资讯资产评价与风险评鉴-宜兰区网中心.pdfVIP

資訊資產評估與風險評鑑 國立宜蘭大學圖書資訊館 網路組曾國旭 Wednesday, Mar 05 2014 大綱 •資訊資產評估 –資訊資產概論 –資訊資產清單 –資產分類分級 –資產價值鑑別 –資產管理作業 –資產報廢及處理 •風險評鑑 –風險概論 –風險管理流程 –風險識別作業 –風險評鑑方法 –風險控管方式 資訊資產評估與風險評鑑 2 重要詞彙說明 •何謂資產？ – 對組織有價值的任何事物。 •何謂資訊？ –資訊是一種資產，對於組織營運不可或缺。 –資訊存在形式有許多種，可以列印或書寫於 紙本，可以電子形式儲存，或交談口述等， 無論資訊形式為何，以何種方式分享或儲存， 均應加以適當保護。 資訊資產評估與風險評鑑 3 資產特色 資訊資產評估與風險評鑑 4 資訊安全三大原則 資訊資產評估與風險評鑑 5 •資訊資產評估 –資訊資產概論 –資訊資產清單 –資產分類分級 –資產價值鑑別 –資產管理作業 –資產報廢及處理 •風險評鑑 –風險概論 –風險管理流程 –風險識別作業 –風險評鑑方法 –風險控管方式 資訊資產評估與風險評鑑 6 資產管理角色 •權責單位(Owner) ： –由組織指定的資訊資產擁有單位。負責資產 的生產、發展、維護、使用及安全；並非對 該資產有任何實質的財產權。 •保管單位 (Keeper) ： –由組織指定的資訊資產保管單位。 •使用單位 (User) ： –由組織授權的資訊資產使用單位。 資訊資產評估與風險評鑑 7 建立資產清單 •權責單位應清點及鑑別所管轄之資訊資 產，建立「資訊資產清單」 。 •權責單位應定期更新與維護所管轄之資 訊資產清單。 •資訊資產清單由各權責單位提供，資訊 安全小組負責彙整，並陳報至資訊安全 委員會 ，以確保清單之完整性。 資訊資產評估與風險評鑑 8 資訊資產清單範例 資產管理角色 資訊資產評估與風險評鑑 9 •資訊資產評估 –資訊資產概論 –資訊資產清單 –資產分類分級 –資產價值鑑別 –資產管理作業 –資產報廢及處理 •風險評鑑 –風險概論 –風險管理流程 –風險識別作業 –風險評鑑方法 –風險控管方式 資訊資產評估與風險評鑑 10 資訊資產分類 • 人員(People / PE) ：包含全體同仁，以 及委外廠商。 • 文件(Document / DC) ：以紙本形式存在 之文書資料、報表等相