欢迎来到天天文库
浏览记录
ID:32098078
大小:82.85 KB
页数:6页
时间:2019-01-31
《下載 - 圖書資訊中心 - 致理技術學院.docx》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、致理技術學院-圖書資訊中心資訊安全風險評鑑報告機密等級:□一般■敏感□機密擬定日期:102年12月06日機密等級:敏感I-4-06-02風險評鑑報告版本:1.0紀錄編號:□□□-□□□填表日期: 年 月 日資訊安全風險評鑑報告目 錄壹、目的1貳、風險評鑑作業說明1一、依據1二、風險評鑑方法論1三、可接受風險值2參、風險評鑑結果分析3一、資訊資產風險分布3二、高風險資產類別比例3三、風險說明3四、風險評鑑彙整表4機密等級:敏感I-4-06-02風險評鑑報告版本:1.0紀錄編號:□□□-□□□填表日期: 年 月 日壹、目的依據致理技術學院-
2、圖書資訊中心(以下簡稱本中心)營運承辦業務相關作業流程之資訊資產,評估相關資產可能的資訊安全弱點、威脅與風險後,提出風險評鑑結果與可接受風險值建議。貳、風險評鑑作業說明一、依據依據「資訊資產管理程序書」及「資訊安全風險管理程序書」之規劃執行風險評鑑彙總而成。二、風險評鑑方法論本風險評鑑方法論描述於「資訊安全風險管理程序書」。相關程序摘要說明如後:1.資訊資產與價值鑑別本次風險評鑑所鑑別之資訊資產包括人員、文件、軟體系統、硬體系統、資料與環境等六大類,並依據資訊資產之機密性(C)、完整性(I)及可用性(A)評估等級,取其中最大值為該資產之價值。2.威脅
3、暨弱點評估威脅暨弱點評估係參照「資訊安全風險管理程序書」執行,該表所列之威脅及弱點,係參酌國際標準ISO13335-3/ISO27005彙整編製而成,並依據威脅及弱點的等級對應表,評估資訊資產之威脅的發生機率與弱點的影響程度。4機密等級:敏感I-4-06-02風險評鑑報告版本:1.0紀錄編號:□□□-□□□填表日期: 年 月 日風險值計算各類資訊資產完成威脅及弱點評估作業後,參照「資訊安全風險管理程序書」計算出各類資訊資產之風險值。風險值的計算如下:風險值=(資產價值×弱點等級×威脅發生機率)一、可接受風險值可接受風險值之判斷與建議係考量各資訊
4、資產價值、威脅發生之可能性以及弱點受威脅利用之容易度,所對應產出之風險分布來判斷。本次風險評鑑作業之可接受風險值,建議值為40。資訊資產最終風險值高於可接受風險值者,將於風險處理計畫中提出處理建議方案。(事件風險值對照表詳如表一)。威脅發生的可能性低(1)中(2)高(3)弱點受利用的容易度123123123資產價值1123246369224648126121833696121891881表一:事件風險值對照表4機密等級:敏感I-4-06-02風險評鑑報告版本:1.0紀錄編號:□□□-□□□填表日期: 年 月 日參、風險評鑑結果分析綜合本案執行風
5、險評鑑作業之結果,分述如下。一、資訊資產風險分布各類資訊資產之風險值由低至高,分布由3至54,經彙整後詳如表二資訊資產綜合風險值統計表所示。風險值資產類別總計人員文件軟體系統硬體系統資料環境總計表二:資訊資產綜合風險值統計表本次風險評鑑作業,依據其業務相關之資訊資產,並參照「資訊安全風險管理程序書」之規範執行風險評鑑,依建議之可接受風險值40,共計鑑別出1項資訊資產。二、高風險資產類別比例依據所建議之可接受風險值40為基準,資訊資產風險值高於40之資產為軟體系統類,其餘各類皆低於可接受風險值40。三、風險說明總體而言,應針對超過可接受風險值40以上,
6、亦即共1項資訊資產,涵4機密等級:敏感I-4-06-02風險評鑑報告版本:1.0紀錄編號:□□□-□□□填表日期: 年 月 日蓋1項風險處理,應建立風險處理計畫,以利追蹤及風險管控。一、風險評鑑彙整表風險值高於40以上之高風險資產之風險類別與事件對照,如下表所示。項次類別資產編號資產名稱資產說明權責單位資產價值風險事件風險值弱點威脅機率表三:風險評鑑彙整表4
此文档下载收益归作者所有