資源描述:
《下載 - 圖書資訊中心 - 致理技術(shù)學(xué)院.docx》由會(huì)員上傳分享���,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)�����。
1�����、致理技術(shù)學(xué)院-圖書資訊中心資訊安全風(fēng)險(xiǎn)評(píng)鑑報(bào)告機(jī)密等級(jí):□一般■敏感□機(jī)密擬定日期:102年12月06日機(jī)密等級(jí):敏感I-4-06-02風(fēng)險(xiǎn)評(píng)鑑報(bào)告版本:1.0紀(jì)錄編號(hào):□□□-□□□填表日期: 年 月 日資訊安全風(fēng)險(xiǎn)評(píng)鑑報(bào)告目 錄壹����、目的1貳、風(fēng)險(xiǎn)評(píng)鑑作業(yè)說(shuō)明1一����、依據(jù)1二、風(fēng)險(xiǎn)評(píng)鑑方法論1三�����、可接受風(fēng)險(xiǎn)值2參、風(fēng)險(xiǎn)評(píng)鑑結(jié)果分析3一����、資訊資產(chǎn)風(fēng)險(xiǎn)分布3二、高風(fēng)險(xiǎn)資產(chǎn)類別比例3三�����、風(fēng)險(xiǎn)說(shuō)明3四�����、風(fēng)險(xiǎn)評(píng)鑑彙整表4機(jī)密等級(jí):敏感I-4-06-02風(fēng)險(xiǎn)評(píng)鑑報(bào)告版本:1.0紀(jì)錄編號(hào):□□□-□□□填表日期: 年 月 日壹��、目的依據(jù)致理技術(shù)學(xué)院-
2�、圖書資訊中心(以下簡(jiǎn)稱本中心)營(yíng)運(yùn)承辦業(yè)務(wù)相關(guān)作業(yè)流程之資訊資產(chǎn),評(píng)估相關(guān)資產(chǎn)可能的資訊安全弱點(diǎn)�����、威脅與風(fēng)險(xiǎn)後����,提出風(fēng)險(xiǎn)評(píng)鑑結(jié)果與可接受風(fēng)險(xiǎn)值建議��。貳����、風(fēng)險(xiǎn)評(píng)鑑作業(yè)說(shuō)明一�����、依據(jù)依據(jù)「資訊資產(chǎn)管理程序書」及「資訊安全風(fēng)險(xiǎn)管理程序書」之規(guī)劃執(zhí)行風(fēng)險(xiǎn)評(píng)鑑彙總而成�。二����、風(fēng)險(xiǎn)評(píng)鑑方法論本風(fēng)險(xiǎn)評(píng)鑑方法論描述於「資訊安全風(fēng)險(xiǎn)管理程序書」。相關(guān)程序摘要說(shuō)明如後:1.資訊資產(chǎn)與價(jià)值鑑別本次風(fēng)險(xiǎn)評(píng)鑑所鑑別之資訊資產(chǎn)包括人員�、文件、軟體系統(tǒng)����、硬體系統(tǒng)、資料與環(huán)境等六大類�����,並依據(jù)資訊資產(chǎn)之機(jī)密性(C)����、完整性(I)及可用性(A)評(píng)估等級(jí)�,取其中最大值為該資產(chǎn)之價(jià)值����。2.威脅
3、暨弱點(diǎn)評(píng)估威脅暨弱點(diǎn)評(píng)估係參照「資訊安全風(fēng)險(xiǎn)管理程序書」執(zhí)行��,該表所列之威脅及弱點(diǎn)��,係參酌國(guó)際標(biāo)準(zhǔn)ISO13335-3/ISO27005彙整編製而成��,並依據(jù)威脅及弱點(diǎn)的等級(jí)對(duì)應(yīng)表����,評(píng)估資訊資產(chǎn)之威脅的發(fā)生機(jī)率與弱點(diǎn)的影響程度。4機(jī)密等級(jí):敏感I-4-06-02風(fēng)險(xiǎn)評(píng)鑑報(bào)告版本:1.0紀(jì)錄編號(hào):□□□-□□□填表日期: 年 月 日風(fēng)險(xiǎn)值計(jì)算各類資訊資產(chǎn)完成威脅及弱點(diǎn)評(píng)估作業(yè)後�����,參照「資訊安全風(fēng)險(xiǎn)管理程序書」計(jì)算出各類資訊資產(chǎn)之風(fēng)險(xiǎn)值�����。風(fēng)險(xiǎn)值的計(jì)算如下:風(fēng)險(xiǎn)值=(資產(chǎn)價(jià)值×弱點(diǎn)等級(jí)×威脅發(fā)生機(jī)率)一���、可接受風(fēng)險(xiǎn)值可接受風(fēng)險(xiǎn)值之判斷與建議係考量各資訊
4���、資產(chǎn)價(jià)值�����、威脅發(fā)生之可能性以及弱點(diǎn)受威脅利用之容易度,所對(duì)應(yīng)產(chǎn)出之風(fēng)險(xiǎn)分布來(lái)判斷���。本次風(fēng)險(xiǎn)評(píng)鑑作業(yè)之可接受風(fēng)險(xiǎn)值����,建議值為40�����。資訊資產(chǎn)最終風(fēng)險(xiǎn)值高於可接受風(fēng)險(xiǎn)值者�����,將於風(fēng)險(xiǎn)處理計(jì)畫中提出處理建議方案�����。(事件風(fēng)險(xiǎn)值對(duì)照表詳如表一)。威脅發(fā)生的可能性低(1)中(2)高(3)弱點(diǎn)受利用的容易度123123123資產(chǎn)價(jià)值1123246369224648126121833696121891881表一:事件風(fēng)險(xiǎn)值對(duì)照表4機(jī)密等級(jí):敏感I-4-06-02風(fēng)險(xiǎn)評(píng)鑑報(bào)告版本:1.0紀(jì)錄編號(hào):□□□-□□□填表日期: 年 月 日參����、風(fēng)險(xiǎn)評(píng)鑑結(jié)果分析綜合本案執(zhí)行風(fēng)
5、險(xiǎn)評(píng)鑑作業(yè)之結(jié)果�,分述如下。一���、資訊資產(chǎn)風(fēng)險(xiǎn)分布各類資訊資產(chǎn)之風(fēng)險(xiǎn)值由低至高��,分布由3至54�,經(jīng)彙整後詳如表二資訊資產(chǎn)綜合風(fēng)險(xiǎn)值統(tǒng)計(jì)表所示�����。風(fēng)險(xiǎn)值資產(chǎn)類別總計(jì)人員文件軟體系統(tǒng)硬體系統(tǒng)資料環(huán)境總計(jì)表二:資訊資產(chǎn)綜合風(fēng)險(xiǎn)值統(tǒng)計(jì)表本次風(fēng)險(xiǎn)評(píng)鑑作業(yè)����,依據(jù)其業(yè)務(wù)相關(guān)之資訊資產(chǎn),並參照「資訊安全風(fēng)險(xiǎn)管理程序書」之規(guī)範(fàn)執(zhí)行風(fēng)險(xiǎn)評(píng)鑑��,依建議之可接受風(fēng)險(xiǎn)值40����,共計(jì)鑑別出1項(xiàng)資訊資產(chǎn)����。二��、高風(fēng)險(xiǎn)資產(chǎn)類別比例依據(jù)所建議之可接受風(fēng)險(xiǎn)值40為基準(zhǔn)�����,資訊資產(chǎn)風(fēng)險(xiǎn)值高於40之資產(chǎn)為軟體系統(tǒng)類��,其餘各類皆低於可接受風(fēng)險(xiǎn)值40��。三����、風(fēng)險(xiǎn)說(shuō)明總體而言���,應(yīng)針對(duì)超過(guò)可接受風(fēng)險(xiǎn)值40以上�����,
6����、亦即共1項(xiàng)資訊資產(chǎn),涵4機(jī)密等級(jí):敏感I-4-06-02風(fēng)險(xiǎn)評(píng)鑑報(bào)告版本:1.0紀(jì)錄編號(hào):□□□-□□□填表日期: 年 月 日蓋1項(xiàng)風(fēng)險(xiǎn)處理���,應(yīng)建立風(fēng)險(xiǎn)處理計(jì)畫��,以利追蹤及風(fēng)險(xiǎn)管控�����。一��、風(fēng)險(xiǎn)評(píng)鑑彙整表風(fēng)險(xiǎn)值高於40以上之高風(fēng)險(xiǎn)資產(chǎn)之風(fēng)險(xiǎn)類別與事件對(duì)照����,如下表所示����。項(xiàng)次類別資產(chǎn)編號(hào)資產(chǎn)名稱資產(chǎn)說(shuō)明權(quán)責(zé)單位資產(chǎn)價(jià)值風(fēng)險(xiǎn)事件風(fēng)險(xiǎn)值弱點(diǎn)威脅機(jī)率表三:風(fēng)險(xiǎn)評(píng)鑑彙整表4
