管理要點編號: |
A-IS-P0201 |
版次: |
1.0 |
管理要點名稱: |
資通資產管理暨風險評鑑管理要點 |
||
批准: |
|
批准日期: |
年 月 日 |
財團法人中興工程顧問社(以下簡稱本社)為確保資通資產有效管理及進行相關風險評鑑,特訂定「資通資產管理暨風險評鑑管理要點」(A-IS-P0201) (以下簡稱本管理要點),以符合資通資產運用之機密性、完整性及可用性。
「資通安全管理辦法」(A-IS-A0101)
本社實施資通安全管理系統範圍之相關資通資產。
一、 業務權責部門主管:例如:會計管理系統的業務權責部門主管為財會處經理;人事管理系統的業務權責部門主管為行政處經理;資通服務基礎設施的業務權責部門主管為企劃處經理。
二、 風險擁有者:係指資通資產權責部門主管。
三、 文件管理者:係指文件資料之創建、保管人。
一、 業務權責部門主管應監督政策與命令的貫徹執行,並指派相關資通系統業務承辦人或保管人,必要時應建立書面程序。
二、 業務權責部門對於資通系統所涵蓋業務負有直接責任。
三、 當本社資通安全管理系統架構變動、管理程序或規範需要大幅修訂,或者發生重大資通安全事件時,應陳報「資安小組」。
四、 「資安小組」負責審查「資通資產清冊」(詳附件一)、「風險評鑑報告」(詳附件二)、「風險處理計畫」(詳附件三)及本管理要點,並核定資通資產風險評鑑可接受風險值。
五、 本社所有同仁均有責任向「資安小組」提供與決策相關的資訊,包括控制與對策以及可行方法或選擇。
六、 資通系統業務承辦人及保管人的責任
(一) 鑑別資通資產的價值。
(二) 資通資產的機密性等級分類。
(三) 鑑別資通資產威脅與脆弱點。
(四) 鑑別資通資產可忍受之最大失效期間。
(五) 鑑別失去資通資產對組織的衝擊。
(六) 參與安全防護對策之討論與決策。
(七) 系統安全防護與系統維護之成本分析。
(八) 鑑別資通資產之特性,作為業務持續管理之參考。
(九) 參與業務持續計畫之討論。
(十) 支援業務持續演練。
(十一) 鑑別各系統及其相關設備存在的威脅與脆弱點。
(十二) 鑑別各系統及其相關設備失效對組織的衝擊。
(十三) 因應環境變化進行風險評鑑,以鑑定安全防護控制措施之成效及鑑別風險之變化與新風險的產生。
七、 風險擁有者的責任
(一) 針對組織鑑別出的風險並進行適當的處理與控管。
(二) 對風險管理的成果負責。
一、 本社風險管理之方法參考國際標準ISO 31000,以及行政院「資通安全責任等級分級辦法」訂定依下列步驟進行風險管理:
(一) 依據行政院「資通安全責任等級分級辦法」鑑別本社自行或委外開發之資通系統,完成資通系統分級及防護基準控制措施查核作業,及執行相對應之防護基準控制措施,其後應每年至少檢視1次資通系統分級妥適性,並將結果紀錄於「資通系統清冊」(詳附件四)、「防護需求等級評估表」(詳附件五)及「資通系統防護基準控制措施查核表」(詳附件六)。
(二) 依本社組織規程足認該業務為核心權責所在者為核心業務,其支持核心業務持續運作必要之資通系統,或依行政院「資通安全責任等級分級辦法」判定其防護需求等級為「高」者,即為本社之核心資通系統。
(三) 每年辦理風險評鑑作業。
二、 資通資產識別
(一) 資通資產保管人應識別其負責之資通資產,並將清查結果彙整於「資產清冊暨風險評鑑表」(A-IS-P0201-001)。
(二) 資通資產僅可使用被許可的功能。
(三) 資通資產僅可在被許可範圍內使用。
三、 資通資產分類
資通資產保管人應針對「資產清冊暨風險評鑑表 (A-IS-P0201-001)」內之資通資產進行分類,共計可分為資訊資產、服務資產、軟體資產、硬體資產及人員資產等五大類。
(一) 資訊資產
以文件形式存在的資通資產,例如:註冊商標/著作權、業務資料、機關/單位資料、資通安全管理系統執行過程紀錄、日誌紀錄、資料庫、備份資料、合約內容、系統文件、操作手冊、教育訓練教材…等。
(二) 服務資產
以委外服務形式存在的資通資產,例如:資通系統開發或維護服務、通訊服務、電力服務、作業環境設施維護服務、勞務服務…等。
(三) 軟體資產
為有效執行所負責的業務流程而建置的軟體作業與應用程式,例如:電腦作業系統軟體、資料庫管理系統、網頁系統、應用系統軟體、程式發展/設計運用工具、測試程式、程式碼管理工具…等。
(四) 硬體資產
為執行所負責的業務所使用之硬體設備,例如:伺服器、桌上型個人電腦、行動裝置、事務機、網路設備、儲存設備及其他相關環境設施與硬體設備…等。
(五) 人員資產
管理、執行或提供支援給所負責的業務之人員,例如:主管人員、系統管理員、資料管理員、機房管理員、稽核人員、網路管理人員、程式開發人員、維護人員、操作人員、外包駐點人員…等。
四、 資通資產價值的鑑別
資通資產保管人應針對「資產清冊暨風險評鑑表」(A-IS-P0201-001)內之資通資產進行機密性、完整性與可用性之分級鑑別,各項目分級數值之總合即為該項資通資產之價值,其鑑別的結果應彙整於「資產清冊暨風險評鑑表」(A-IS-P0201-001)。
(一) 資訊資產
表1:資訊資產價值等級表
價值 | 機密性(C) | 完整性(I) | 可用性(A) |
1 | 不具保密價值之資訊,即使洩漏後也不會使組織安全遭受損害者。 | 資訊遭受未經授權的破壞或修改,對組織無影響,可無須改正者。 | 組織可以接受長時間(5天以上),資產無法使用之情形。 |
2 | 僅限組織內部應用之資訊,但揭露後應不致產生嚴重損害者。 | 資訊遭受未經授權的破壞或修改,不會產生重大影響,無須立即性改善者。 | 組織可以接受中長時間(3-5天),資產無法使用之情形。 |
3 | 具有保密價值之資訊,洩漏後可能使組織安全或形象遭受明顯損害者。 | 小部分資訊遭受未經授權的破壞或修改,可迅速處理改正,對業務產生一定衝擊影響。 | 組織可以接受1-3天,資產無法使用之情形。 |
4 | 在法律上具有保密責任之資訊,洩漏後將會有法律議題者。 | 資訊遭受未經授權的破壞或修改,對業務產生重大影響,但可經由備份資料或Log回復者。 | 組織可以接受短時間(1天),資產無法使用之情形。 |
5 | 具有極高機密價值的資訊,資訊揭露予非授權者將危及組織營運者。 | 資訊遭受未經授權的破壞或修改,對業務產生重大影響,且無法經由備份資料或Log回溯正確資訊。 | 組織可以忍受極短時間(8小時),資產無法使用之情形。 |
(二) 服務資產
表2:服務資產價值等級表
價值 | 機密性(C) | 完整性(I) | 可用性(A) |
1 | 資產無此特性。 | 服務完整性特性不明顯。 | 組織可以接受長時間(5天以上),服務無法使用之情形。 |
2 | 服務資產涵括限組織內部應用之資訊,但揭露後應不致產生嚴重損害者。 | 服務內容部分遭受損害或錯誤,其產生之影響對業務衝擊輕微,可迅速處理改正。 | 組織可以接受中長時間(3-5天),服務無法使用之情形。 |
3 | 服務內容屬機密,洩漏後可能使組織安全或形象遭受明顯損害者。 | 服務內容不正確,將對業務產生一定衝擊影響。 | 組織可以接受1-3天,服務無法使用之情形。 |
4 | 服務內容涉及法律規定的資訊,洩漏後將引起法律責任者。 | 服務內容不正確,將對業務產生影響,且可能導致暫時性業務中斷。 | 組織可以接受短時間(1天,服務無法使用之情形。 |
5 | 服務內容屬機密,資訊揭露予非授權者將危及組織營運者。 | 服務內容不正確,將對業務產生重大影響。 | 組織可以忍受極短時間(8小時),服務無法使用之情形。 |
(三) 軟體資產
表3:軟體資產價值等級表
價值 | 機密性(C) | 完整性(I) | 可用性(A) |
1 | 軟體或相關設定不具保密價值,即使洩漏後也不會使組織安全遭受損害者。 | 軟體或設定遭受未經授權的破壞或變更,對業務衝擊可忽略,可無須改正者。 | 組織可以接受長時間(5天以上),軟體程式無法使用之情形。 |
2 | 軟體或相關設定為僅限組織內部應用之資訊,但揭露後應不致產生嚴重損害者。 | 軟體或設定遭受未經授權的破壞或變更,其產生之影響對業務衝擊輕微,可無須立即性處理者。 | 組織可以接受中長時間(3-5天)軟體程式無法使用之情形。 |
3 | 軟體或相關設定為具有保密價值之資訊,洩漏後可能使組織安全或形象遭受明顯損害者。 | 軟體或設定遭受未經授權的破壞或變更,可迅速處理改正,對業務產生一定衝擊影響。 | 組織可以接受1-3天,軟體程式無法使用之情形。 |
4 | 軟體或相關設定為具有保密價值之資訊,洩漏後將引起組織安全遭受重大的損失者。 | 軟體或設定遭受未經授權的破壞或變更,對業務產生重大影響,但可經由備份資料或Log回復者。 | 組織可以接受短時間(1天),軟體程式無法使用之情形。 |
5 | 軟體或相關設定為具有極高機密價值的資訊,資訊揭露予非授權者將危及組織營運者。 | 軟體或設定遭受未經授權的破壞或變更,對業務產生重大影響,且無法經由備份資料或Log回溯正確資訊。 | 組織可以忍受極短時間(8小時),軟體程式無法使用之情形。 |
(四) 硬體資產
表4:硬體資產價值等級表
價值 | 機密性(C) | 完整性(I) | 可用性(A) |
1 | 資產無此特性。 | 設備或設定遭受未經授權的破壞或竄改,對業務衝擊可忽略,可無須改正者。 | 組織可以接受長時間(5天以上),設備無法使用之情形。 |
2 | 設備設定或內容為僅限組織內部應用之資訊,但揭露後應不致產生嚴重損害者。 | 設備或設定遭受未經授權的破壞或竄改,其產生之影響對業務衝擊輕微,可無須立即性處理者。 | 組織可以接受中長時間(3-5天),設備無法使用之情形。 |
3 | 設備設定或內容為具有保密價值之資訊,洩漏後可能使組織安全或形象遭受明顯損害者。 | 設備或設定遭受未經授權的破壞或竄改,可迅速處理改正,對業務產生一定衝擊影響。 | 組織可以接受1-3天內,設備無法使用之情形。 |
4 | 設備設定或內容為具有保密價值之資訊,洩漏後將引起組織安全遭受重大的損失者。 | 設備或設定遭受未經授權的破壞或竄改,將對業務產生重大影響,但可經由備份資料或Log回復者。 | 組織可以接受短時間(1天),設備無法使用之情形。 |
5 | 設備設定或內容為具有極高機密價值的資訊,資訊揭露予非授權者將危及組織營運者。 | 設備或設定遭受未經授權的破壞或竄改,將對業務產生重大影響,且無法經由備份資料或Log回溯正確資訊。 | 組織可以忍受極短時間(8小時),設備無法使用之情形。 |
(五) 人員資產
表5:人員資產價值等級表
價值 | 機密性(C) | 完整性(I) | 可用性(A) |
1 | 人員負責之工作未涉及機密/敏感資訊者。 | 資產無此特性。 | 組織可以接受長時間(5天以上),人員無法到班工作之情形。 |
2 | 人員作業過程中會使用機密/敏感資訊,洩漏後可能使組織安全或形象遭受明顯損害者。 | 人員技能不成熟或職務代理/交接不清楚,其產生之影響對業務衝擊輕微,可迅速處理改正。 | 組織可以接受中長時間(3-5天),人員無法到班工作之情形。 |
3 | 人員作業過程中會使用機密/敏感資訊,洩漏後可能使組織安全或形象遭受明顯損害,且有權限下載大批資料者。 | 人員技能不成熟或職務代理/交接不清楚,將對業務產生明顯衝擊影響。 | 組織可以接受1-3天,人員無法到班工作之情形。 |
4 | 人員負責組織機密資訊之管理工作,洩漏後將引起組織安全遭受重大的損失者。 | 人員技能不成熟或職務代理/交接不清楚,將對業務產生重大影響,且可能導致暫時性業務中斷。 | 組織可以接受短時間(1天),人員無法到班工作之情形。 |
5 | 人員負責機密資訊之管理工作,資訊揭露予非授權者將危及組織營運者。 | 人員技能不成熟或職務代理/交接不清楚,將對業務產生重大影響,且可能導致長時間嚴重的業務中斷。 | 組織可以忍受極短時間(8個鐘頭內),人員無法到班工作之情形。 |
(六) 資通資產價值與價值等級
資通資產價值為機密性價值、完整性價值、可用性價值之總合,參考「行政院資通安全會報技術服務中心資通系統風險評鑑參考指引(V4.1)」,資通資產價值等級評量準則如表6。
表6:資通資產價值等級評量準則
資通資產價值等級 | 資通資產價值 |
1 | 3~4 |
2 | 5~7 |
3 | 8~10 |
4 | 11~13 |
5 | 14~15 |
五、 威脅/脆弱點鑑別
針對各項資通資產或流程,列出可能的威脅與脆弱點,例如:列出會被威脅的資通資產或流程;造成威脅的因素;找出威脅的相關性;重要或嚴重程度;發生的脆弱點;列出資通資產或流程本身的安全問題;列出資通資產或流程缺少的安全措施…等。
參照國際標準ISO 27005威脅/脆弱點範例資料及各大資通系統可能面臨的威脅/脆弱點,依各資通資產類別或專案流程列出一般可能面對的威脅/脆弱點因子,本社風險評鑑時可參考此威脅/脆弱點之風險因子資料庫進行風險分析。若因技術或法規等外在因素變遷,於風險因子資料庫中無適當威脅/脆弱點之組合時,可自行增加威脅/脆弱點組合作為因應。
六、 風險鑑別
依據威脅/脆弱點鑑別結果,再針對各項威脅/脆弱點,分析其對資通資產或流程所可能造成的衝擊及可能性,例如:列出當脆弱點被威脅利用而對資通資產、執行或組織營運可能造成的衝擊;列出當脆弱點被威脅利用而對資通資產、執行或組織營運造成傷害的可能性,風險鑑別等級表如表7。
表7:風險鑑別等級表
等級 | 風險衝擊程度 | 可能性等級 |
1 | 無傷害 對本社無影響
|
|
2 | 輕微傷害 該資產的風險對本社之衝擊影響可接受。 本社可以忍受3天以上的服務或資產中斷停止。 |
|
3 | 低度傷害 該資產的風險對本社造成一定程度的傷害。 本社可以忍受1-3天的服務或資產中斷停止。 |
|
4 | 中度傷害 該資產的風險對本社造成重大衝擊。 本社可以忍受1天內的服務或資產中斷停止。 |
|
5 | 重大災難 該資產的風險對本社影響相當嚴重,必須承擔法律責任。 本社幾乎無法忍受任何中斷之情形,或必須立即性的回復(例如:8小時內)。 |
|
七、 資通資產風險值計算
風險值的計算由資通資產價值等級、風險衝擊程度及可能性等級三個因子構成,以下為其計算方式,風險值的範圍為1~125。
風險值=資通資產價值等級*風險衝擊程度*可能性等級
範例:資通資產價值等級為5,風險衝擊程度為3,可能性等級為3,計算出風險值為5*3*3=45。
風險評鑑結果,應彙整於「資產清冊暨風險評鑑表(A-IS-P0201-001)」。
八、 風險排序
依據資通資產或專案風險計算的結果由高而低排列風險次序,高風險之資通資產應受到優先保護,高風險之專案威脅應受到優先處理。
九、 決定可接受風險值
根據組織本身之狀況決定可接受風險值,並針對風險值超過可接受風險值之資通資產或專案所面臨的威脅與脆弱點提出對策與控制。
十、 控制目標,控制措施和對策的鑑別
風險評估結果依據本社資通安全政策與目標進行鑑別,製作「風險處理計畫」(詳附件三),並彙整成「適用性聲明書」(A-IS-P0206)。
十一、 監控和審查
資通資產維護和對資通資產價值鑑別由資通資產保管人負責,應每年至少審查1次,必要時配合營運流程或架構變更,進行相關資通資產的風險評鑑。
風險評鑑結果應更新於「資產清冊暨風險評鑑表」(A-IS-P0201-001)。
一、 資通資產之機密等級
本社硬體設施、軟體、資料文件等資通資產,依據相關法規與業務需要,將資通資產之機密等級區分為普通、密、機密3級,其定義如下:
(一) 普通級
該資通資產無特殊之機密性要求,可對外公開之資訊。例如:全球資訊之公開資訊、出版刊物…等類似性質資料。
(二) 密級
該資通資產屬敏感資訊,僅供組織內部人員或被授權之外部單位使用。例如:網路架構圖、IP清單、應用系統登入帳號密碼、防火牆規則、資安健診報告…等資通安全管理系統執行之相關紀錄…等類似性質資料。
(三) 機密級
該資通資產為本社、主管機關或法律所規範機密級資訊。例如:機密級以上公文、不對外銷售之內部研發報告…等類似性質資料。
二、 資通資產之管理
(一) 一般規定
1. 機密級資訊於傳送及儲存時均需標示安全等級(儲存於電腦主機內之資訊除外),禁止複製、攜出。
2. 可攜式儲存媒體(如:磁帶、磁碟片、隨身碟、外接式硬碟、光碟…等)若有儲存密級資訊時,需保存於加鎖之櫥櫃內。
3. 共用或無專人值守之資通設備均應放置於有門禁之管制區域或有設有專人定期查核之區域。
(1) 電腦(包含桌上型個人電腦、可攜式電腦)攜出外部使用時,應啟動電腦病毒防護系統,非必要應避免連結網路。
(2) 電腦(含可攜式電腦)借用攜出人員應負保管之責,妥善使用及保管電腦。
(3) 電腦(含可攜式電腦)攜出使用不得任意安裝或下載軟體使用,應遵循本社相關資通安全管理規定。
(4) 電腦(含可攜式電腦)攜(借)出使用完畢歸還時,資通資產保管人應進行電腦病毒掃描檢查,以降低本社遭受攻擊的風險。
(二) 文件管制規定
1. 密級文件應由文件管理者妥為保管,避免遺失、毀損,非經單位主管同意不得擅自攜出、影印及借閱。
2. 密級資訊避免明文資料外洩,例如:以電子郵件傳送時,須加密處理。
設備及媒體新增、異動、報廢或改為其他用途時,應填寫「設備異動申請單」(A-IS-P0201-002),資通資產保管人與業務承辦人應檢查其內容是否包含密級資訊,及軟體授權之合法性,務必確認其內容已被適當的處理後(格式化、刪除內容或實體銷毀),方可移交至相關人員做後續處理,並留存相關執行紀錄。
(四) 儲存媒體傳輸與運送安全
儲存密級資訊之儲存媒體如需攜出資訊機房時,應填寫「機房服務工作單」(D-IS-P0202-001)敘明原因,經機房管理人員或資通資產保管人同意後始得攜出,攜出之儲存媒體內容應採取加密防護,使用完畢後應歸還並銷毀密級資訊。
一、 附件一:資通資產清冊
二、 附件二:風險評鑑報告
三、 附件三:風險處理計畫
四、 附件四:資通系統清冊
五、 附件五:防護需求等級評估表
六、 附件六:資通系統防護基準控制措施查核表
一、 適用性聲明書(A-IS-P0206)
二、 資產清冊暨風險評鑑表(A-IS-P0201-001)
三、 設備異動申請單(A-IS-P0201-002)
四、 機房服務工作單(D-IS-P0202-001)