資源描述:
《下載 - 圖書資訊中心 - 致理技術(shù)學(xué)院.docx》由會員上傳分享,免費(fèi)在線閱讀����,更多相關(guān)內(nèi)容在教育資源-天天文庫�����。
1�、致理技術(shù)學(xué)院-圖書資訊中心資訊安全風(fēng)險評鑑報告機(jī)密等級:□一般■敏感□機(jī)密擬定日期:102年12月06日機(jī)密等級:敏感I-4-06-02風(fēng)險評鑑報告版本:1.0紀(jì)錄編號:□□□-□□□填表日期: 年 月 日資訊安全風(fēng)險評鑑報告目 錄壹�����、目的1貳、風(fēng)險評鑑作業(yè)說明1一、依據(jù)1二、風(fēng)險評鑑方法論1三����、可接受風(fēng)險值2參�、風(fēng)險評鑑結(jié)果分析3一���、資訊資產(chǎn)風(fēng)險分布3二、高風(fēng)險資產(chǎn)類別比例3三�、風(fēng)險說明3四�����、風(fēng)險評鑑彙整表4機(jī)密等級:敏感I-4-06-02風(fēng)險評鑑報告版本:1.0紀(jì)錄編號:□□□-□□□填表日期: 年 月 日壹�、目的依據(jù)致理技術(shù)學(xué)院-圖書資訊中心(以
2�����、下簡稱本中心)營運(yùn)承辦業(yè)務(wù)相關(guān)作業(yè)流程之資訊資產(chǎn)�,評估相關(guān)資產(chǎn)可能的資訊安全弱點��、威脅與風(fēng)險後�,提出風(fēng)險評鑑結(jié)果與可接受風(fēng)險值建議��。貳����、風(fēng)險評鑑作業(yè)說明一�、依據(jù)依據(jù)「資訊資產(chǎn)管理程序書」及「資訊安全風(fēng)險管理程序書」之規(guī)劃執(zhí)行風(fēng)險評鑑彙總而成��。二���、風(fēng)險評鑑方法論本風(fēng)險評鑑方法論描述於「資訊安全風(fēng)險管理程序書」���。相關(guān)程序摘要說明如後:1.資訊資產(chǎn)與價值鑑別本次風(fēng)險評鑑所鑑別之資訊資產(chǎn)包括人員、文件����、軟體系統(tǒng)、硬體系統(tǒng)���、資料與環(huán)境等六大類,並依據(jù)資訊資產(chǎn)之機(jī)密性(C)�、完整性(I)及可用性(A)評估等級�����,取其中最大值為該資產(chǎn)之價值。2.威脅暨弱點評估威脅暨弱點評估係參照「
3�����、資訊安全風(fēng)險管理程序書」執(zhí)行�,該表所列之威脅及弱點����,係參酌國際標(biāo)準(zhǔn)ISO13335-3/ISO27005彙整編製而成��,並依據(jù)威脅及弱點的等級對應(yīng)表�,評估資訊資產(chǎn)之威脅的發(fā)生機(jī)率與弱點的影響程度��。4機(jī)密等級:敏感I-4-06-02風(fēng)險評鑑報告版本:1.0紀(jì)錄編號:□□□-□□□填表日期: 年 月 日風(fēng)險值計算各類資訊資產(chǎn)完成威脅及弱點評估作業(yè)後,參照「資訊安全風(fēng)險管理程序書」計算出各類資訊資產(chǎn)之風(fēng)險值����。風(fēng)險值的計算如下:風(fēng)險值=(資產(chǎn)價值×弱點等級×威脅發(fā)生機(jī)率)一�、可接受風(fēng)險值可接受風(fēng)險值之判斷與建議係考量各資訊資產(chǎn)價值����、威脅發(fā)生之可能性以及弱點受威脅利用之容
4�、易度,所對應(yīng)產(chǎn)出之風(fēng)險分布來判斷�����。本次風(fēng)險評鑑作業(yè)之可接受風(fēng)險值,建議值為40��。資訊資產(chǎn)最終風(fēng)險值高於可接受風(fēng)險值者�,將於風(fēng)險處理計畫中提出處理建議方案����。(事件風(fēng)險值對照表詳如表一)。威脅發(fā)生的可能性低(1)中(2)高(3)弱點受利用的容易度123123123資產(chǎn)價值1123246369224648126121833696121891881表一:事件風(fēng)險值對照表4機(jī)密等級:敏感I-4-06-02風(fēng)險評鑑報告版本:1.0紀(jì)錄編號:□□□-□□□填表日期: 年 月 日參�、風(fēng)險評鑑結(jié)果分析綜合本案執(zhí)行風(fēng)險評鑑作業(yè)之結(jié)果����,分述如下。一�����、資訊資產(chǎn)風(fēng)險分布各類資訊資產(chǎn)之風(fēng)
5����、險值由低至高�,分布由3至54�,經(jīng)彙整後詳如表二資訊資產(chǎn)綜合風(fēng)險值統(tǒng)計表所示���。風(fēng)險值資產(chǎn)類別總計人員文件軟體系統(tǒng)硬體系統(tǒng)資料環(huán)境總計表二:資訊資產(chǎn)綜合風(fēng)險值統(tǒng)計表本次風(fēng)險評鑑作業(yè)�,依據(jù)其業(yè)務(wù)相關(guān)之資訊資產(chǎn)�����,並參照「資訊安全風(fēng)險管理程序書」之規(guī)範(fàn)執(zhí)行風(fēng)險評鑑,依建議之可接受風(fēng)險值40���,共計鑑別出1項資訊資產(chǎn)��。二����、高風(fēng)險資產(chǎn)類別比例依據(jù)所建議之可接受風(fēng)險值40為基準(zhǔn)�����,資訊資產(chǎn)風(fēng)險值高於40之資產(chǎn)為軟體系統(tǒng)類���,其餘各類皆低於可接受風(fēng)險值40���。三�����、風(fēng)險說明總體而言��,應(yīng)針對超過可接受風(fēng)險值40以上��,亦即共1項資訊資產(chǎn),涵4機(jī)密等級:敏感I-4-06-02風(fēng)險評鑑報告版本:1.0
6、紀(jì)錄編號:□□□-□□□填表日期: 年 月 日蓋1項風(fēng)險處理��,應(yīng)建立風(fēng)險處理計畫��,以利追蹤及風(fēng)險管控。一���、風(fēng)險評鑑彙整表風(fēng)險值高於40以上之高風(fēng)險資產(chǎn)之風(fēng)險類別與事件對照,如下表所示�����。項次類別資產(chǎn)編號資產(chǎn)名稱資產(chǎn)說明權(quán)責(zé)單位資產(chǎn)價值風(fēng)險事件風(fēng)險值弱點威脅機(jī)率表三:風(fēng)險評鑑彙整表4
