資訊安全風(fēng)險(xiǎn)管理程序書_第1頁(yè)
資訊安全風(fēng)險(xiǎn)管理程序書_第2頁(yè)
資訊安全風(fēng)險(xiǎn)管理程序書_第3頁(yè)
資訊安全風(fēng)險(xiǎn)管理程序書_第4頁(yè)
資訊安全風(fēng)險(xiǎn)管理程序書_第5頁(yè)
已閱讀5頁(yè),還剩4頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

管理系統(tǒng)文件文件類別第二階文件文件編號(hào)ISMS-P-004文件名稱資訊安全風(fēng)險(xiǎn)管理程序書發(fā)行單位文件管制小組發(fā)行日期103年12月01日版次A訂修廢單位審查核準(zhǔn)資通安全處理小組(原版簽名頁(yè)保存於文件管制小組)訂修廢記錄版次發(fā)行日期訂修廢內(nèi)容摘要A103/12/01初版發(fā)行目的為促使本校資訊資產(chǎn)風(fēng)險(xiǎn)評(píng)鑑與處理作業(yè)有一明確規(guī)範(fàn),以鑑別資訊資產(chǎn)之弱點(diǎn)及威脅而導(dǎo)致之風(fēng)險(xiǎn),並依據(jù)評(píng)鑑結(jié)果採(cǎi)取對(duì)策或控制措施,降低資訊資產(chǎn)遭受損害的風(fēng)險(xiǎn),特制定本程序書。適用範(fàn)圍凡本校資訊安全風(fēng)險(xiǎn)管理之各項(xiàng)作業(yè),均適用本程序書。參考文件ISMS-P-003資訊資產(chǎn)管理程序書。ISMS-W-003資訊安全風(fēng)險(xiǎn)評(píng)鑑量化標(biāo)準(zhǔn)書。名詞定義風(fēng)險(xiǎn)(Risk)威脅會(huì)利用單一或一群資產(chǎn)的弱點(diǎn),造成資產(chǎn)的損失或損壞的潛在可能性。威脅(Threat)資訊資產(chǎn)因面臨未預(yù)期的意外事件,可能會(huì)對(duì)系統(tǒng)或組織造成傷害,威脅必須利用資產(chǎn)的弱點(diǎn)才能對(duì)資產(chǎn)造成傷害。弱點(diǎn)(Vulnerability)指單一或一系列會(huì)讓威脅有機(jī)可趁而造成資產(chǎn)損害的狀況,資產(chǎn)的脆弱點(diǎn)本身並不會(huì)造成傷害。風(fēng)險(xiǎn)管理(Riskmanagement)以可接受的成本,對(duì)可能影響資訊資產(chǎn)的安全風(fēng)險(xiǎn)進(jìn)行鑑別、控制及降低或排除的過程,包含風(fēng)險(xiǎn)評(píng)鑑與風(fēng)險(xiǎn)處理。風(fēng)險(xiǎn)評(píng)鑑(Riskassessment)對(duì)資訊資產(chǎn)及各項(xiàng)資訊設(shè)施的威脅、衝擊及弱點(diǎn)及其發(fā)生可能性的評(píng)鑑。風(fēng)險(xiǎn)處理(Risktreatment)選擇與實(shí)施各項(xiàng)控制措施,以修正風(fēng)險(xiǎn)的過程。資產(chǎn)價(jià)值(資產(chǎn)鑑價(jià)C、I、A)機(jī)密性(Confidentiality,簡(jiǎn)稱C):確保只有經(jīng)過授權(quán)的人才能存取資訊。完整性(Integrity,簡(jiǎn)稱I):保護(hù)資訊及其處理方法的準(zhǔn)確性和完整性??捎眯裕ˋvailability,簡(jiǎn)稱A):確保經(jīng)過授權(quán)的用戶在需要時(shí)可以存取資訊並使用相關(guān)資訊資産。作業(yè)內(nèi)容資訊安全風(fēng)險(xiǎn)管理流程圖作業(yè)流程權(quán)責(zé)單位相關(guān)表單資通安全處理小組資通安全處理小組資通安全處理小組資訊資產(chǎn)清冊(cè)資通安全處理小組風(fēng)險(xiǎn)評(píng)鑑工作表資通安全處理小組風(fēng)險(xiǎn)評(píng)鑑工作表資通安全處理小組風(fēng)險(xiǎn)評(píng)鑑報(bào)告資通安全管理委員會(huì)風(fēng)險(xiǎn)評(píng)鑑報(bào)告資通安全處理小組風(fēng)險(xiǎn)處理計(jì)畫表資通安全管理委員會(huì)殘餘風(fēng)險(xiǎn)評(píng)鑑工作表資通安全處理小組產(chǎn)生風(fēng)險(xiǎn)評(píng)鑑需求為提升及維持本校資訊安全管理制度之運(yùn)作,每年定期(每年至少執(zhí)行一次)由資通安全處理小組進(jìn)行資訊安全風(fēng)險(xiǎn)評(píng)鑑作業(yè)。除每年定期執(zhí)行外,亦應(yīng)於下列情形發(fā)生時(shí),針對(duì)變動(dòng)範(fàn)圍內(nèi)的作業(yè)程序與資訊資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)鑑:營(yíng)運(yùn)組織變更。相關(guān)法令法規(guī)變更而影響到本校。作業(yè)流程或服務(wù)範(fàn)圍改變。資訊資產(chǎn)新增或變更。相關(guān)利害團(tuán)體反映時(shí)。發(fā)生重大資訊安全事件。建立風(fēng)險(xiǎn)評(píng)鑑方法風(fēng)險(xiǎn)評(píng)鑑因素風(fēng)險(xiǎn)評(píng)鑑為計(jì)算資訊資產(chǎn)風(fēng)險(xiǎn)值之程序,用以決定風(fēng)險(xiǎn)處理之優(yōu)先順序。資訊資產(chǎn)風(fēng)險(xiǎn)值是以其機(jī)密性、完整性、可用性等三項(xiàng)因子所構(gòu)成之資訊資產(chǎn)價(jià)值,以及資訊資產(chǎn)所面臨之弱點(diǎn)脆弱度、威脅發(fā)生機(jī)率及衝擊影響程度決定。風(fēng)險(xiǎn)值計(jì)算流程依據(jù)資產(chǎn)管理作業(yè)程序判定資訊資產(chǎn)價(jià)值(P),依據(jù)風(fēng)險(xiǎn)評(píng)鑑作業(yè)程序識(shí)別弱點(diǎn)之脆弱度(V)、威脅之發(fā)生機(jī)率(T)以及衝擊影響程度(IM),將此四項(xiàng)評(píng)分進(jìn)行相乘,即求出該資訊資產(chǎn)之風(fēng)險(xiǎn)值。風(fēng)險(xiǎn)值公式風(fēng)險(xiǎn)值因子代號(hào)資產(chǎn)價(jià)值P弱點(diǎn)脆弱度V威脅發(fā)生機(jī)率T衝擊嚴(yán)重程度IM資訊資產(chǎn)總風(fēng)險(xiǎn)值=(P×V×T×IM)資訊資產(chǎn)鑑別與評(píng)價(jià)資訊資產(chǎn)鑑別資通安全處理小組依據(jù)「ISMS-P-003資訊資產(chǎn)管理程序書」之作業(yè)說明,執(zhí)行資訊資產(chǎn)鑑別作業(yè),並建立「ISMS-P-003-01資訊資產(chǎn)清冊(cè)」,建立「ISMS-P-003-01資訊資產(chǎn)清冊(cè)」之作業(yè)方式詳見「ISMS-P-003資訊資產(chǎn)管理程序書」。資訊資產(chǎn)評(píng)價(jià)資訊資產(chǎn)管理者須針對(duì)各項(xiàng)資訊資產(chǎn)之機(jī)密性、完整性、可用性等三項(xiàng)資訊資產(chǎn)價(jià)值因子進(jìn)行資訊資產(chǎn)評(píng)價(jià)。各因子評(píng)價(jià)標(biāo)準(zhǔn)應(yīng)依據(jù)「ISMS-P-003資訊資產(chǎn)管理程序書」對(duì)資訊資產(chǎn)進(jìn)行評(píng)價(jià)。弱點(diǎn)及威脅分析資訊資產(chǎn)管理者須針對(duì)各項(xiàng)資訊資產(chǎn)之使用及管理現(xiàn)狀,識(shí)別資訊資產(chǎn)所面臨之內(nèi)部弱點(diǎn)及外在威脅,並分析其脆弱度與發(fā)生機(jī)率。資訊資產(chǎn)弱點(diǎn)之識(shí)別應(yīng)依據(jù)「ISMS-W-003資訊安全風(fēng)險(xiǎn)評(píng)鑑量化標(biāo)準(zhǔn)書」中「資訊資產(chǎn)之弱點(diǎn)與威脅對(duì)應(yīng)表」內(nèi)之對(duì)應(yīng)關(guān)係,列出各項(xiàng)資訊資產(chǎn)可能之弱點(diǎn)。資訊資產(chǎn)威脅之識(shí)別應(yīng)依據(jù)「ISMS-W-003資訊安全風(fēng)險(xiǎn)評(píng)鑑量化標(biāo)準(zhǔn)書」中「資訊資產(chǎn)之弱點(diǎn)與威脅對(duì)應(yīng)表」內(nèi)之對(duì)應(yīng)關(guān)係,列出各項(xiàng)資訊資產(chǎn)弱點(diǎn)所存在之可能威脅。依據(jù)「ISMS-W-003資訊安全風(fēng)險(xiǎn)評(píng)鑑量化標(biāo)準(zhǔn)書」中「資產(chǎn)衝擊影響評(píng)估標(biāo)準(zhǔn)」,鑑別各項(xiàng)威脅對(duì)資訊資產(chǎn)所造成之機(jī)密性、完整性、可用性之衝擊。根據(jù)REF_Ref398819186\r\h5.5.2、REF_Ref398819196\r\h5.5.3、REF_Ref398819208\r\h5.5.4作業(yè),建立「ISMS-P-004-01風(fēng)險(xiǎn)評(píng)鑑工作表」。資訊資產(chǎn)管理者依「ISMS-P-004-01風(fēng)險(xiǎn)評(píng)鑑工作表」,針對(duì)資訊資產(chǎn)弱點(diǎn)之脆弱度(「脆弱點(diǎn)評(píng)估」欄)及威脅之發(fā)生機(jī)率(「威脅評(píng)估」欄)進(jìn)行評(píng)分。評(píng)分標(biāo)準(zhǔn)分別詳見「ISMS-W-003資訊安全風(fēng)險(xiǎn)評(píng)鑑量化標(biāo)準(zhǔn)書」中「資產(chǎn)脆弱點(diǎn)評(píng)鑑標(biāo)準(zhǔn)」及「資產(chǎn)威脅評(píng)鑑標(biāo)準(zhǔn)」章節(jié)。計(jì)算風(fēng)險(xiǎn)值根據(jù)「ISMS-P-004-01風(fēng)險(xiǎn)評(píng)鑑工作表」所評(píng)鑑之資產(chǎn)價(jià)值(「資產(chǎn)價(jià)值評(píng)估」欄)、弱點(diǎn)(「脆弱點(diǎn)評(píng)估」欄)及威脅(「威脅評(píng)估」欄)分析,依本程序書REF_Ref398819352\r\h5.3.3之計(jì)算公式進(jìn)行風(fēng)險(xiǎn)值之計(jì)算,以獲得資訊資產(chǎn)個(gè)別弱點(diǎn)與威脅之風(fēng)險(xiǎn)值(「風(fēng)險(xiǎn)值小計(jì)」欄)及資訊資產(chǎn)所有弱點(diǎn)與威脅之風(fēng)險(xiǎn)總值(「總風(fēng)險(xiǎn)值」欄)。撰寫風(fēng)險(xiǎn)評(píng)鑑報(bào)告資通安全處理小組依據(jù)風(fēng)險(xiǎn)評(píng)鑑結(jié)果撰寫「ISMS-P-004-02風(fēng)險(xiǎn)評(píng)鑑報(bào)告」,並分析資訊資產(chǎn)安全需求,提出可接受之風(fēng)險(xiǎn)等級(jí)建議,提報(bào)資通安全管理委員會(huì)審查及決定可接受之風(fēng)險(xiǎn)等級(jí)。決定可接受之風(fēng)險(xiǎn)等級(jí)資通安全管理委員會(huì)應(yīng)審查「ISMS-P-004-02風(fēng)險(xiǎn)評(píng)鑑報(bào)告」,並針對(duì)所提出之風(fēng)險(xiǎn)等級(jí)建議,決定可接受之風(fēng)險(xiǎn)等級(jí)。可接受風(fēng)險(xiǎn)等級(jí)之決定因素:風(fēng)險(xiǎn)嚴(yán)重(衝擊)程度。風(fēng)險(xiǎn)處理急迫性??煞峙渲Y源。擬訂風(fēng)險(xiǎn)處理計(jì)畫依風(fēng)險(xiǎn)評(píng)鑑結(jié)果及可接受風(fēng)險(xiǎn)等級(jí)之決議,由資通安全處理小組針對(duì)需降低風(fēng)險(xiǎn)等級(jí)之資訊資產(chǎn)擬訂風(fēng)險(xiǎn)處理計(jì)畫,以期將風(fēng)險(xiǎn)降至可接受之程度。風(fēng)險(xiǎn)處理計(jì)畫應(yīng)依據(jù)「ISMS-P-004-03風(fēng)險(xiǎn)處理計(jì)畫表」之格式撰寫。風(fēng)險(xiǎn)處理計(jì)畫之風(fēng)險(xiǎn)處理措施,應(yīng)根據(jù)ISO27001對(duì)各項(xiàng)資訊安全之要求目標(biāo),擬訂適當(dāng)之處理措施及相關(guān)執(zhí)行資源之資訊。風(fēng)險(xiǎn)處理計(jì)畫應(yīng)提報(bào)資通安全管理委員會(huì)審查後執(zhí)行。執(zhí)行風(fēng)險(xiǎn)處理計(jì)畫應(yīng)依據(jù)風(fēng)險(xiǎn)處理計(jì)畫之風(fēng)險(xiǎn)處理項(xiàng)目、所需資源、預(yù)訂完成日期等規(guī)劃,執(zhí)行各項(xiàng)風(fēng)險(xiǎn)控制措施,並將執(zhí)行進(jìn)度紀(jì)錄於「ISMS-P-004-03風(fēng)險(xiǎn)處理計(jì)畫表」之「風(fēng)險(xiǎn)處理進(jìn)度」欄。評(píng)估風(fēng)險(xiǎn)處理計(jì)畫執(zhí)行成效風(fēng)險(xiǎn)處理計(jì)畫於處理完成或有預(yù)期成效後,須由資通安全處理小組針對(duì)進(jìn)行風(fēng)險(xiǎn)處理之資訊資產(chǎn),依本程序書之風(fēng)險(xiǎn)評(píng)鑑程序?qū)嵤╋L(fēng)險(xiǎn)重新評(píng)鑑,並紀(jì)錄於「ISMS-P-004-04殘餘風(fēng)險(xiǎn)評(píng)鑑工作表」,以確認(rèn)風(fēng)險(xiǎn)處理計(jì)畫之執(zhí)行達(dá)到風(fēng)險(xiǎn)減緩預(yù)期效益之目標(biāo),並將風(fēng)險(xiǎn)重新評(píng)鑑之結(jié)果提報(bào)資通安全管理委員會(huì)審查。若經(jīng)風(fēng)險(xiǎn)重新評(píng)鑑後,資訊資產(chǎn)之風(fēng)險(xiǎn)值未達(dá)預(yù)期效益,亦即仍處?kù)恫豢山邮苤L(fēng)險(xiǎn)等級(jí),資通安全處理小組則需依本程序書之風(fēng)險(xiǎn)處理程序進(jìn)行風(fēng)險(xiǎn)再處理作業(yè)或接受該項(xiàng)風(fēng)險(xiǎn)。紀(jì)錄保存相關(guān)業(yè)務(wù)承辦人員應(yīng)參照如下規(guī)範(fàn),妥善保存各項(xiàng)紀(jì)錄。編號(hào)表單名稱保存地點(diǎn)保存期限1風(fēng)

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論