遭遇阻礙與解決之道

一、 資訊資產管理

資訊資產依其功能系統分門別類，屬較有效率切割方式，可免除單一設備 建置資訊資產清冊的繁雜與費時。參酌教育部提昇校園資訊安全服務計畫，建 議資訊資產清冊建置如下：

（一）、資訊資產 (各系統) 分類

1、資料資產：原始資料與經歸納及整理之文件、檔案。如資料庫、作 業紀錄、資料檔案及原始程式碼等。

2、文件資產：對業務或作業有指導性質之文件。如合約、資訊安全政 策、作業程序、作業細則、系統文件、使用者手冊等。

3、軟體資產：自行開發、委外開發及軟體供應商提供之資訊系統，包 括作業系統、套裝軟體、工具軟體、網管軟體、應用軟體及其他相關 軟體程式。

4、硬體資產：資訊硬體及實體環境與設備，包括各類不同規格及功能 之電腦設備及個人用電腦、電腦周邊、終端機、工作站、區域與廣域 網路。

5、服務資產：電腦維護服務、通信服務、顧問服務及一般公用設施服 務，如電力供應、清潔服務及保全服務等。

6、人員資產：參與本組織各項資訊處理作業及資訊系統運作之相關同 仁與服務廠商人員。

（二）資訊資產分級

文件類與資料類資訊資產分為公開使用、內部使用及限定使用三級，

其定義如下：

1、公開使用：可對外公告之相關文件資料。

2、內部使用：本組織內部使用之資產、文件、表單及紀錄等，並在該 資產明顯處標示『內部使用』之字樣或藍色標籤。

3、機密：本組織限定使用之資產、文件、表單及紀錄等，並在該資產 明顯處標示『機密』之字樣或紅色標籤。

二、風險評鑑及風險管理

（一）營運衝擊分析

評量時不考慮既有控制項目，以最壞的狀況就機密性、完整性及可用 性喪失時所造成有形及無形的影響與財物損失，進而評估對組織營運之衝 擊性。

表 4-2 衝擊等級評估表 衝擊等

級 營運影響

4 損害極巨 3 損害嚴重 2 損害顯著 1 衝擊較小 0 微不足道 資料來源：本研究整理

（二）營運衝擊分析評量指引

1、機密性：評量時以該系統或作業資產清冊中，資料類及文件類資產 其機密等級為「限定使用」之資產洩漏角度來觀察。

2、完整性：評量時以該系統或作業資產清冊中資產類及文件類資產若 不正確或作業執行錯誤所造成的影響來觀察。

3、可用性：可用性營運衝擊評估，先由負責評估人員就「營運衝擊分 析評估項目準則」中可用性衝擊評估項目分別考量，並依最大衝擊評 估項目，填寫可忍受中斷時間並說明理由及考慮因素，經風險評估小 組收集整體之評估資料，決定評估標的中斷時間級距後，再由負責評 估人員就可忍受之中斷時間級距分別給予 4~0 之「可用性衝擊等級。

（三） 營運衝擊等級對照表

表 4-3 營運衝擊等級對照表

衝擊等級 價值數值

4 100

3 75

2 50

1 25

0 不列入計算

資料來源：本研究整理 (四)決定接受風險水準

對各類評估標的之風險值由高到低進行排序，將風險值由最高風險值 逐一往下累計，當累計風險值之和達該類評估標的整體風險前 25%時之風 險值為風險等級 3 之參考風險值，當累計風險值之和達該類評估標的整體 風險前 50%時之風險值為風險等級 2 之參考風險值。

對上述之風險等級 3 之參考風險值，進行評估並參考以往風險評鑑之 經驗提出修正建議，作成「風險接受水準」。

(五)威脅與弱點

依資訊安全管理系統為評估範圍，進行風險分析與評估，建立威脅弱 點之詳細配對狀況。

(六)風險管理

完成風險評鑑後，針對仍需控制之風險討論可行之控制方法。應對執 行風險管理計畫後之殘留風險進行預估。殘留風險如仍高於風險接受水 準，應再增加控制，並修正風險管理計畫，如不再進行控制仍應具體提報 是否有進一步控制之可能及成本效益評估。但風險等級 3 之殘留風險應低 於風險等級 3。

風險管理計畫實施後應於每半年之調整維護時一併確認新增之風險控 制之有效性，並確認是否達成原先預估之殘留風險水準，經確認可有效控 制風險且不需再調整改變之新增控制可轉列為既有控制。

三、風險值的計算

(一) 資訊資產價值：針對各執行人員所評定之營運衝擊分析等級依據「營 運衝擊等級價值對照表」轉換為相對之價值數值。

(二) 風險發生可能性數：如表 4-4 風險發生可能性判定準則表所示

表 4-4 風險發生可能性判定準則表

能性等級 可能性等級參考 建議數值

極高 一年內發生四次以上 1.00 0.77

高 一年內發生二至四次 0.76

0.53

中 一年內發生一次 0.52

0.29

低 三年內發生一次 0.28

0.05

極低 三年以上發生一次 0.04

0.00 資訊來源：本研究整理

(三) 風險影響等級程度：如表 4-5 風險影響程度等級判定準則表所示 表 4-5 風險影響程度等級判定準則表

影響程度等級 影響程度參考 建議數值

極高 0.81 1 0.90

高 0.51 0.8 0.65

中 0.21 0.5 0.35

低 0.06 0.2 0.13

極低 0 0.05 0.025

資料來源：本研究整理

(四) 計算風險值：各評估標的應就機密性、完整性及可用性進行風險值 計算。風險值=評估標的之價值*風險發生可能性數值*風險發生對評估 標的影響程度數值。

四、 存取控制

應訂定資訊系統存取控制規定，界定存取控制之需求，並以書面、電子或 其他方式紀錄之。應包含電腦系統的存取控制與稽核、應用系統與資料庫的存 取控制與稽核。

五、 營運持續管理

實施重要系統的永續營運管理作業，結合預防、備援機制及復原控制措施，

將災難和安全缺失（可能是由於自然災害、意外、設備故障和蓄意行為等引起）

所造成的中斷情形降低至可接受情形。