資訊資產盤點
本圖引用自資安驗證中心
4.1 資訊資產權責單位:
對該項資訊資產具有判斷資產價值、決定存取權限或新增、刪除、修改權限之單位,同時也是資訊資產的擁有單位。
4.2 資訊資產保管單位:
依據權責單位之需求標準,執行資訊資產日常保護、異動與維護之執行單位。
4.3 資訊資產使用單位:
因業務需求,經授權可直接或間接使用該資訊資產之單位。
本圖引用自資安驗證中心
5.2.1 資訊資產分類
人員類(People, PE):正式聘用人員、約聘人員、工讀生、臨時工作人員訪客、委外維護人員、委外保全人員、包商或供應商
文件類(Document, DC):以紙本或其他電子 形式存在之文書資料、報表等相關資訊,如:網路架構圖、系統文件、使用手冊、操作或支援程序、緊急應變計畫、公文、合約、報表、報告、通訊錄、表單...等
軟體類(Software, SW):應用軟體、系統軟體、開發工具、套裝軟體、防火牆軟體、防毒軟體、驗證軟體、資料庫管理軟體(DBMS) 、加密軟體、文件管理系統、內部開發程、內部發展系統...等
通訊類(Communication, CM):提供資訊傳輸、交換之線路或服務,網路服務(ISP)、電話服務(PBX) 、傳真服務(FAX)...等
硬體類(Hardware, HW):網路設備橋接器、集線器、路由器、網路交換器、電話自動交換機、防火牆、視訊會議設備、傳真機、手機、電腦設備伺服器、主機、個人電腦、筆記型電腦、工作站、印表機、不斷電系統、機櫃...等
資料類(Data, DA):儲存於硬碟、磁帶、USB隨身碟等儲存媒介之數位資訊。
環境類(Environment, EV):相關基礎設施及服務,包含辦公室實體、機房實體、一般公用設施水電、空調、照明、消防設施...等
5.3.2.4 資訊資產價值之決定,依據資訊資產之機密性、完整性及可用性評估後,取三者之最大值為資訊資產價值。
4.2.4 機密性(Confidentiality):
確保僅授權人員可存取資訊。
4.2.5 完整性(Integrity):
確保資訊與處理方法的正確性與完整性。
4.2.6 可用性(Availability):
確保經授權的使用者在需要時可以取得資訊及相關資產。
5.2.2 資訊資產使用與管理應依其機密等級,參考下表處理原則辦理。不同機密等級之資訊資產合併使用或處理時,以其中最高之等級為機密等級。
5.2.3 資訊資產之機密等級應定期審核,視實際需要予以調整。