资讯安全风险评鉴量化标准书.docVIP

管理系統文件 文件類別 第 三 階 文 件 文件編號 ISMS-W-003 文件名稱 資訊安全風險評鑑量化標準書 發行單位 文 件 管 制 小 組 發行日期 103年12月01日 版次 A 訂修廢單位 審 查 核 准 資通安全處理小組 （原版簽名頁保存於文件管制小組） 訂 修 廢 記 錄 版次 發行日期 訂 修 廢 內 容 摘 要 A 103/12/01 初版發行 目的 為確保本校在進行資訊資產風險評鑑作業時，能有效計算各項資訊資產的價值度與風險值，進行資訊資產弱點及威脅分析，藉以客觀的評估各資產的風險，了解未來可能遭受之危害，以達先期改善之效，特制訂本標準書。 適用範圍 凡本校進行各項資訊資產風險評鑑作業時，均適用本標準書。 參考文件 ISMS-P-003資訊資產管理程序書。 名詞定義 無。 作業內容 風險評鑑作業需評估項目因子 資產價值（重要性）評估：評估資訊資產的重要性。 資訊資產價值（P）：資訊資產對本校營運之重要與依賴程度。 資產弱點評估：現行管制方法下，弱點被有效控制之程度。 脆弱性：資產弱點所在。 等級（V）：弱點已被有效控管之程度。 資產威脅評估：現行管制方法下，威脅事件發生機率。 威脅：資產威脅來源。 可能性（T）：威脅事件發生機率。 資產衝擊影響評估：威脅發生後所造成的影響嚴重程度。