资讯安全风险管理程序书 - 中州科技大学.doc

管理系統文件 文件類別 第 二 階 文 件 文件編號 ISMS-P-004 文件名稱 資訊安全風險管理程序書 發行單位 文 件 管 制 小 組 發行日期 103年12月01日 版次 A 訂修廢單位 審 查 核 准 資通安全處理小組 （原版簽名頁保存於文件管制小組） 訂 修 廢 記 錄 版次 發行日期 訂 修 廢 內 容 摘 要 A 103/12/01 初版發行 目的 為促使本校資訊資產風險評鑑與處理作業有一明確規範，以鑑別資訊資產之弱點及威脅而導致之風險，並依據評鑑結果採取對策或控制措施，降低資訊資產遭受損害的風險，特制定本程序書。 適用範圍 凡本校資訊安全風險管理之各項作業，均適用本程序書。 參考文件 ISMS-P-003資訊資產管理程序書。 ISMS-W-003資訊安全風險評鑑量化標準書。 名詞定義 風險（Risk） 威脅會利用單一或一群資產的弱點，造成資產的損失或損壞的潛在可能性。 威脅（Threat） 資訊資產因面臨未預期的意外事件，可能會對系統或組織造成傷害，威脅必須利用資產的弱點才能對資產造成傷害。 弱點（Vulnerability） 指單一或一系列會讓威脅有機可趁而造成資產損害的狀況，資產的脆弱點本身並不會造成傷害。 風險管理（Risk management） 以可接受的成本，對可能影響資訊資產的安全風險進行鑑別、控制及降低或排除的過程，包含風險評鑑與風險處理。 風險評鑑（Risk assessment） 對資訊資產及各項資訊設施的威脅、衝擊及弱點及其發生可能性的評鑑。 風險處理（Risk treatment） 選擇與實施各項控制措施，以修正風險的過程。 資產價值（資產鑑價C、I、A） 機密性（Confidentiality，簡稱C）：確保只有經過授權的人才能存取資訊。 完整性（Integrity，簡稱I）：保護資訊及其處理方法的準確性和完整性。 可用性（Availability，簡稱A）：確保經過授權的用戶在需要時可以存取資訊並使用相關資訊資産。 作業內容 資訊安全風險管理流程圖 作業流程 權責單位 相關表單 資通安全處理小組資通安全處理小組資通安全處理小組資通安全處理小組資通安全處理小組資通安全處理小組資通安全處理小組資通安全處理小組 產生風險評鑑需求 為提升及維持本校資訊安全管理制度之運作，每年定期（每年至少執行一次）由資通安全處理小組進行資訊安全風險評鑑作業。除每年定期執行外，亦應於下列情形發生時，針對變動範圍內的作業程序與資訊資產進行風險評鑑： 營運組織變更。 相關法令法規變更而影響到本校。 作業流程或服務範圍改變。 資訊資產新增或變更。 相關利害團體反映時。 發生重大資訊安全事件。 建立風險評鑑方法 風險評鑑因素 風險評鑑為計算資訊資產風險值之程序，用以決定風險處理之優先順序。資訊資產風險值是以其機密性、完整性、可用性等三項因子所構成之資訊資產價值，以及資訊資產所面臨之弱點脆弱度、威脅發生機率及衝擊影響程度決定。 風險值計算流程 依據資產管理作業程序判定資訊資產價值（P），依據風險評鑑作業程序識別弱點之脆弱度（V）、威脅之發生機率（T）以及衝擊影響程度（IM），將此四項評分進行相乘，即求出該資訊資產之風險值。 風險值公式 風險值因子 代號 資產價值 P 弱點脆弱度 V 威脅發生機率 T 衝擊嚴重程度 IM 資訊資產總風險值 = （P × V × T × IM） 資訊資產鑑別與評價 資訊資產鑑別 資通安全處理小組依據「ISMS-P-003資訊資產管理程序書」之作業說明，執行資訊資產鑑別作業，並建立「ISMS-P-003-01資訊資產清冊」，建立「ISMS-P-003-01資訊資產清冊」之作業方式詳見「ISMS-P-003資訊資產管理程序書」。 資訊資產評價 資訊資產管理者須針對各項資訊資產之機密性、完整性、可用性等三項資訊資產價值因子進行資訊資產評價。各因子評價標準應依據「ISMS-P-003資訊資產管理程序書」對資訊資產進行評價。 弱點及威脅分析 資訊資產管理者須針對各項資訊資產之使用及管理現狀，識別資訊資產所面臨之內部弱點及外在威脅，並分析其脆弱度與發生機率。 資訊資產弱點之識別應依據「ISMS-W-003資訊安全風險評鑑量化標準書」中「資訊資產之弱點與威脅對應表」內之對應關係，列出各項資訊資產可能之弱點。 資訊資產威脅之識別應依據「ISMS-W-003資訊安全風險評鑑量化標準書」中「資訊資產之弱點與威脅對應表」內之對應關係，列出各項資訊資產弱點所存在之可能威脅。 依據「ISMS-W-003資訊安全風險評鑑量化標準書」中「資產衝擊影響評估標準」，鑑別各項威脅對資訊資產所造成之機密性、完整性、可用性之衝擊。 根據5.5.