法務部主管法規查詢系統

列印時間:113.11.22 15:22

歷史法條

現行條文: 廢/停法務部及所屬機關資訊資產風險評鑑管理規範 7
七、風險之再評估
(一)風險評鑑應每年進行全面評估。但組織政策、單位業務、資訊資產
      等發生重大變更時,應就該重大變更影響部份於 2  個月內進行再
      評估。
(二)再評估之因素:
      應識別下列狀況所可能帶來之風險:
      1.識別與外部團體有關之風險。
      2.當本部因作業需要,新增或變更開放授權外部團體存取本部資訊
        系統或本部所持有之業務資訊前,應進行評估及識別相關可能之
        風險。
      3.設備產生之風險:
     (1)設備應考量來自實體環境之風險,如資訊資產所在之實體環境
          發生變動時,應考量是否增加未經授權存取之機會。
     (2)設備如須於辦公處所以外之區域使用時,應考量可能遭受之風
          險。
      4.外部團體服務變更之風險:
        當外部團體服務合約、服務內容及服務人員發生變更時,應考量
        可能帶來之風險。
      5.資訊應用系統技術脆弱性之風險:
        應取得資訊應用系統技術脆弱性之及時資訊,並評估該脆弱性對
        現行資訊應用系統之影響,以控制可能產生之風險。
(三)當相關作業發生新增或變動時,應針對所涉及之資訊資產是否造成
      資產價值變動,以考量是否進行再評估。
民國 97 年 01 月 25 日修正
7
七、風險之再評估
(一)風險評鑑應每年進行全面評估。但組織政策、單位業務、資訊資產
      等發生重大變更時,應就該重大變更影響部份於 2  個月內進行再
      評估。
(二)再評估之因素:
      應識別下列狀況所可能帶來之風險:
      1.識別與外部團體有關之風險。
      2.當本部因作業需要,新增或變更開放授權外部團體存取本部資訊
        系統或本部所持有之業務資訊前,應進行評估及識別相關可能之
        風險。
      3.設備產生之風險:
     (1)設備應考量來自實體環境之風險,如資訊資產所在之實體環境
          發生變動時,應考量是否增加未經授權存取之機會。
     (2)設備如須於辦公處所以外之區域使用時,應考量可能遭受之風
          險。
      4.外部團體服務變更之風險:
        當外部團體服務合約、服務內容及服務人員發生變更時,應考量
        可能帶來之風險。
      5.資訊應用系統技術脆弱性之風險:
        應取得資訊應用系統技術脆弱性之及時資訊,並評估該脆弱性對
        現行資訊應用系統之影響,以控制可能產生之風險。
(三)當相關作業發生新增或變動時,應針對所涉及之資訊資產是否造成
      資產價值變動,以考量是否進行再評估。
民國 96 年 04 月 19 日訂定
7
七、風險之再評估
(一)風險評鑑應每半年進行全面評估。但組織政策、單位業務、資訊資
      產等發生重大變更時,應就該重大變更影響部份於 2  個月內進行
      再評估。
(二)再評估之因素:
      應識別下列狀況所可能帶來之風險:
      1.識別與外部團體有關之風險。
      2.當本部因作業需要,新增或變更開放授權外部團體存取本部資訊
        系統或本部所持有之業務資訊前,應進行評估及識別相關可能之
        風險。
      3.設備產生之風險:
     (1)設備應考量來自實體環境之風險,如資訊資產所在之實體環境
          發生變動時,應考量是否增加未經授權存取之機會。
     (2)設備如須於辦公處所以外之區域使用時,應考量可能遭受之風
          險。
      4.外部團體服務變更之風險:
        當外部團體服務合約、服務內容及服務人員發生變更時,應考量
        可能帶來之風險。
      5.資訊應用系統技術脆弱性之風險:
        應取得資訊應用系統技術脆弱性之及時資訊,並評估該脆弱性對
        現行資訊應用系統之影響,以控制可能產生之風險。
(三)當相關作業發生新增或變動時,應針對所涉及之資訊資產是否造成
      資產價值變動,以考量是否進行再評估。
資料來源:法務部主管法規查詢系統