法務部主管法規查詢系統

列印時間:113.12.27 09:21

法條內容

法規名稱: 法務部及所屬機關資訊安全風險評鑑管理規範
修正日期:民國 105 年 11 月 15 日
5
五、風險處理
(一)資訊資產列為「風險處理」對象者,應將風險評估之結果提報單位
      主管審查,並將審查結果提報本部資通安全會報(資訊安全執行小
      組),以審查風險改善方式。
      可採用之風險改善方式包括:
      1.規避風險。
      2.降低風險發生機率。
      3.降低風險影響程度。
      4.轉移風險。
      5.接受風險。
(二)超過「可接受風險等級」之風險項目,應擬訂風險改善計畫。
      風險改善計畫之擬訂,應預估完成後殘餘風險是否可降低至可接受
      風險值以下,並考量所需資源、優先順序、責任分配等因素,至少
      包含下列內容:
      1.風險項目。
      2.採取之控制方法。
      3.所需投入資源。
      4.相關負責人員。
      5.預估完成日期。
(三)風險改善計畫應符合整體資訊安全目標。
(四)風險改善計畫執行結束後,應重新評估殘餘風險是否均已降低至可
      接受風險值以下。
(五)風險改善計畫執行之成果應提報本部資通安全會報(資訊安全執行
      小組)之管理審查會議中進行確認。
資料來源:法務部主管法規查詢系統