法務部主管法規查詢系統

列印時間:113.12.27 07:53

法條內容

法規名稱: 法務部及所屬機關資訊安全風險評鑑管理規範
修正日期:民國 105 年 11 月 15 日
6
六、風險之再評估
(一)風險評鑑應每年進行全面評估。但機關政策、單位業務、資訊資產
      等發生重大變更時,或遇有任何重大專案新增或變動時,應就該重
      大變更影響部份於 2  個月內進行再評估。
(二)再評估之因素:
      應識別下列狀況所可能帶來之風險:
      1.識別與外部團體有關之風險。
      2.當機關因作業需要,新增或變更開放授權外部團體存取機關資訊
        系統或機關所持有之業務資訊前,應進行評估及識別相關可能之
        風險。
      3.設備產生之風險:
     (1)設備應考量來自實體環境之風險,如資訊資產所在之實體環境
          發生變動時,應考量是否增加未經授權存取之機會。
     (2)設備如須於辦公處所以外之區域使用時,應考量可能遭受之風
          險。
      4.外部團體服務變更之風險:
        當外部團體服務合約、服務內容及服務人員發生變更時,應考量
        可能帶來之風險。
      5.資訊應用系統技術脆弱性之風險:
        應取得資訊應用系統技術脆弱性之及時資訊,並評估該脆弱性對
        現行資訊應用系統之影響,以控制可能產生之風險。
(三)當相關作業發生新增或變動時,應針對所涉及之資訊資產是否造成
      資產價值變動,以考量是否進行再評估。
資料來源:法務部主管法規查詢系統