架構的示意圖。此範例中的組織總資產為1000萬,並區分為各具600萬資產的A組及400萬資產的B組兩個成員。其中A組又區分為三個成員,即人員Al、A2及A3,各具有300萬、150萬及150萬的資產。B組亦區分為三個成員,即人員B1、B2及B3,各具有200萬、100萬及100萬的資產。各個人員具有三個稽核項目,且其稽核項目的風險評分值於其下列出。
[0052]因此,如組織的正規加權值為1,則A組及B組於其同層級架構將被分別由群組分化模塊10計算出0.6及0.4的正規加權值,人員Al、A2及A3的正規加權值分別由群組分化模塊10計算出為0.5,0.25及0.25,而人員B 1、B2及B3的正規加權值分別由群組分化模塊10計算出為0.5,0.25及0.25。
[0053]由於對人員Al的稽核項目的風險評分值為40、90及55,因此經過風險計算模塊14平均計算後人員Al的正規化風險值將為(40+90+55)/3=61.67。依類似方式風險計算模塊14可計算出人員A2及A3的正規化風險值將為65及40。而B 1、B2及B3分別的正規化風險值將為40、36.67及30。A組的正規化風險值將由風險計算模塊14計算為61.67*0.5+65*0.25+40*0.25=57.0853 組的正規化風險值將為 40*0.5+36.67*0.25+30*0.25=36.66。最後,組織的正規化風險值將由風險計算模塊14計算為48.315。
[0054]因此,動態稽核模塊16將對正規化風險值進行判斷。舉例來說,人員Al如果在稽核項目2的風險評分值超過門檻值70分,則將使人員Al稽核項目2的稽核周期由兩周調整為一周。而如果A組中人員Al及A2的正規化風險值均超過門檻值65,則可將人員Al及A2的所有稽核項目的稽核周期由兩周調整為一周,或是將A組所有人員的所有稽核項目的稽核周期均由兩周調整為一周。並且由於人員Al在稽核項目2的風險評分值由門檻值區間71-80變動至81-90分,因此亦可同時動態調整其稽核項目的數量為五個。
[0055]請參照圖3。圖3為本發明一實施例中,風險評分的直覺顯示界面示意圖。於本實施例中,風險計算模塊14可進一步將計算出的風險評分值及正規化風險值以圖3繪示的方式顯示於系統的顯示器(未繪示)的顯示界面上,將群組、子群組、總體風險評分區間等以直覺顏色深淺方式呈現。於其他實施例中,亦可以其他輸出裝置以例如但不限於圖示大小、音量大小、音頻高低等直覺方式呈現組織的信息安全風險情形。
[0056]請參照圖4。圖4為本發明一實施例中,一種信息安全稽核管控方法400的流程圖。信息安全稽核管控方法400可應用於如圖1所繪示的信息安全稽核管控系統I。此信息安全稽核管控方法400可實作為一電腦程式,並儲存於一計算機可讀取記錄媒體中,而使計算機讀取此記錄媒體後執行信息安全稽核管控方法。計算機可讀取記錄媒體可為只讀記憶體、快閃記憶體、軟盤、硬碟、光碟、隨身盤、磁帶、可由網絡存取的資料庫或熟悉此技藝者可輕易思及具有相同功能的計算機可讀取記錄媒體。信息安全稽核管控方法400包含下列步驟(應了解到,在本實施方式中所提及的步驟,除特別敘明其順序者外,均可依實際需要調整其前後順序,甚至可同時或部分同時執行)。
[0057]於步驟401,稽核流程開始。
[0058]於步驟402,由群組分化模塊10根據組織的多個組織成員各對應的結構層級及至少一特徵計算對應的正規加權值。
[0059]於步驟403,由風險計算模塊14對組織成員計算對應多個風險稽核項目的多個風險評分值,進一步依據風險評分值以及各組織成員的正規加權值計算各組織成員的正規化風險值。
[0060]於步驟404,由動態稽核模塊16判斷各組織成員的正規化風險值及/或風險評分值與多個風險門檻值區間的相對關係是否變動。
[0061]當相對關係變動,亦即由第一風險門檻值區間變動至第二風險門檻值區間,則流程將於步驟405動態調整風險稽核項目的稽核周期及/或稽核項目數量,並繼續進行至步驟406,結束稽核流程,並依照動態調整後及/或恢復預設值調整後的稽核周期及/或稽核項目數量於下次稽核時回至步驟401啟始稽核流程。
[0062]當相對關係未變動,於步驟407,進一步檢查正規化風險值及/或風險評分值所位於風險門檻值區間的稽核周期及/或稽核項目數量是否為對應的預設值。當並非預設值,流程將進行至步驟405調整風險稽核項目的稽核周期及/或稽核項目數量。而如正規化風險值及/或風險評分值所位於風險門檻值區間的稽核周期及/或稽核項目數量是對應的預設值,則流程將進行至步驟406,以結束稽核流程。
[0063]請參照圖5。圖5為本發明一實施例中,圖4中的步驟405中動態調整風險稽核項目的稽核周期的步驟更詳細的流程圖。
[0064]於步驟501,稽核周期動態調整流程開始。
[0065]於步驟502,判斷是否需要依正規化風險值及/或風險評分值調增或調降稽核周期。
[0066]當此流程是延續圖4中的步驟404進行時,則判斷為需要依正規化風險值及/或風險評分值調增或調降稽核周期,並於步驟503將稽核周期依特定比例調增或調降。流程接著將進行至步驟504,結束稽核周期動態調整流程。
[0067]當此流程是延續圖4中的步驟407進行時,則判斷為不需要依正規化風險值及/或風險評分值調增或調降稽核周期,並於步驟505將稽核周期調整回復至預設值。流程接著將進行至步驟504,結束稽核周期動態調整流程。
[0068]請參照圖6。圖6為本發明一實施例中,圖4中的步驟405中動態調整風險稽核項目的稽核項目數量的步驟更詳細的流程圖。
[0069]於步驟601,稽核項目數量動態調整流程開始。
[0070]於步驟602,判斷是否需要依正規化風險值及/或風險評分值調增或調降稽核項
目數量。
[0071]當此流程是延續圖4中的步驟404進行時,則判斷為需要依正規化風險值及/或風險評分值調增或調降稽核項目數量,並於步驟603依特定比例調增或調降稽核項目數量或關聯稽核項目。流程接著將進行至步驟604,結束稽核項目數量動態調整流程。
[0072]當此流程是延續圖4中的步驟407進行時,則判斷為不需要依正規化風險值及/或風險評分值調增或調降稽核項目數量,並於步驟605將稽核項目數量調整回復至預設值。流程接著將進行至步驟604,結束稽核項目數量動態調整流程。
[0073]雖然本發明已以實施方式揭露如上,然其並非用以限定本發明,任何熟悉此技藝者,在不脫離本發明的精神和範圍內,當可作各種的更動與潤飾,因此本發明的保護範圍當視所附的權利要求書所界定的範圍為準。
【權利要求】
1.一種信息安全稽核管控系統,其特徵在於,包含: 一群組分化模塊,用以根據一組織的多個組織成員各對應的一結構層級及至少一特徵計算對應的一正規加權值; 一風險計算模塊,用以對所述多個組織成員計算對應多個風險稽核項目的多個風險評分值,進一步依據所述多個風險評分值以及各所述組織成員的該正規加權值計算各所述組織成員的一正規化風險值;以及 一動態稽核模塊,用以判斷各所述組織成員的該正規化風險值及/或所述多個風險評分值與多個風險門檻值區間的一相對關係,以根據該相對關係動態調整所述多個風險稽核項目的一稽核周期及/或一稽核項目數量。
2.根據權利要求1所述的信息安全稽核管控系統,其特徵在於,當該正規化風險值及/或所述多個風險評分值由一第一風險門檻值區間變動至一第二風險門檻值區間,且該第一風險門檻值區間小於該第二風險門檻值區間,該動態稽核模塊調降該稽核周期及/或調增該稽核項目數量。
3.根據權利要求1所述的信息安全稽核管控系統,其特徵在於,當該正規化風險值及/或所述多個風險評分值由一第一風險門檻值區間變動至一第二風險門檻值區間,且該第一風險門檻值區間大於該第二風險門檻值區間,該動態稽核模塊調增該稽核周期及/或調降該稽核項目數量。
4.根據權利要求1所述的信息安全稽核管控系統,其特徵在於,該動態稽核模塊是依一特定比例或一風險稽 核項目關聯性動態調整該稽核周期及/或該稽核項目數量。
5.根據權利要求1所述的信息安全稽核管控系統,其特徵在於,該動態稽核模塊還依據該相對關係動態調整一警示頻率及/或一事件處理頻率。
6.根據權利要求1所述的信息安全稽核管控系統,其特徵在於,該特徵包含一成員屬性、一成員資產價值、一成員營運績效或其排列組合。
7.根據權利要求1所述的信息安全稽核管控系統,其特徵在於,還包含一關聯資料庫,其中該群組分化模塊進一步將該結構層級、該特徵以及該正規加權值儲存於該關聯資料庫。
8.根據權利要求1所述的信息安全稽核管控系統,其特徵在於,該風險計算模塊計算各所述組織成員的該正規化風險值是由所述多個組織成員中具有一最低結構層級者依序計算至具有一最高結構層級者。
9.根據權利要求1所述的信息安全稽核管控系統,其特徵在於,所述多個組織成員包含至少一人員及/或至少一系統資源。
10.一種信息安全稽核管控方法,其特徵在於,應用於一信息安全稽核管控系統,其中該信息安全稽核管控方法包含: 根據一組織的多個組織成員各對應的一結構層級及至少一特徵計算對應的一正規加權值; 對所述多個組織成員計算對應多個風險稽核項目的多個風險評分值,進一步依據所述多個風險評分值以及各所述組織成員的該正規加權值計算各所述組織成員的一正規化風險值;以及 判斷各所述組織成員的該正規化風險值及/或所述多個風險評分值與多個風險門檻值區間的一相對關係,以根據該相對關係動態調整所述多個風險稽核項目的一稽核周期及/或一稽核項目數量。
11.根據權利要求10所述的信息安全稽核管控方法,其特徵在於,動態調整所述多個風險稽核項目的步驟還包含當該正規化風險值及/或所述多個風險評分值由一第一風險門檻值區間變動至一第二風險門檻值區間,且該第一風險門檻值區間小於該第二風險門檻值區間,調降該稽核周期及/或調增該稽核項目數量。
12.根據權利要求10所述的信息安全稽核管控方法,其特徵在於,動態調整所述多個風險稽核項目的步驟還包含當該正規化風險值及/或所述多個風險評分值由一第一風險門檻值區間變動至一第二風險門檻值區間,且該第一風險門檻值區間大於該第二風險門檻值區間,調增該稽核周期及/或調降該稽核項目數量。
13.根據權利要求10所述的信息安全稽核管控方法,其特徵在於,動態調整所述多個風險稽核項目的步驟還包含依一特定比例或一風險稽核項目關聯性動態調整該稽核周期及/或該稽核項目數量。
14.根據權利要求10所述的信息安全稽核管控方法,其特徵在於,還包含依據該相對關係動態調整一警示頻率及/或一事件處理頻率。
15.根據權利要求10所述的信息安全稽核管控方法,其特徵在於,該特徵包含一成員屬性、一成員資產價值、一成員營運績效或其排列組合。
16.根據權利要求10所述的信息安全稽核管控方法,其特徵在於,還包含將該結構層級、該特徵以及該正規加權值儲存於一關聯資料庫。
17.根據權利要求10所述的信息安全稽核管控方法,其特徵在於,計算各所述組織成員的該正規化風險值的步驟還包含由所述多個組織成員中具有一最低結構層級者依序計算至具有一最聞結構層級者。
18.根據權利 要求10所述的信息安全稽核管控方法,其特徵在於,所述多個組織成員包含至少一人員及/或至少一系統資源。
【文檔編號】G06Q10/06GK103810558SQ201210476879
【公開日】2014年5月21日 申請日期:2012年11月21日 優先權日:2012年11月6日
【發明者】郭建廷, 阮鶴鳴, 雷欽隆 申請人:財團法人資訊工業策進會