-附件1-风险评估与信息安全管理要点对应表.pdf

《-附件1-风险评估与信息安全管理要点对应表.pdf》由会员分享，可在线阅读，更多相关《-附件1-风险评估与信息安全管理要点对应表.pdf（5页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、本文件依據資安中心文件撰寫及審查作業明 V1.1(版本格式 V1.3)編製。附件 1-1 附件1 風險評鑑與資訊安全管要點對應表 政院及所屬各機關資訊安全管要點 章 要點 CNS 17799：2005防護措施 三、各機關應依有關法，考施政目標，進資訊安全風險評估，確定各項資訊作業安全需求水準，採適當及充足之資訊安全措施，確保各機關資訊蒐集、處、傳送、儲存及通之安全 4.1 評鑑安全風險 貳、通則 四、本要點所稱適當及充足之資訊安全措施，應綜合考各項資訊資產之重要性及價值，以及因人為疏失、蓄意或自然災害等風險，致機關資訊資產遭當使用、洩、竄改、破壞等情事，影響及危害機關業務之程，採與資訊資產價值

2、相稱及具成本效之管、作業及技術等安全措施。4.2 處安全風險 本文件依據資安中心文件撰寫及審查作業明 V1.1(版本格式 V1.3)編製。附件 2-1 附件2 資訊系統風險評鑑注意事項或常缺失?資訊系統風險評鑑前之規劃階段 應先別政府機關(構)所適用的法、法與規章，有遺將造成安全要求設定錯誤，有些風險將被遺或錯估。應先確認是否已經制定資訊安全政策，資訊安全政策內容將明機關對資訊安全的要求，尚未制定資訊安全政策而貿然執風險評鑑，可能造成安全要求評估錯誤，有些風險將被遺或錯估。應先確認所有資訊相關資產已被清查且重要資產已被別，以避免遺。遺資產將造成該資產相關風險未被考，嚴重影響風險評鑑結果的正確性

3、與完整性。?高階風險分析之執階段 由於IT結構經常配合組織的特定需要而動，因此網圖可能會過期。實際執風險評鑑時應注意網圖是否為最新版本，並比對網圖與實際IT結構，如有必要，按現修改網圖。錯誤的網圖將嚴重影響風險評鑑結果的正確性與完整性。將相似資產合併成資產組(Grouping)以減小複雜時，要注意同一組資產組是否具備下要求：?同樣型。?配置等同。?以同樣方式接入網(如在同個交換機上)。?有相同的管和基礎設施環境。?有相同的應用程式。合併錯誤將造成部分資產的安全要求錯估，高估安全要求將造成防護措施資源的費，低估安全要求將造成防護措施資源足，組織將於較高的風險。彙整IT系統資訊與IT應用程式(Ap

4、plication)和相關資訊時應注意資的正確性。本文件依據資安中心文件撰寫及審查作業明 V1.1(版本格式 V1.3)編製。附件 2-2 為減少工作彙整IT應用程式(Application)和相關資訊時，只要重要IT應用程式即可，一些日常事務性的應用程式可以需考，先篩選雖然會影響風險評鑑結果的正確性，可是會費評鑑人員許多的時間。IT應用程式的重要性判斷如下：?對資/資訊的機密性要求高的應用程式。?對完整性要求高的應用程式。?對可用性要求高的應用程式(當機時間儘短)。評估IT應用程式保護需求防護要求時鑒於保護需求防護要求通常能化，本指引使用定性法將其區分為三，評定前應對相關人員加以訓與清楚明，

5、以避免判定結果過於主觀缺乏一致性。評估IT系統保護需求防護要求時首先考慮與之直接相關的IT應用程式，判定IT系統的保護需求防護要求時，適當應用下四種原則，協助決定IT系統的保護需求防護要求：?最大原則(Maximum Principle)。?依賴關係(Dependency Relationship)。?積效應(Cumulative Effect)。?分布效應(Distribution Effect)。如果IT系統保護需求防護要求為中低，使用基準作法選擇保護安全措施通常是足夠，需再執詳細的風險分析可節資源。執意要執詳細的風險分析，會費時間與資源，但會造成風險。為很高、極高，則應當使用詳細的風險分

6、析方法確定必要的安全措施，否則容低估風險，將造成防護措施資源足，組織將曝於較高的風險。?詳細的風險分析之執階段 評定資產價值與衝擊時應考慮資產間的相依性，如：伺服器的價值除其本身的成本外應考伺服器所運的應用系統與其資庫的機密性、完整性與可用性，否則會低估資產的風險將造成防護措施資本文件依據資安中心文件撰寫及審查作業明 V1.1(版本格式 V1.3)編製。附件 2-3 源足，組織將曝於較高的風險。別威脅與脆弱性之前，應訓相關人員，避免評鑑人員無法明確描述威脅與脆弱性或無法辨某個威脅可能入侵的脆弱性，將會遺風險造成防護措施足，組織將於較高的風險。別威脅與脆弱性時，應儘可能的詳細出該資產的所有可能的威脅與脆弱性，應只出少幾項，否則會遺資產的風險將造成防護措施足，組織將於較高的風險。請依據各組織的特性適當的發展風險等級和風險水準矩陣，它將影響風險的接受與否，設定錯誤，將錯估風險。評估風險時記得要考慮現存的和已規劃的安全防護措施，以避免重複投資。風險評鑑報告應定期審查或因應環境與IT系統發生變時能及時新，確保風險評鑑報告成為動態文件(Living Document)。避免當一段時間經過後，IT系統環境現況與風險評鑑報告內容發生一致，代表資訊安全管部署與實際的風險有差，組織將曝於較高的風險。