法務部主管法規查詢系統

列印時間:113.11.22 09:08

歷史法條

現行條文: 法務部及所屬機關資訊安全風險評鑑管理規範 4
四、風險評鑑作業
(一)建立風險管理全景
      1.應識別內、外各方面之資訊安全需求,包括資訊安全政策以及法
        令、法規、規章與合約以及其他可能影響資訊安全之事務。
      2.應界定風險評鑑範圍,以利執行風險評鑑作業。
      3.應規劃與定義「風險準則」、「風險等級」及「風險接受準則」
        等風險管理準則
     (1)風險準則(Risk Criteria):
          評估風險顯著性時所用之評估條件及其評估方法。評估方式採
          用「定性」方式,評估條件應考量下列項目:
          A.弱點
          B.威脅
          C.衝擊
     (2)風險等級(Level of Risk):
          以風險評估條件評估結果之總合方式表示之風險顯著性。
     (3)風險接受準則(Risk Acceptable Criteria):
          機關用以決定留置或承受風險之原則。機關應考量影響風險接
          受準則的項目如下:
          A.業務需求及目標。
          B.法律、法令、規章及合約方面之要求。
          C.智慧財產權(Intellectual Property Right, IPR)。
          D.資源分配狀況。
          E.技術成熟度。
          F.經費預算。
          G.社會與輿論因素。
      4.違反法令之行為視為不可接受之風險項目,應採行下列預防措施
        ,不納入風險評鑑作業:
        A.鑑別適用法令之清單。
        B.訂定資訊安全管理制度之規範文件時,應檢視並確保符合現行
          法令之需求。
        C.辦理資訊安全法令宣導。
(二)風險評鑑過程
      風險評鑑區分為針對業務流程評估之「高階風險評鑑」與重要業務
      流程相關資訊資產之「詳細風險評鑑」兩部分。
      1.高階風險評鑑
     (1)針對內部所有業務流程,依據「法務部及所屬機關資訊安全風
          險評鑑管理程序」,進行初步之「高階風險評鑑」,以決定是
          否需進行「詳細風險評鑑」。
     (2)不需進行「詳細風險評鑑」者,直接進行安全監控,進入風險
          之再評估階段。
      2.詳細風險評鑑
        包括「風險分析(Risk Analysis)」 及「風險評估(Risk
        Evaluation)」。
     (1)風險分析
          透過系統化方式,尋求業務流程相關之資訊資產於風險準則中
          所定義的風險評估條件,並用「定性」方式,得出資訊資產風
          險等級。
     (2)風險評估
       (1)依「風險接受準則」評估「風險分析」之結果,以決定需要
            管控的資訊資產。
       (2)「風險分析」之結果值高於「可接受風險等級」之資訊資產
            ,應列為「風險處理」之對象。
民國 102 年 08 月 07 日訂定
4
四、風險評鑑作業
(一)建立風險管理全景
      1.應識別內、外各方面之資訊安全需求,包括資訊安全政策以及法
        令、法規、規章與合約以及其他可能影響資訊安全之事務。
      2.應界定風險評鑑範圍,以利執行風險評鑑作業。
      3.應規劃與定義「風險準則」、「風險等級」及「風險接受準則」
        等風險管理準則
     (1)風險準則(Risk Criteria):
          評估風險顯著性時所用之評估條件及其評估方法。評估方式採
          用「定性」方式,評估條件應考量下列項目:
          A.弱點
          B.威脅
          C.衝擊
     (2)風險等級(Level of Risk):
          以風險評估條件評估結果之總合方式表示之風險顯著性。
     (3)風險接受準則(Risk Acceptable Criteria):
          機關用以決定留置或承受風險之原則。機關應考量影響風險接
          受準則的項目如下:
          A.業務需求及目標。
          B.法律、法令、規章及合約方面之要求。
          C.智慧財產權(Intellectual Property Right, IPR)。
          D.資源分配狀況。
          E.技術成熟度。
          F.經費預算。
          G.社會與輿論因素。
      4.違反法令之行為視為不可接受之風險項目,應採行下列預防措施
        ,不納入風險評鑑作業:
        A.鑑別適用法令之清單。
        B.訂定資訊安全管理制度之規範文件時,應檢視並確保符合現行
          法令之需求。
        C.辦理資訊安全法令宣導。
(二)風險評鑑過程
      風險評鑑區分為針對業務流程評估之「高階風險評鑑」與重要業務
      流程相關資訊資產之「詳細風險評鑑」兩部分。
      1.高階風險評鑑
     (1)針對內部所有業務流程,依據「法務部及所屬機關資訊安全風
          險評鑑管理程序」,進行初步之「高階風險評鑑」,以決定是
          否需進行「詳細風險評鑑」。
     (2)不需進行「詳細風險評鑑」者,直接進行安全監控,進入風險
          之再評估階段。
      2.詳細風險評鑑
        包括「風險分析(Risk Analysis)」 及「風險評估(Risk
        Evaluation)」。
     (1)風險分析
          透過系統化方式,尋求業務流程相關之資訊資產於風險準則中
          所定義的風險評估條件,並用「定性」方式,得出資訊資產風
          險等級。
     (2)風險評估
       (1)依「風險接受準則」評估「風險分析」之結果,以決定需要
            管控的資訊資產。
       (2)「風險分析」之結果值高於「可接受風險等級」之資訊資產
            ,應列為「風險處理」之對象。
資料來源:法務部主管法規查詢系統