資訊資產盤點

名詞定義

1、可接受風險值:各類資訊資產之最低風險容忍度。

2、殘餘風險 (Residual Risk):在採用相關控制措施之後剩餘的風險。

3、威脅 (Threat):可能對系統或組織造成傷害之意外事件。

4、弱點 (Vulnerability):因資訊資產本身狀況或所處環境之下,可能受到威脅利用而造成資產受到損害之因子。

5、風險 (Risk):可能對團體或組織的資產發生損失或傷害的潛在威脅,通常利用弱點所產生之影響及發生可能性來衡量。

5.1 風險評鑑流程

5.1.1 將各資訊資產依所屬資產類別,參考下表說明,列出其「威脅-弱點」事件,製作「威脅及弱點評估表」。

5.1.2 評估「威脅-弱點」事件之機率等級

5.1.3 評估「威脅-弱點」事件之損害等級

5.1.5 風險值的計算:評估事件發生機率及影響程度後,計算出風險值。

風險值 = [ 資訊資產價值 × 機率等級 × 損害等級 ]

5.1.6 確認風險評估結果 

  經完成鑑別資產及其相關風險,並產出「威脅及弱點評估表」後,彙整相關綜合風險值,產出「風險評鑑報告」,

  提供資訊安全小組作為風險管理之依據。

5.1.7 選擇控制措施

  5.1.7.1 資訊安全小組應檢視「風險評鑑報告」及「威脅及弱點評估表」。

  5.1.7.2 若風險值超出可接受風險值之資訊資產,應參考ISO 27001附錄A.選擇適當之控管措施,產出「風險改善計畫表」及「適用性聲明書」,

       說明風險控管措施之執行辦法。

  5.1.7.3 「風險改善計畫表」應陳報資訊安全委員會開會審核,並列入追蹤管理程序。

  5.1.7.4 風險改善狀況的後續追蹤

    5.1.7.4.1 對風險改善計畫應彙整控管,持續追蹤以確保改善完成。

    5.1.7.4.2 應於各風險改善措施完成後,進行風險再評估,以確保相關改善措施的有效性。

5.1.8 覆核

  5.1.8.1 監控 

  控制措施的實施必須建立相對應的指標或紀錄,以反映出控制措施實施的狀況及成效,便於管理階層及相關人員做定期或不定期審視。

  5.1.8.2 持續改善 

  為保持本風險評鑑方法之有效性與適用性,資訊安全小組得定期檢討可接受風險值與威脅及弱點評估表之項目,以確保資訊資產受到適當保護。

  5.1.8.3 風險重新評鑑

    5.1.8.3.1 每年應至少執行 1 次風險評鑑。

    5.1.8.3.2 新增系統、系統有重大異動或作業環境改變時,應不定期執行風險評估。

5.2 高風險項目

凡風險值大於16之項目均為高風險事項,須執行風險改善。風險值小於等於16之項目,視為可接受風險。