資訊系統分類分級與鑑別機制參考手冊.docVIP

「資訊系統分類分級與鑑別機制參考手冊」修正對照表 104年月日 修正名稱 現行名稱 修正說明 資訊系統分級與資安防護基準作業規定 資訊系統分類分級與鑑別機制參考手冊 為符行政規則命名原則，爰修正規定名稱。 修正規定 現行規定 修正說明 一、依據 依據98年1月20日行政院函頒「國家資通訊安全發展方案（98年至101年）」辦理。 本規定相關作業將納入各期「國家資通訊安全發展方案」，惟該等方案並非推動本項業務之依據，爰刪除之。 一、目的 資訊系統分級與防護基準作業規定(以下簡本規定)旨在鑑別資訊系統安全等級，協助機關掌握重點保護標的，並促使機關進行風險評鑑、有效運用資源，採行適當安全控制措施，以確保資訊系統之安全防護水準。 二、目的： 本機制旨在鑑別資訊系統安全等級，協助機關掌握重點保護標的，並促使機關進行風險評鑑、有效運用資源，採行適當安全控制措施，以確保資訊系統之安全防護水準。 規定名稱酌文字。 二、適用範圍 本適用於。 三、適用範圍 本機制適用於各級政府機關、公營事業機構、公立研究機構、學校等（以下簡稱機關）之資訊系統，惟資訊內容屬「國家機密保護法」所稱國家機密之資訊系統，除參考本機制外，亦應依據「國家機密保護法」相關規定辦理。 資訊系統分級，資訊系統予以修正。 四、名詞解釋 名詞解釋均源自於相關標準文件，因此不重複納入本規定，爰刪除之。 三、處理程序 五、鑑別機制處理程序 簡化標題。 處理程序包含設定影響構面等級、識別業務屬性並檢視安全等級、設定資訊系統安全等級等三個處理步驟。 本機制處理程序包含識別資訊類別、?設定影響構面等級、識別業務屬性並檢視安全等級、設定資訊系統安全等級等四個處理步驟。 因資訊分類與系統安全等級無直接關聯性，因此簡化分級處理程序，資訊系統不分類，直接進行系統安全等級評估，處理步驟由四個步驟簡化為三個步驟。 四、處理步驟說明 六、處理步驟說明為利本機制之進行，機關於辦理資訊系統分類分級前，應先檢視本身業務性質、目標等，並進行營運衝擊分析，以資辨識核心業務；此外，機關亦應參照「七、安全等級設定原則」，視本身業務性質，研訂符合機關業務需求之影響構面及安全等級分級準則。 1.配合處理程序調整，刪除識別資訊類別的步驟與相關內容說明。。 步驟(識別資訊類別： 「安全等級評估表」之【資訊類別】欄位係參照行政院秘書處彙編「行政院施政分類架構」之施政分類，資訊類別以取至施政分類編碼第二層為原則，惟機關可視需要自行調整至第三層或更多層。依系統涉及之業務範圍，由業務承辦人負責識別系統資訊所屬之資訊類別，並於【資訊類別】欄位以下拉式選單依次選擇資訊類別第一層、第二層編碼。 刪除識別資訊類別的步驟與相關內容說明。 (：設定影響構面等級 由業務承辦人評估當發生資安事件時，對機密性、完整性、可用性及法律遵循性四大影響構面之衝擊程度，並參照「五、安全等級設定原則」填寫影響構面安全等級，安全等級區分為【普】、【中】、【高】三級，對於不適用之影響構面，安全等級以NA表示。 ? 資訊系統之安全等級，取其四大影響構面安全等級最高者。 步驟(：設定影響構面等級 針對所選擇之各項資訊類別，由業務承辦人評估當發生資訊安全事故時，對資料保護受到損害、影響業務運作、影響法律規章遵循、人員傷亡、損害組織信譽及其他等六大影響構面的衝擊程度，並參照「七、安全等級設定原則」填寫影響構面安全等級，安全等級區分為普、中、高三級，分別以1、2、3表示；對於不適用之影響構面，安全等級以NA表示。 各項資訊類別之安全等級為該資訊類別在六大影響構面安全等級最高者。因此，取各列六個影響構面安全等級值最高者即為該列【資訊類別安全等級】欄位值。 資訊系統安全等級為各項資訊類別安全等級最高者。因此，取各【資訊類別安全等級】欄位值最高者即為【資訊系統安全等級】欄位值。 原影響構面均可歸納為資訊安全管理要件(機密性、完整性、可用性)與法律遵循性。因此簡化影響構面，由資料保護受到損害、影響業務運作、影響法律規章遵循、人員傷亡、損害組織信譽及其他等六大影響構面，調整為機密性、完整性、可用性及法律遵循性等四大構面並酌整文字。 (：1.識別業務屬性2.檢視安全等級 識別資訊系統之業務屬性，並由檢視等級。 資訊系統依其業務屬性分為： 。 。 本步驟所進行各項異動均須記錄。 (：1.識別業務屬性2.檢視安全等級 由承辦單位主管識別資訊系統之業務屬性，並與「步驟(：設定影響構面等級」之結果相勾稽，以檢視所設定安全等級之合理性。 資訊系統依其服務之業務屬性分為