合作金庫商業銀行個人資料保護強化顧問服務專案六月份專案月會議.ppt

無管理功能、弱點分佈查詢和分險分佈查詢 * * 如果大家想一次看所有類型資產的風險評鑑結果的話，可以點選會出所有類別資產項目 * 對應到一開始提到的任務，針對表單Owner上傳空白表單的電子檔和相關部門的單位窗口近系統上補充生命週期資訊， 進行操作說明 * * * 查詢風險評鑑結果 點選「風險評鑑結果」?「風險評鑑結果查詢」 * 2 3 1 查詢風險評鑑結果(續) * 選擇軟體類的查詢結果 風險評鑑之計算方式 風險值 = Value x Vulnerabilities x Threats 1 2 3 資產價值 弱點值 威脅值 全行統一設定 全行統一設定 單位自行設定 查詢風險評鑑結果(續) 選擇軟體類資料的匯出結果 * 2 3 1 弱點項目 弱點值 威脅項目 威脅值 風險值 相關發現事項說明 控管編號 控管名稱 V02 缺乏對外部團體與資訊安全相關之規範 3 不法使用 2 18 ●發現事項B A.6.2.1 鑑別來自外部單位存取之風險 竄改 2 18 A.6.2.2 應付客戶的安全處理 偽造 2 18 A.6.2.3 第三方合約的安全處理 　 　 　 A.8.2.1 聘雇期間管理責任 　 　 　 4.16 留存適當紀錄 查詢風險評鑑結果(續) * 2 一次匯出中所有資產的 風險評鑑結果 1 風險改善處理計畫(填寫計畫/填寫狀況查詢/執行狀況查詢) * 風險改善處理計畫 主要功能說明: * 產生計畫 刪除計畫 選擇部門 選擇填寫人員 填寫計畫內容 調降弱點值 匯入計畫內容 查詢風險改善狀況 查詢歷史資料 查詢填寫狀況 查詢執行狀況 發展風險處理計畫 * 若計算評估後之風險權值高於風險可接受水準，則視為高風險項目，列為優先處理項目 需指定預計完成日期 風險處理計畫內容： 產生計畫 點選風險改善處理計畫?填寫風險改善處理計畫 注意!產生風險改善處理計畫後，衝擊分析與查核發現事項就無法進行修改。 產生風險改善處理計畫前需要完成的事項 A. 填寫衝擊分析、衝擊分析問項、與查核發現事項 B. 產生威脅值總表 C. 設定風險可接受水準與風險處理臨界值 點選後系統會自動產 生高風險改善事項 1 2 刪除計畫 刪除目前操作部門中所有風險改 善處理計畫(不包含繼承計劃) 填寫計畫內容 * 點選進入計畫編輯頁面 1 2 3 匯入風險改善處理計畫 * 計畫編號 計畫單位 發現事項 風險改善處理計畫 控管編號 檢查項目 填寫單位 填寫人 負責人 預計完成日期 實際完成日期 狀態 612 DTT 仍有人員帳號 　 　 電腦未關機 DTT D.RMSYS 　 　 　 執行中 613 法金管理部 T0427(P)給法金各處之流向。 　 　 參【CP-R-07_個人資料？ DTT D.RMSYS 　 　 　 執行中 系統依據高風險事項 自動帶出相關資訊 填寫風險改善 處理計畫 填寫負責處理的人員 和預計完成日期 填寫對應的控管編號 Ex. A.2.1 實際完成日期需調降 完弱點值後才可填寫 手動填寫 系統帶出 調降弱點值 編輯計畫的子項目 * 選擇風險改善處理計畫 弱點值調降後的數值 6 7 8 匯出改善計畫 點選風險改善處理計畫?查詢風險改善處理計畫 * 1 2 匯出改善計畫(續) 匯出完整風險改善處理計畫 * 匯出風險改善處理計畫父項目 此匯出檔案可作為 匯入風險改善處理 計畫的範例檔案 計畫編號 計畫單位 發現事項 風險改善處理計畫 控管編號 檢查項目 73 個資組織 1.目前未有人員離開座位須將螢幕鎖定之規定。 　 A.11.3.3 桌面及營幕淨空政策 1. 人員離開時是否將螢幕鎖定 74 個資組織 未針對公用資料夾進行定期REVIEW帳號權限的適當性。 　 A.11.2.4 使用者存取權限審查 【公用資料夾】(各部門-各部門內部公用, 資服-File sever) 問題與討論 * 詢問大家是否參與DTT風險評鑑教育訓練 和大家重點說明DTT風險評鑑的方法論，若對方法論方面有疑問，建議大家可在RA課程中進一步了解 本次教育訓練重點在於系統操作，有很多系統畫面供大家執行上參考 教育訓練的方式為我先說明簡報內容，告一個小段落後開放大家上系統使用 * 系統架構 角色權責 功能說明 操作方式 * DTT方法論重點說明(簡易版) RA方法論和系統之間的關係 RA操作情境和功能說明 開放大家使用 * 大家可以想想為什麼要執行風險評鑑?? (停10秒) 其實概念上很簡單，就我的理解，我們預先盤點內部和外部可能發生的風險，制定好對策，一方面能迅速處理和對應，一方面也降低發生的可能性。 那問題來了…要怎麼預先知道可能的風險呢? 那就是靠風險評鑑啦! 組織應該建立風險防範的機制 外在風險ex. 加拿大的硬碟外洩 系統化的方