您的瀏覽器不支援JavaScript功能,若網頁功能無法正常使用時,請開啟瀏覽器JavaScript狀態
跳到主要內容區塊
:::

歷史法條

現行條文: 廢/停法務部及所屬機關資訊資產風險評鑑管理規範 4
四、風險評鑑作業
(一)適法性風險視為不可接受之高風險項目,應採行下列預防措施,不
      納入風險評鑑作業考量:
      1.鑑別適用法令法之清單。
      2.訂定資訊安全管理制度之規範文件時,應檢視並確保符合現行法
        令之需求。
      3.辦理資訊安全法令宣導。
(二)風險評鑑分為「營運衝擊分析」及「威脅與弱點分析」兩階段,分
      述如下:
      1.營運衝擊分析(Business Impact Analysis BIA,或稱為資產鑑
        價)
        由資訊資產管理人依機密性、完整性及可用性之量化標準,進行
        資訊資產評價;本部因考量適法性風險應視為不可接受之高風險
        項目,故於營運衝擊分析階段不再評估適法性衝擊。
      2.威脅與弱點分析(Threat and Vulnerability Assessment T&V
        )
     (1)資訊資產管理人依資訊資產所在環境及使用狀況,參考過去曾
          經發生之資訊安全事件,分別評定各資訊資產可能面臨之威脅
          、可能存在之弱點及可能遭受之風險狀況進行推論。
     (2)鑑別資訊資產之弱點時,應考慮現行之安全管控措施,如已適
          當保護該項資訊資產,則不列舉原有之脆弱點。
     (3)鑑別資訊資產所面臨之威脅時,應考慮該項威脅是否已受到控
          制,如該項威脅無法完全被控制或完全無法控制,則應列舉之
          。
     (4)根據所推論之弱點項目,列舉現行已採用之既有安全控制措施
          。
     (5)考量既有安全控制措施及過去所發生之機率,並評量風險發生
          對資訊資產可能影響之程度,計算出各個風險之風險值。
民國 97 年 01 月 25 日修正
4
四、風險評鑑作業
(一)適法性風險視為不可接受之高風險項目,應採行下列預防措施,不
      納入風險評鑑作業考量:
      1.鑑別適用法令法之清單。
      2.訂定資訊安全管理制度之規範文件時,應檢視並確保符合現行法
        令之需求。
      3.辦理資訊安全法令宣導。
(二)風險評鑑分為「營運衝擊分析」及「威脅與弱點分析」兩階段,分
      述如下:
      1.營運衝擊分析(Business Impact Analysis BIA,或稱為資產鑑
        價)
        由資訊資產管理人依機密性、完整性及可用性之量化標準,進行
        資訊資產評價;本部因考量適法性風險應視為不可接受之高風險
        項目,故於營運衝擊分析階段不再評估適法性衝擊。
      2.威脅與弱點分析(Threat and Vulnerability Assessment T&V
        )
     (1)資訊資產管理人依資訊資產所在環境及使用狀況,參考過去曾
          經發生之資訊安全事件,分別評定各資訊資產可能面臨之威脅
          、可能存在之弱點及可能遭受之風險狀況進行推論。
     (2)鑑別資訊資產之弱點時,應考慮現行之安全管控措施,如已適
          當保護該項資訊資產,則不列舉原有之脆弱點。
     (3)鑑別資訊資產所面臨之威脅時,應考慮該項威脅是否已受到控
          制,如該項威脅無法完全被控制或完全無法控制,則應列舉之
          。
     (4)根據所推論之弱點項目,列舉現行已採用之既有安全控制措施
          。
     (5)考量既有安全控制措施及過去所發生之機率,並評量風險發生
          對資訊資產可能影響之程度,計算出各個風險之風險值。
民國 96 年 04 月 19 日訂定
4
四、風險評鑑作業
(一)適法性風險視為不可接受之高風險項目,應採行下列預防措施,不
      納入風險評鑑作業考量:
      1.鑑別適用法令法之清單。
      2.訂定資訊安全管理制度之規範文件時,應檢視並確保符合現行法
        令之需求。
      3.辦理資訊安全法令宣導。
(二)風險評鑑分為「營運衝擊分析」及「威脅與弱點分析」兩階段,分
      述如下:
      1.營運衝擊分析(Business Impact Analysis BIA,或稱為資產鑑
        價)由資訊資產管理人依機密性、完整性及可用性之量化標準,
        進行資訊資產評價;本部因考量適法性風險應視為不可接受之高
        風險項目,故於營運衝擊分析階段不再評估適法性衝擊。
      2.威脅與弱點分析(Threat and Vulnerability Assessment T&V
        )
     (1)資訊資產管理人依資訊資產所在環境及使用狀況,參考過去曾
          經發生之資訊安全事件,分別評定各資訊資產可能面臨之威脅
          、可能存在之弱點及可能遭受之風險狀況進行推論。
     (2)鑑別資訊資產之弱點時,應考慮現行之安全管控措施,如已適
          當保護該項資訊資產,則不列舉原有之脆弱點。
     (3)鑑別資訊資產所面臨之威脅時,應考慮該項威脅是否已受到控
          制,如該項威脅無法完全被控制或完全無法控制,則應列舉之
          。
     (4)根據所推論之弱點項目,列舉現行已採用之既有安全控制措施
          。
     (5)考量既有安全控制措施及過去所發生之機率,並評量風險發生
          對資訊資產可能影響之程度,計算出各個風險之風險值。