XX有限公司版本文件编号生效日期
A0XXXX
信息资产清查及风险评估规范
版本更改类型生效日期更改内容
会签部门:
品质:工程:
采购:业务:
研发:DCC:
生产:PMC:
行政:财务:
制作:审核:批准:
XX有限公司版本文件编号生效日期
A0XXXX
1.目的:
为于执行与维护信息安全管理系统(ISMS)时,鉴别信息资产价值及评估风险等级,以进行风险评鉴,特订定此规范。
2.依据
公司信息安全政策。
国家信息安全相关标准。
3.权责
一、各承办单位主管对于信息安全管理系统所涵盖的业务流程有直接的责任。
二、本公司「信息安全管理委员会」负责审查「信息资产清册」、「风险评鉴报告」及「风险管理计划」,以及「资
产评估与管理作业程序」的适当性,并决定安全确保程度(即风险可接受程度)。
三、本公司所有同仁均有责任向「信息安全管理委员会」提供所有与决策程序相关的信息,包括现有或不存在的
控制与对策,以及不同保证程度的可行方法或选择。
四、业务流程负责人与资产负责人的责任
(一)鉴别资产的价值
(二)资产的机密性等级分类
(三)资产威胁与脆弱点的鉴别
(四)鉴别资产可忍受之最大失效期间
(五)鉴别失去资产对组织的冲击
(六)参与安全防护对策之讨论与决策
(七)系统安全防护与系统维护之成本分析
(八)鉴别资产之特性,作为营运持续管理之参考
(九)参与营运持续计划之讨论
(十)支持营运持续演练
(十一)定期与不定期重新进行风险评鉴,以评定安全防护计划之成效及鉴别风险之变化与新风险的产生。
4.程序
本公司风险评鉴之方法参考英国国家标准BS7799-3:2006及国际标准ISO/IECTR13335-3:1998进行风险评鉴。程
序如下:
一、资产的分类
以业务流程为主轴,由流程负责人负责审视与业务相关之资产,以鉴别出信息资产以及其它与信息安全管理有关的
资产与相对应之负责人员。资产价值分析流程请参见图一,透过价值分析将资产分为以下6大类,便于后续的脆弱
点与威胁分析。
图一资产价值分析流程
(一)信息资产
数据经过处理后成为有特殊价值的信息,或以文件形式存在的资产,例如:注册商标、著作权、业务信息、单位信
息、组织相关纪录、使用者信息、产品信息、数据库、测试数据、备份数据、合约内容、系统文件、操作手册、教
育训练教材、计划、规范、程序书及其它相关信息。
(二)服务资产
以服务形式存在的资产,例如:信息服务、通讯服务与作业环境设施服务。
XX有限公司版本文件编号生效日期
A0XXXX
图二风险评鉴
图三风险管理流程图
(三)作业软件与应用程序
为执行业务流程而建置的作业软件与应用程序,例如:计算机操作系统软件、标准应用程序、特殊应用程序、程序
发展与设计工具、计算机作业程序与工具、测试程序与通讯软件。
(四)硬件资产
为执行业务所使用之硬设备,例如:网络设备、服务器、个人计算机、笔记型计算机、掌上