資訊資產盤點

名詞定義

1、可接受風險值：各類資訊資產之最低風險容忍度。

2、殘餘風險 (Residual Risk)：在採用相關控制措施之後剩餘的風險。

3、威脅 (Threat)：可能對系統或組織造成傷害之意外事件。

4、弱點 (Vulnerability)：因資訊資產本身狀況或所處環境之下，可能受到威脅利用而造成資產受到損害之因子。

5、風險 (Risk)：可能對團體或組織的資產發生損失或傷害的潛在威脅，通常利用弱點所產生之影響及發生可能性來衡量。

5.1 風險評鑑流程

5.1.1 將各資訊資產依所屬資產類別，參考下表說明，列出其「威脅-弱點」事件，製作「威脅及弱點評估表」。

5.1.2 評估「威脅-弱點」事件之機率等級

5.1.3 評估「威脅-弱點」事件之損害等級

5.1.5 風險值的計算：評估事件發生機率及影響程度後，計算出風險值。

風險值 = [ 資訊資產價值 × 機率等級 × 損害等級 ]

5.1.6 確認風險評估結果

　　經完成鑑別資產及其相關風險，並產出「威脅及弱點評估表」後，彙整相關綜合風險值，產出「風險評鑑報告」，

　　提供資訊安全小組作為風險管理之依據。

5.1.7 選擇控制措施

　　5.1.7.1 資訊安全小組應檢視「風險評鑑報告」及「威脅及弱點評估表」。

　　5.1.7.2 若風險值超出可接受風險值之資訊資產，應參考ISO 27001附錄A.選擇適當之控管措施，產出「風險改善計畫表」及「適用性聲明書」，

　　　　　說明風險控管措施之執行辦法。

　　5.1.7.3 「風險改善計畫表」應陳報資訊安全委員會開會審核，並列入追蹤管理程序。

　　5.1.7.4 風險改善狀況的後續追蹤

　　　　5.1.7.4.1 對風險改善計畫應彙整控管，持續追蹤以確保改善完成。

　　　　5.1.7.4.2 應於各風險改善措施完成後，進行風險再評估，以確保相關改善措施的有效性。

5.1.8 覆核

　　5.1.8.1 監控

　　控制措施的實施必須建立相對應的指標或紀錄，以反映出控制措施實施的狀況及成效，便於管理階層及相關人員做定期或不定期審視。

　　5.1.8.2 持續改善

　　為保持本風險評鑑方法之有效性與適用性，資訊安全小組得定期檢討可接受風險值與威脅及弱點評估表之項目，以確保資訊資產受到適當保護。

　　5.1.8.3 風險重新評鑑

　　　　5.1.8.3.1 每年應至少執行 1 次風險評鑑。

　　　　5.1.8.3.2 新增系統、系統有重大異動或作業環境改變時，應不定期執行風險評估。

5.2 高風險項目

凡風險值大於16之項目均為高風險事項，須執行風險改善。風險值小於等於16之項目，視為可接受風險。