信息资产分级管理.docx

信息资产分级管理.docx

《信息资产分级管理.docx》由会员分享，可在线阅读，更多相关《信息资产分级管理.docx（9页珍藏版）》请在冰豆网上搜索。

信息资产分级管理

信息资产分级管理

1.信息资产分类鉴别

达到及维护组织资产的适当保护，宜明确識别所有资产，并制作与维持所有重要资产

的清册，与信息处理设施相关的所有信息及资产宜由组织指定拥有者。

与信息处理设施相关的信息与资产，其可被接受的使用之规则宜予以識别、文件化及实作。

各单位负责信息资产应定期更新与维护信息资产清册，各单位汇总整合，由信息安全小组统一控管确保信息资产列表完整性。

信息资产依其性质不同，分为5類：

人员、硬件、软件、电子数据、书面文件依序如下：

∙人员：

系指业务主管、承办人员、委外厂商、契约人员等。

∙硬件：

系指网络设备、主机设备、通讯设备、环境设备等相关硬件设施。

例如：

服务器主机、个人计算机、不断电设备等。

∙软件：

系指自行开发或委外开发之应用系统程序、外购之软件包等。

例如：

应用系统、操作系统、软件包、工具程序等。

∙电子数据：

系指以电子形式存在之信息数据。

例如：

网络设定数据、备份文件等。

∙书面文件：

系指以纸本形式存在之文书数据、报表等相关信息。

例如：

合同、规范、系统文件、用户手册、训练教材等。

所有资产经由资产分類，制成「信息资产列表」。

2.信息资产价值鉴别

信息宜依其对组织的价值、法律要求、敏感性及重要性加以分類，价值鉴别准则依

信息资产分類分别针对机密性、可用性、完整性，其评估标准如下：

表1人员類评估标准

项目

价值

价值描述

机密性

3

可取存各類数据（含机密、内部限阅、内部使用及公开数据）

2

可取存内部使用及公开数据

1

可取存公开類资料

可用性

3

为维系正常运作，在该人员无法持续提供服务时，可容忍替换时间为最短

2

为维系正常运作，在该人员无法持续提供服务时，可容忍替换时间为适中

1

为维系正常运作，在该人员无法持续提供服务时，可容忍替换时间为最长

表2硬件類评估标准

项目

价值

价值描述

可用性

3

可容许连续中断的时间4个小时以下

2

可容许连续中断的时间在4个小时以上，8个小时以下

1

可容许连续中断的时间在8个小时以上

表3软件類评估标准

项目

价值

价值描述

机密性

3

其知识产权属或所有权为机关所有，且该软件处理之数据内容或设计规格涉及机关营业秘密

2

其知识产权属或所有权为机关所有，且该软件处理之数据内容或设计规

格，未经书面同意，不得由第三方使用

1

其软件处理之数据内容或设计规格不具机密性

完整性

3

软件设计规格之不完整，可能造成业务营运之全面性中断或违反法令之遵循

2

软件设计规格之不完整，可能造成作业上之不便，须改以人工操作

1

软件设计规格之不完整，并不影响日常作业

可用性

3

可容许连续中断的时间4个小时以下

2

可容许连续中断的时间在4个小时以上，8个小时以下

1

可容许连续中断的时间在8个小时以上

表4电子数据、书面文件類评估标准

项目

价值

价值描述

机密性

3

除工作职责之所须外，须经拥有者同意后始可使用或阅读

2

仅签有保密协议之人员或主管机关可以使用

1

为公开信息，不具机密性

完整性

3

其完整性可能影响法令之遵循，且会对该信息资产有重大影响且可能导致严重的业务中断

2

其完整性可能影响业务导致效能降低，但不致对业务造成停顿

1

其完整性对该信息资产的影响极低，且不会对业务运作的效能造成任何影响或影响极低

可用性

3

该数据若未及时取得，可能直接影响营运业务或法令之遵循

2

该数据若未及时取得，可能导致作业上之不便

1

该资料并无时效性之问题

各资产价值为资产之机密性、完整性及可用性评估值取最大值；如以下式子：

资产价值=机密性评估值+完整性评估值+可用性评估值。

各资产依资产价值数值分级；详如资产价值等级表

表5资产价值等级表

類别

数值

等级描述

人员類

6

高资产价值（3）

4~5

中资产价值

（2）

2~3

低资产价值

（1）

硬件類

3

高资产价值（3）

2

中资产价值

（2）

1

低资产价值

（1）

软件類

电子数据類

书面文件類

9

高资产价值（3）

6~8

中资产价值

（2）

3~5

低资产价值

（1）

3.信息资产标示与处理

宜依照组织所采用的分類法，发展与实作一套适当的信息标示与处置程序。

资产标

示必须明确。

资产标示含资产风险等级并以颜色卷标区分。

硬件類资产标示依其价值等级并以颜色卷标区分。

高资产价值：

指该资产价值最高，贴红色卷标。

中资产价值：

指该资产价值中等，贴黄色标签。

低资产价值：

指该资产价值最低，不贴卷标。

资产在保存过程中，应依适当程序作妥善保存。

资产的生命周期包含产生、使用、维护与销毁。

在整个生命周期中，每项资产皆由信息科技部领导指派资产管理人。

资产管理人必须妥善运用与保存该资产。

其他同仁使用资产需经由管理人授权，方可使用该资产。

其使用过程需纪录于该资产之使用记录。

资产之私密信息由管理人维护，采用仅知原则（），授权给其他同仁使用时，以最小量之信息提供给使用人得知。

为掌握信息设备状况，对于信息室有价值之信息设备之增置、转移、报废应予确实登录。

资产借用应予登记，以控管资产现况。

资产于报废时应循相关报废程序进行报废。

鉴别风险弱点与威胁

脆弱性，亦称弱点。

脆弱性是组织信息安全的弱点或漏洞。

基本上，脆弱性本身不会

造成伤害，而是威胁利用这些脆弱性对系统进行伤害。

针对要鉴别的每项资产分類，依序寻找出所有相对应的弱点如下：

∙人员：

包括缺乏对外部团体与信息安全相关之规范、缺乏一般办公环境的安全控管、缺乏对人员之安全管理、缺乏对人员认知之倡导及教育训练、缺乏工作之权责划分与人员代理机制、缺乏信息安全事件通报及处理程序。

∙硬件：

缺乏对外部团体与信息安全相关之规范、.缺乏一般办公环境的安全控管、缺乏书面化操作程序之控管、缺乏网络之安全管理、缺乏数据交换之安全管理、

缺乏对储存媒体的安全控管、缺乏系统监视、记录与相关的系统稽核轨迹、缺

乏对实体资产之保护与管理、缺乏取得信息系统之规划及验收程序、缺乏对取

得服务的安全控管、缺乏对管制区域之安全管理、缺乏信息安全事件通报及处

理程序、缺乏对场外工作之安全控管。

∙软件：

缺乏对外部团体与信息安全相关之规范、缺乏一般办公环境的安全控管、缺乏书面化操作程序之控管、缺乏网络之安全管理、缺乏数据交换之安全管理、缺乏系统监视、记录与相关的系统稽核轨迹、缺乏数据的安全管理、缺乏取得资讯系统之规划及验收程序、缺乏对信息系统存取之安全管理、缺乏系统联机之安全管理、缺乏信息系统开发之安全管理、缺乏对取得服务的安全控管、缺乏信息系统安全防护机制、缺乏信息安全事件通报及处理程序、缺乏对电子商务之安全控管、缺乏对场外工作之安全控管。

∙电子数据：

缺乏对外部团体与信息安全相关之规范、缺乏一般办公环境的安全控管、缺乏书面化操作程序之控管、缺乏网络之安全管理、乏数据交换之安全管理、缺乏系统监视、记录与相关的系统稽核轨迹、缺乏数据的安全管理、.缺乏对实体资产之保护与管理、缺乏取得信息系统之规划及验收程序、缺乏对信息系统存取之安全管理、缺乏信息系统开发之安全管理、缺乏对取得服务的安全控管、缺乏信息安全事件通报及处理程序、缺乏对电子商务之安全控管。

∙书面文件：

缺乏对外部团体与信息安全相关之规范、缺乏一般办公环境的安全控管、缺乏书面化操作程序之控管、缺乏数据交换之安全管理、缺乏系统监视、记录与相关的系统稽核轨迹、缺乏数据的安全管理、.缺乏对实体资产之保护与管理、缺乏对取得服务的安全控管、缺乏对管制区域之安全管理、缺乏信息安全事件通报及处理程序。

威胁的鉴别威胁是指对组织意图造成伤害或损失，不论是意外或是蓄意，人为或是天

灾。

资产容易受到许多威胁，这些威胁来自利用脆弱性。

威胁可区分为天然灾害、人为的威胁、非人为的威胁；威胁的鉴别，须针对每项资产，列出可能的威胁。

针对要鉴别的每项资产分類，依序寻找出所有相对应的威胁如下：

∙人员：

无知、贪念、胁迫、惰性、人力不足、惡意、疏失、传染病。

∙硬件：

毁损、窃取、灾害、故障、破坏。

∙软件：

不法使用、错误、窜改、延迟、失效、损毁、伪造。

∙电子数据：

盗卖、泄漏、错误、窜改、损毁、伪造。

∙书面文件：

泄漏、窃取、窜改、伪造、遗失、损毁。

计算信息资产风险权值

综合信息资产价值（如表5资产价值等级表）、弱点（如表6电子数据類弱点值判定

表）、威胁等因素（如表7威胁值判定表），透过信息资产之风险评鉴，可得知该项信息资产所面临之风险程度并予以量化，作为选择控制措施之依据。

计算风险权值之公式为：

信息资产风险权值=信息资产价值×弱点权值×威胁权值

根据此一计算模型，风险权值最低为1，最高为27。

表6电子数据類弱点值判定表

弱点项目

风险值

判断原则

缺乏对外部团体与信息安全之规范

1

以与外部团体订有信息安全相关之权利与义务契约

2

仅与部分外部团体订定委任之权利义务契约

3

尚无与外部团体订定权力与义务契约之机制

缺乏一般办公环境的安全控管

1

已制定完善之办公环境控管政策并妥为遵循

2

已有办公环境控管政策但未完备或未确实遵循

3

尚未对办公环境制定控管政策

缺乏书面化操作程序之控管

1

已有详尽的书面处理程序，即时更新，且妥善遵循

2

处理程序不明

3

尚无操作程序控管之机制

缺乏网络之安全管理

1

已为网络设置完善的安全管理机制

2

网络安全管理机制未完备或未确实遵循

3

尚未有网络安全管理机制

缺乏数据交换之安全管理

1

未与外部交换数据或管控已完善

2

与外部数据交换，但数据不具机密性，或管控措施部完善

3

与外部数据交换，且为高价值的机密数据，未设置控管

缺乏系统监视、记录与相关的审计轨迹

1

有完善的使用记录及监控设备留存完整审计轨迹

2

有部分的使用记录，或监控设备留存部分审计轨迹

3

没有任何使用记录，或监控设备未留存部分审计轨迹

表7威胁值判定表

考虑现有控管机制及资产特性，进行以下定义：

冲击\机率

每年不超过一次

每年超过一次

每季超过一次

高（价值=3）

2

3

3

中（价值=2）

1

2

3

低（价值=1）

1

1

2

资产风险处理的评估

在汇整完风险评鉴结果之后应召开管理阶层审查会议，由会议讨论决定可接受风险之

风险值。

低于此风险值之资产，视为低风险，也就是可接受之风险。

风险值高于可接受风险之信息资产，应采取风险处理。

风险处理的方法主要分成以下四种：

∙降低风险：

设置有效的内部控制措施，针对不同的领域进行管控，以达到风险值降低之目的。

∙转移风险：

利用转嫁的方式降低风险，例如购买保险以补偿方式降低风险。

∙避免风险：

利用取代方案或其他之资产以替代此资产所带来之风险，不过若采取此方法，需再评估替代方案之可行性，以及带来的风险值。

前提是替代方案能带来更低的风险。

∙接受风险：

在以上三个方式都无法采用时，管理阶层可以决定接受此风险，也就是接受此风险。