返回
台湾-信息系统风险评估参考指引(草案)-附件1-风险评估与信息安全管理要点对应表new

台湾-信息系统风险评估参考指引(草案)-附件1-风险评估与信息安全管理要点对应表new

ID:34651241

大小:135.69 KB

页数:5页

时间:2019-03-08

台湾-信息系统风险评估参考指引(草案)-附件1-风险评估与信息安全管理要点对应表new_第1页
台湾-信息系统风险评估参考指引(草案)-附件1-风险评估与信息安全管理要点对应表new_第2页
台湾-信息系统风险评估参考指引(草案)-附件1-风险评估与信息安全管理要点对应表new_第3页
台湾-信息系统风险评估参考指引(草案)-附件1-风险评估与信息安全管理要点对应表new_第4页
台湾-信息系统风险评估参考指引(草案)-附件1-风险评估与信息安全管理要点对应表new_第5页
资源描述:

《台湾-信息系统风险评估参考指引(草案)-附件1-风险评估与信息安全管理要点对应表new》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、附件1風險評鑑與資訊安全管理要點對應表行政院及所屬各機關資訊安全管理要點CNS17799:2005防護措施章要點貳、通則三、各機關應依有關法令,考量施政4.1評鑑安全風險目標,進行資訊安全風險評估,確定各項資訊作業安全需求水準,採行適當及充足之資訊安全措施,確保各機關資訊蒐集、處理、傳送、儲存及流通之安全四、本要點所稱適當及充足之資訊安4.2處理安全風險全措施,應綜合考量各項資訊資產之重要性及價值,以及因人為疏失、蓄意或自然災害等風險,致機關資訊資產遭不當使用、洩漏、竄改、破壞等情事,影響及危害機關業務之程度,採行與資訊資產價值相稱及具成本效益

2、之管理、作業及技術等安全措施。本文件依據「資安中心文件撰寫及審查作業說明V1.1」(版本格式V1.3)編製。附件1-1附件2資訊系統風險評鑑注意事項或常見缺失ó資訊系統風險評鑑前之規劃階段應先識別政府機關(構)所適用的法律、法令與規章,若有遺漏將造成安全要求設定錯誤,有些風險將被遺漏或錯估。應先確認是否已經制定資訊安全政策,資訊安全政策內容將說明機關對資訊安全的要求,若尚未制定資訊安全政策而貿然執行風險評鑑,可能造成安全要求評估錯誤,有些風險將被遺漏或錯估。應先確認所有資訊相關資產已被清查且重要資產已被識別,以避免遺漏。遺漏資產將造成該資

3、產相關風險未被考量,嚴重影響風險評鑑結果的正確性與完整性。ó高階風險分析之執行階段由於IT結構經常配合組織的特定需要而異動,因此網路圖可能會過期。實際執行風險評鑑時應注意網路圖是否為最新版本,並比對網路圖與實際IT結構,如有必要,按現狀修改網路圖。錯誤的網路圖將嚴重影響風險評鑑結果的正確性與完整性。將相似資產合併成資產組(Grouping)以減小複雜度時,要注意同一組資產組是否具備下列要求::¾同樣類型。¾配置等同。¾以同樣方式接入網路(如在同個交換機上)。¾有相同的管理和基礎設施環境。¾有相同的應用程式。若合併錯誤將造成部分資產的安全要

4、求錯估,若高估了安全要求將造成防護措施資源的浪費,若低估了安全要求將造成防護措施資源不足,組織將暴露於較高的風險。彙整IT系統資訊與IT應用程式(Application)和相關資訊時應注意資料的正確性。本文件依據「資安中心文件撰寫及審查作業說明V1.1」(版本格式V1.3)編製。附件2-1為減少工作量彙整IT應用程式(Application)和相關資訊時,只要重要IT應用程式即可,一些日常事務性的應用程式可以不需考量,若不先篩選雖然不會影響風險評鑑結果的正確性,可是會浪費評鑑人員許多的時間。IT應用程式的重要性判斷如下:¾對資料/資訊的機密

5、性要求高的應用程式。¾對完整性要求高的應用程式。¾對可用性要求高的應用程式(當機時間儘量短)。評估IT應用程式保護需求防護要求時鑒於保護需求防護要求通常不能量化,本指引使用定性法將其區分為三類,評定前應對相關人員加以訓練與清楚說明,以避免判定結果過於主觀缺乏一致性。評估IT系統保護需求防護要求時首先考慮與之直接相關的IT應用程式,判定IT系統的保護需求防護要求時,適當應用下列四種原則,協助決定IT系統的保護需求防護要求:¾最大原則(MaximumPrinciple)。¾依賴關係(DependencyRelationship)。¾累積效應(C

6、umulativeEffect)。¾分布效應(DistributionEffect)。如果IT系統保護需求防護要求為「中低」,使用基準作法選擇保護安全措施通常是足夠,不需再執行詳細的風險分析可節省資源。若執意要執行詳細的風險分析,會浪費時間與資源,但不會造成風險。若為「很高、極高」,則應當使用詳細的風險分析方法確定必要的安全措施,否則容易低估風險,將造成防護措施資源不足,組織將曝露於較高的風險。ó詳細的風險分析之執行階段評定資產價值與衝擊時應考慮資產間的相依性,例如:伺服器的價值除了其本身的成本外更應考量伺服器所運行的應用系統與其資料庫的

7、機密性、完整性與可用性,否則會低估資產的風險將造成防護措施資本文件依據「資安中心文件撰寫及審查作業說明V1.1」(版本格式V1.3)編製。附件2-2源不足,組織將曝露於較高的風險。識別威脅與脆弱性之前,應訓練相關人員,避免評鑑人員無法明確描述威脅與脆弱性或無法辨識某個威脅可能入侵的脆弱性,將會遺漏風險造成防護措施不足,組織將暴露於較高的風險。識別威脅與脆弱性時,應儘可能的詳細列出該資產的所有可能的威脅與脆弱性,不應只列出少數幾項,否則會遺漏資產的風險將造成防護措施不足,組織將暴露於較高的風險。請依據各組織的特性適當的發展風險等級和風險水準

8、矩陣,它將影響風險的接受與否,若設定錯誤,將錯估風險。評估風險時記得要考慮現存的和已規劃的安全防護措施,以避免重複投資。風險評鑑報告應定期審查或因

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。