現行條文: |
法務部及所屬機關資訊安全風險評鑑管理規範 6六、風險之再評估
(一)風險評鑑應每年進行全面評估。但機關政策、單位業務、資訊資產
等發生重大變更時,或遇有任何重大專案新增或變動時,應就該重
大變更影響部份於 2 個月內進行再評估。
(二)再評估之因素:
應識別下列狀況所可能帶來之風險:
1.識別與外部團體有關之風險。
2.當機關因作業需要,新增或變更開放授權外部團體存取機關資訊
系統或機關所持有之業務資訊前,應進行評估及識別相關可能之
風險。
3.設備產生之風險:
(1)設備應考量來自實體環境之風險,如資訊資產所在之實體環境
發生變動時,應考量是否增加未經授權存取之機會。
(2)設備如須於辦公處所以外之區域使用時,應考量可能遭受之風
險。
4.外部團體服務變更之風險:
當外部團體服務合約、服務內容及服務人員發生變更時,應考量
可能帶來之風險。
5.資訊應用系統技術脆弱性之風險:
應取得資訊應用系統技術脆弱性之及時資訊,並評估該脆弱性對
現行資訊應用系統之影響,以控制可能產生之風險。
(三)當相關作業發生新增或變動時,應針對所涉及之資訊資產是否造成
資產價值變動,以考量是否進行再評估。 |