法務部主管法規查詢系統

列印時間:113.11.22 10:02

歷史法規

民國 97 年 01 月 25 日
一、目的
    為確保法務部(以下簡稱本部)及所屬機關執行資訊資產風險評估作
    業時,得以評估所有可能面臨之風險,並確保評估方法之一致性,特
    訂定本規範。
二、適用範圍
    本部及所屬機關資訊安全管理系統範圍內之所有相關資訊資產。
三、名詞定義
(一)弱點(Vulnerabilities)
      弱點為各項資訊資產本身所具有之特性,不因外在環境改變而有變
      化。某些資訊資產之弱點係由人為因素所造成,則必需依該項資訊
      資產之使用現況作客觀之判斷。威脅(Threats) 威脅係利用資訊
      資產之弱點造成傷害該項資訊資產或對該項資訊資產造成衝擊之事
      件、物件或行為。
(二)風險(Risks)
      威脅受到誘發而引起安全事件,並對資訊資產造成傷害的狀況。
四、風險評鑑作業
(一)適法性風險視為不可接受之高風險項目,應採行下列預防措施,不
      納入風險評鑑作業考量:
      1.鑑別適用法令法之清單。
      2.訂定資訊安全管理制度之規範文件時,應檢視並確保符合現行法
        令之需求。
      3.辦理資訊安全法令宣導。
(二)風險評鑑分為「營運衝擊分析」及「威脅與弱點分析」兩階段,分
      述如下:
      1.營運衝擊分析(Business Impact Analysis BIA,或稱為資產鑑
        價)
        由資訊資產管理人依機密性、完整性及可用性之量化標準,進行
        資訊資產評價;本部因考量適法性風險應視為不可接受之高風險
        項目,故於營運衝擊分析階段不再評估適法性衝擊。
      2.威脅與弱點分析(Threat and Vulnerability Assessment T&V
        )
     (1)資訊資產管理人依資訊資產所在環境及使用狀況,參考過去曾
          經發生之資訊安全事件,分別評定各資訊資產可能面臨之威脅
          、可能存在之弱點及可能遭受之風險狀況進行推論。
     (2)鑑別資訊資產之弱點時,應考慮現行之安全管控措施,如已適
          當保護該項資訊資產,則不列舉原有之脆弱點。
     (3)鑑別資訊資產所面臨之威脅時,應考慮該項威脅是否已受到控
          制,如該項威脅無法完全被控制或完全無法控制,則應列舉之
          。
     (4)根據所推論之弱點項目,列舉現行已採用之既有安全控制措施
          。
     (5)考量既有安全控制措施及過去所發生之機率,並評量風險發生
          對資訊資產可能影響之程度,計算出各個風險之風險值。
五、風險管理
(一)應將風險評估之結果提報單位主管審查,並將審查結果提報資通安
      全會報(資訊安全執行小組),以決定不可接受之風險等級。
(二)應將超過不可接受風險等級之風險項目,擬訂風險改善計畫。
(三)風險改善計畫應符合整體資訊安全目標。
(四)風險改善計畫執行結束後,應針對不可接受之風險重新評估殘餘風
      險是否均已降低至可接受風險值以下。
(五)風險改善計畫執行之成果應提報資通安全會報(資訊安全執行小組
      )之管理審查會議中進行確認。
六、風險改善
(一)可採用之風險改善方式包括:
      1.規避風險。
      2.降低風險發生機率。
      3.降低風險影響程度。
      4.轉移風險。
      5.接受風險。
(二)風險改善計畫之擬訂,應考量所需資源、優先順序、責任分配等因
      素,至少包含下列內容:
      1.風險項目。
      2.採取之控制方法。
      3.所需投入資源。
      4.相關負責人員。
      5.預估完成日期。
七、風險之再評估
(一)風險評鑑應每年進行全面評估。但組織政策、單位業務、資訊資產
      等發生重大變更時,應就該重大變更影響部份於 2  個月內進行再
      評估。
(二)再評估之因素:
      應識別下列狀況所可能帶來之風險:
      1.識別與外部團體有關之風險。
      2.當本部因作業需要,新增或變更開放授權外部團體存取本部資訊
        系統或本部所持有之業務資訊前,應進行評估及識別相關可能之
        風險。
      3.設備產生之風險:
     (1)設備應考量來自實體環境之風險,如資訊資產所在之實體環境
          發生變動時,應考量是否增加未經授權存取之機會。
     (2)設備如須於辦公處所以外之區域使用時,應考量可能遭受之風
          險。
      4.外部團體服務變更之風險:
        當外部團體服務合約、服務內容及服務人員發生變更時,應考量
        可能帶來之風險。
      5.資訊應用系統技術脆弱性之風險:
        應取得資訊應用系統技術脆弱性之及時資訊,並評估該脆弱性對
        現行資訊應用系統之影響,以控制可能產生之風險。
(三)當相關作業發生新增或變動時,應針對所涉及之資訊資產是否造成
      資產價值變動,以考量是否進行再評估。
資料來源:法務部主管法規查詢系統