3.1.ISMS-P-003资讯资产管理程序书。-中州科技大学.doc

管理系統文件 文件類別 第 三 階 文 件 文件編號 ISMS-W-003 文件名稱 資訊安全風險評鑑量化標準書 發行單位 文 件 管 制 小 組 發行日期 103年12月01日 版次 A 訂修廢單位 審 查 核 准 資通安全處理小組 （原版簽名頁保存於文件管制小組） 訂 修 廢 記 錄 版次 發行日期 訂 修 廢 內 容 摘 要 A 103/12/01 初版發行 目的 為確保本校在進行資訊資產風險評鑑作業時，能有效計算各項資訊資產的價值度與風險值，進行資訊資產弱點及威脅分析，藉以客觀的評估各資產的風險，了解未來可能遭受之危害，以達先期改善之效，特制訂本標準書。 適用範圍 凡本校進行各項資訊資產風險評鑑作業時，均適用本標準書。 參考文件 ISMS-P-003資訊資產管理程序書。 名詞定義 無。 作業內容 風險評鑑作業需評估項目因子 資產價值（重要性）評估：評估資訊資產的重要性。 資訊資產價值（P）：資訊資產對本校營運之重要與依賴程度。 資產弱點評估：現行管制方法下，弱點被有效控制之程度。 脆弱性：資產弱點所在。 等級（V）：弱點已被有效控管之程度。 資產威脅評估：現行管制方法下，威脅事件發生機率。 威脅：資產威脅來源。 可能性（T）：威脅事件發生機率。 資產衝擊影響評估：威脅發生後所造成的影響嚴重程度。 嚴重程度（IM）：威脅發生後對整體營運造成之衝擊程度。 風險估計值與風險等級 各項目評估完成後，經由以下公式計算出風險估計值及風險等級。 風險估計值 =〔P × V × T × IM〕。 資訊資產價值評估標準 資訊資產價值評估之準則與方法，應依據「ISMS-P-003資訊資產管理程序書」之相關規定評估之。 資產脆弱點評鑑標準 脆弱點項目 進行資產與脆弱點評鑑時，應盡量考慮到資產所有可能擁有的潛在脆弱點。應考慮之「脆弱點項目」由資通安全處理小組制訂或參考「5.7資訊資產之弱點與威脅對應表」，並在定期或不定期進行風險評鑑作業前修訂，以提供資產管理者用於資產脆弱點評鑑。 項目範例提供者：資通安全處理小組。 資產脆弱點估計值 「資產脆弱點估計值」用來描述某資產對於某項脆弱點的管控能力。當管控能力越低時，該脆弱點越加明顯，則估計值越高。評鑑者依照各資產的潛在脆弱點，由低到高給予1到3的評估值。 評鑑者：各資產管理者。 量化標準 等級 量化值 內 容 說 明 高 3 弱點未受到適當控制，尚無初步計畫但有認知。 未實施保護或保護機制無效，威脅來源於短期內即可攻擊成功。 中 2 弱點未受到適當控制，但有初步計畫與認知。 已實施保護的機制，威脅來源必須花費一段時間（可能是數天）進行資料收集，即能接觸到關鍵資訊。 低 1 弱點已受到適當控制，矯正措施正執行且有認知。 威脅來源必須花費長時間（可能需一個月以上）的資料收集，突破各層防護，才能接觸到關鍵資訊。 資產威脅評鑑標準 威脅項目 進行資產與威脅評鑑時，應盡量考慮到所有可能發生在資產上的內外部資訊安全威脅。須加以考慮之「威脅項目」可由資通安全處理小組制訂或參考「5.7資訊資產之弱點與威脅對應表」，並在定期或不定期進行風險評鑑作業前修訂，以提供資產管理者用於資產威脅評鑑。 項目範例提供者：資通安全處理小組。 資產威脅機率估計值 「資產威脅機率估計值」用來描述某資訊資產發生某種威脅之可能機率。評鑑者依照該資產類別可能有某項威脅的可能性，由低到高給予1到3的評估值。 評鑑者：各資產管理者。 量化標準 等級 量化值 內 容 說 明 高 3 威脅來源有動機也有能力 防制脆弱性被利用的安全對策或管控無效 有可能發生（平均每年都可能發生一次以上） 中 2 威脅來源有動機但能力不足 防制脆弱性被利用的安全對策或管控僅部分有效 發生頻率低（平均每年發生的次數不到一次） 低 1 威脅來源缺乏動機而且能力不足 防制脆弱性被利用的安全對策或管控有效 不太可能發生（沒有發生過，但是有發生的可能） 資產衝擊影響評估標準 資產嚴重程度評估值 「嚴重程度」係指各資產在發生資訊安全事故後，對本校業務運行所可能造成的損害狀況。訂定「嚴重程度」時，應依據該資產對本校形象、業務持續、人員安全影響程度，依照1至3的量化等級評估適當數值。 評鑑者：各資產管理者。 量化標準 等級 量化值 內 容 說 明 嚴重 3 事件處理不當可能對本校形象造成嚴重損害 已嚴重影響單位整體業務之運作，超出組織可承受範圍內。 造成的損害可能影響單位整體業務或所有系統