四、風險評鑑作業
(一)建立風險管理全景
1.應識別內、外各方面之資訊安全需求,包括資訊安全政策以及法
令、法規、規章與合約以及其他可能影響資訊安全之事務。
2.應界定風險評鑑範圍,以利執行風險評鑑作業。
3.應規劃與定義「風險準則」、「風險等級」及「風險接受準則」
等風險管理準則
(1)風險準則(Risk Criteria):
評估風險顯著性時所用之評估條件及其評估方法。評估方式採
用「定性」方式,評估條件應考量下列項目:
A.弱點
B.威脅
C.衝擊
(2)風險等級(Level of Risk):
以風險評估條件評估結果之總合方式表示之風險顯著性。
(3)風險接受準則(Risk Acceptable Criteria):
機關用以決定留置或承受風險之原則。機關應考量影響風險接
受準則的項目如下:
A.業務需求及目標。
B.法律、法令、規章及合約方面之要求。
C.智慧財產權(Intellectual Property Right, IPR)。
D.資源分配狀況。
E.技術成熟度。
F.經費預算。
G.社會與輿論因素。
4.違反法令之行為視為不可接受之風險項目,應採行下列預防措施
,不納入風險評鑑作業:
A.鑑別適用法令之清單。
B.訂定資訊安全管理制度之規範文件時,應檢視並確保符合現行
法令之需求。
C.辦理資訊安全法令宣導。
(二)風險評鑑過程
風險評鑑區分為針對業務流程評估之「高階風險評鑑」與重要業務
流程相關資訊資產之「詳細風險評鑑」兩部分。
1.高階風險評鑑
(1)針對內部所有業務流程,依據「法務部及所屬機關資訊安全風
險評鑑管理程序」,進行初步之「高階風險評鑑」,以決定是
否需進行「詳細風險評鑑」。
(2)不需進行「詳細風險評鑑」者,直接進行安全監控,進入風險
之再評估階段。
2.詳細風險評鑑
包括「風險分析(Risk Analysis)」 及「風險評估(Risk
Evaluation)」。
(1)風險分析
透過系統化方式,尋求業務流程相關之資訊資產於風險準則中
所定義的風險評估條件,並用「定性」方式,得出資訊資產風
險等級。
(2)風險評估
(1)依「風險接受準則」評估「風險分析」之結果,以決定需要
管控的資訊資產。
(2)「風險分析」之結果值高於「可接受風險等級」之資訊資產
,應列為「風險處理」之對象。