资讯资产分类与风险评鉴之研究—以银行业为例-GEBRC.PDFVIP

資訊管理學報　第十六卷　第三期 55 資訊資產分類與風險評鑑之研究— 以銀行業為例 陳志誠 大同大學資訊經營系所 林淑瓊 大同大學資訊經營系所 李興漢 大同大學資訊經營系所 許派立 大同大學資訊經營系所 摘要 企業的資訊安全作法繁多，但不一定能聚焦於最需要之處 ，以及考慮到成本與時間 效益 。因此 ，為企業資訊資產進行分類與建立風險評鑑機制 ，不僅可以得到資訊資產詳 細的風險等級 ，也可使資訊安全管理決策更精確 、完整及有效 ，避免資訊安全事件的發 生。目前國內外有關資訊資產風險評鑑的研究不多，本研究對重視資訊資產管理的銀行 業進行研究，以國內某知名銀行為例 ，由資訊安全管理之作業要點BS 7799- 1 ：2000 、 資訊安全系統規範BS 7799-2 ：2002和資訊技術安全管理指導綱要ISO/IEC TR 13335做為 問卷設計的依據 ，再以美國國家技術標準局 （NIST ）於200 1年制定的 「資訊科技系統風 險管理指導」三項程序 ，進行風險管理 。研究中由個案公司的資訊資產清冊中選出十一 類24項較可能發生資安事件的資訊資產 ，使用德菲法進行資料收集分析 ，評估出資訊資 產的相關威脅、弱點及風險等級 ，同時進行定性與定量的風險分析 。研究結果說明個案 公司資訊資產風險等級為中等者只有主路由器一項 ，其餘均為低等級 ，基於BS 7799-2 ： 2002持續改善的原則 ，研究中對高風險等級的資訊資產提出建議及改進措施 。由於銀行 業的資訊環境具有高度雷同性――主要核心業務放在大型主機 ，外圍由中小型伺服器處 理非帳務性系統 ，且研究個案之規模和資訊系統在銀行業中具有代表性 ，本研究獲致之 成果具實務上的參考價值 ，可協助企業降低資訊資產風險與資安事件的發生。 關鍵字：資訊資產 、資訊安全 、風險評鑑 56 資訊管理學報　第十六卷　第三期 Classification of Information Assets and Risk Assessment: by Example of Banking Industry Patrick S. Chen Department of Information Management, Tatung University Shu-Chiung Lin Department of Information Management, Tatung University Shing-Han Li Department of Information Management, Tatung University Perry Shi Department of Information Management, Tatung University Abstract Many incidents of inform