現行條文: |
廢/停法務部及所屬機關資訊資產風險評鑑管理規範 4四、風險評鑑作業
(一)適法性風險視為不可接受之高風險項目,應採行下列預防措施,不
納入風險評鑑作業考量:
1.鑑別適用法令法之清單。
2.訂定資訊安全管理制度之規範文件時,應檢視並確保符合現行法
令之需求。
3.辦理資訊安全法令宣導。
(二)風險評鑑分為「營運衝擊分析」及「威脅與弱點分析」兩階段,分
述如下:
1.營運衝擊分析(Business Impact Analysis BIA,或稱為資產鑑
價)
由資訊資產管理人依機密性、完整性及可用性之量化標準,進行
資訊資產評價;本部因考量適法性風險應視為不可接受之高風險
項目,故於營運衝擊分析階段不再評估適法性衝擊。
2.威脅與弱點分析(Threat and Vulnerability Assessment T&V
)
(1)資訊資產管理人依資訊資產所在環境及使用狀況,參考過去曾
經發生之資訊安全事件,分別評定各資訊資產可能面臨之威脅
、可能存在之弱點及可能遭受之風險狀況進行推論。
(2)鑑別資訊資產之弱點時,應考慮現行之安全管控措施,如已適
當保護該項資訊資產,則不列舉原有之脆弱點。
(3)鑑別資訊資產所面臨之威脅時,應考慮該項威脅是否已受到控
制,如該項威脅無法完全被控制或完全無法控制,則應列舉之
。
(4)根據所推論之弱點項目,列舉現行已採用之既有安全控制措施
。
(5)考量既有安全控制措施及過去所發生之機率,並評量風險發生
對資訊資產可能影響之程度,計算出各個風險之風險值。 |