資通安全風險管理程序.doc

資通安全風險管理程序.doc

ID:32161399

大小:68.50 KB

页数:7页

时间:2019-02-01

資通安全風險管理程序.doc_第1页
資通安全風險管理程序.doc_第2页
資通安全風險管理程序.doc_第3页
資通安全風險管理程序.doc_第4页
資通安全風險管理程序.doc_第5页
资源描述:

《資通安全風險管理程序.doc》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、機密等級:內部文件國立臺北大學資通安全風險管理程序第1.0版97年10月21日頒行97年XX月XX日修訂最新版本以網路公告為準-7/7-國立臺北大學文件名稱:資通安全風險管理程序機密等級:內部文件修訂:97年XX月XX日第1.0版頒行:97年10月21日目錄壹、目的3貳、適用範圍3參、名詞定義3肆、作業程序3權責3執行時機4完成時機5資通安全風險管理流程6最新版本以網路公告為準-7/7-國立臺北大學文件名稱:資通安全風險管理程序機密等級:內部文件修訂:97年XX月XX日第1.0版頒行:97年10月21日目的風險管理的目的在於透過系統化

2、的風險評鑑方法,以釐清資訊資產所可能面臨的風險,再選取適當的方法加以管控,期許將風險降低到可承受的程度,以確保本校業務持續運作。壹、適用範圍適用於本校資訊中心。貳、名詞定義一、威脅(Threat)在任何狀況下或任何事件,有潛在的機會經由非法存取、破壞、洩密、竄改資料或阻斷服務(DenialofService)式攻擊,而造成系統傷害者稱之。威脅來源有二:(一)人為因素,如非法竊聽、使用與駭客行為等。(二)天然災害事件,如水災、地震、颱風等。二、脆弱性(點)(Vulnerability)資訊資產本身存在之弱點(Weakness),但脆弱點

3、不會對資產造成傷害,惟脆弱點可被利用而使資訊資產遭受威脅,導致有害事件發生或造成資訊資產損害。脆弱性若無妥善管理,將促使威脅形成。系統的弱點是指在系統安全開發之各階段,包括需求、設計、施工與運轉,被利用則會造成違反資通安全政策的結果,例如:(一)網路環境任何進入點、伺服器、ActiveX或JavaApplet。(二)任何安全保護措施,如門禁系統、帳號密碼等。三、風險(Risk)指特定威脅利用脆弱點,而造成資訊或資訊資產損害或毀損的潛在的可能。四、風險評鑑(RiskAssessment)是釐清資訊與資訊系統所可能遭遇到的威脅與脆弱性發生

4、的可能性、分析相關的衝擊(Impacts)以及決定風險等級的程序。是風險管理(RiskManagement)的一部份。五、各單位業務代表各單位選派代表參與風險評鑑工作。參、作業程序一、權責(一)資通安全委員會1.審核風險評鑑的結果與風險處理計畫。2.審核資通安全相關文件,例如資通安全手冊、程序與指引。最新版本以網路公告為準-7/7-國立臺北大學文件名稱:資通安全風險管理程序機密等級:內部文件修訂:97年XX月XX日第1.0版頒行:97年10月21日(一)資通安全管理代表1.審查風險評鑑內容,包括風險處理計畫的風險評鑑報告。2.審查因風

5、險評鑑結果而需要修改的資通安全相關文件。3.根據風險評鑑報告鑑別需要採取的安控機制。(二)風險管理小組1.定期執行風險評鑑。2.檢視同仁所提列之資訊資產項目及相關安控機制,並與各單位(或各位同仁)討論或修改相關的安控機制。3.針對提列的資訊資產項目、鑑別其價值、安全需求與分析安控機制實施狀況。4.盤點與鑑別單位之資訊資產價值。5.鑑別潛在風險與提出需求。6.彙總各單位(或各同仁)的風險評鑑結果。7.撰寫風險評鑑報告。8.與資通安全管理代表討論風險評鑑報告,並修改其撰寫內容。9.陳報風險評鑑報告給資通安全委員會召集人。10.研議安控目標

6、與機制,並進行安控機制之建置。11.與資通安全管理代表討論並建議修復等級。12.撰寫風險處理計畫。13.陳報風險處理計畫給資通安全委員會。14.依據風險處理計畫,實施建議之安全控制措施。(三)政策規劃與推動小組1.撰寫/修訂資通安全相關文件,例如資通安全政策、程序或指引。(四)各單位代表1.提列該單位的資訊資產項目、鑑別其價值、安全需求與分析安控機制實施狀況。2.盤點與鑑別單位內之資訊資產價值。3.鑑別潛在風險與提出需求。4.鑑別所需之安控機制。5.建議服務等級(ServiceLevel)。6.撰寫與修訂因風險評鑑結果而需要修改的資通

7、安全相關文件。二、執行時機(一)定期:每年一次(二)不定期:當下列事件發生時:最新版本以網路公告為準-7/7-國立臺北大學文件名稱:資通安全風險管理程序機密等級:內部文件修訂:97年XX月XX日第1.0版頒行:97年10月21日1.資訊系統架構重大改變。2.本校組織或業務重大改變。3.重大資安事件發生。二、完成時機完成風險評鑑報告或發展/建置選取的安控機制。三、最新版本以網路公告為準-7/7-國立臺北大學文件名稱:資通安全風險管理程序機密等級:內部文件修訂:97年XX月XX日第1.0版頒行:97年10月21日資通安全風險管理流程流程說

8、明標準負責人建議新的安控目標與機制訂定“可接受風險等級”鑑別個別資產的相關安控機制要求計算風險值與決定風險等級鑑別威脅,找出脆弱點及衝擊盤點與鑑別資產價值收集關鍵業務資訊開始l以「資訊資產風險評鑑作業辦法」內所定義之系統

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。