5.2.3.2.1. 風險識別-資產識別
(1) 資訊資產管理者須參考「資訊資產管理辦法」完成資產盤點並填寫「資訊資產清冊」,由資訊資產管理者依「資訊資產管理辦法」資產分類原則,鑑別7大資訊資產。
(2) 同性質且列出數量、存在相同的實體/邏輯環境、資產價值相同、遭遇威脅弱點相同者可加以「群組化」,填列一筆記錄於「資訊資產清冊」,將每一群組進行資訊安全威脅與脆弱點識別。
5.2.3.2.2. 風險識別-威脅與脆弱性識別
(1) 針對各項資訊資產分別鑑別其在使用或處理過程中,各項可能的威脅運用該資訊資產之脆弱性,對「機密性(C)」、「完整性(I)」、「可用性(A)」及「個資機敏(P)」造成之衝擊。
(2) 威脅與脆弱性依「定性」方式進行識別,可參閱「威脅弱點影響判定」,鑑別出不同程度的衝擊與損失。
5.2.3.2.3. 風險識別-現有控制措施識別
各項資訊資產列表,依據ISO 27001資安管理之相關的控制目標及控制措施進行鑑別,亦可就其他如個人資料管理規範之相關控制措施進行鑑別。
5.2.3.2.4. 風險分析-後果鑑別
(1) 在現有控制措施識別完成後,考量在現有控制措施實施之下,探討仍可能發生的風險。針對「機密性(C)」、「完整性(I)」、「可用性(A)」及「個資機敏(P)」四構面可能造成的影響,參照下列四構面評分表進行評定等級值(0~3級)。
機密性評分:
完整性評分:
可用性評分:
個資機敏權重評分:
(2) 將每一項資訊資產的「機密性(C)」、「完整性(I)」、「可用性(A)」及「個資機敏(P)」等級值相加,即可得到該資訊資產價值。
資訊資產價值=機密性(C)+完整性(I)+可用性(A)+個資機敏(P)
(3) 資訊資產管理者應將資訊資產價值,記錄於「資訊資產清冊」及「資訊資產威脅及弱點評估表」。
5.2.3.2.5. 風險分析-評鑑事件可能性
(1) 由資訊資產管理者依據各類資訊資產可能發生的「威脅」與「弱點」進行評估,「資訊資產清冊」的每一項資訊資產都必須逐一檢核「資訊資產威脅及弱點評估表」的各項威脅發生可能性、脆弱性利用難易度。得出所有項目的 (威脅發生可能性 × 脆弱性利用難易度) 數值後,取最大值。
威脅評分等級及說明:
脆弱性評分等級及說明:
5.2.3.2.6. 風險分析-決定風險等級
(1) 為確保各項資訊資產均受到最妥適之處理,需再將資訊資產價值轉換為「資訊資產風險值」,計算該項資訊資產之資訊資產風險值方法如下:
資訊資產風險值=資訊資產價值 × 威脅發生可能性 × 脆弱性利用難易度
(2) 當年度發生的資訊安全事件納入評分進行滾動式檢討調升風險值,此為「風險值積分」,資安事件評等表如下表所示:
(3) 執行完以上流程後,並將「風險值積分」加入後,計算總風險值方法如下:
總風險值=資訊資產風險值+風險值積分
(4) 風險等級對照:
總風險值區間範圍為1~30,風險等級為「低」。
總風險值區間範圍為31~80,風險等級為「中」。
總風險值區間範圍為81以上,風險等級為「高」。
5.2.3.2.7. 風險評估-風險可接受等級
依據風險接受準則,原則以中、低風險為「可接受風險等級」,依據組織業務特性及可運用資源決定是否調整當年度可接受風險值由「資安暨個資執行小組」召集人核定。
5.2.3.2.8. 風險評鑑彙整及處理
(1) 資訊資產風險值高於「可接受風險等級」項目列入「詳細風險評鑑彙整表」,應各單位內統整一份,並納入「風險處理計畫」之改善清單。
(2) 「風險處理計畫」可依據ISO 27001選擇適當之控管措施或設計新控制措施以達到確實管控風險,說明風險控管措施之執行辦法。
(3) 「風險處理計畫」中各項風險控管措施完成後,於下個週期檢核「資訊資產威脅及弱點評估表」應確認相關改善措施的有效性。
5.2.3.2.9. 風險評鑑複核
(1) 資訊資產管理者須負責將「資訊資產清冊」、「資訊資產威脅及弱點評估表」及「詳細風險評鑑彙整表」電子檔案妥善保存二年備查。
(2) 資訊資產管理者應將「資訊資產清冊」結果提交至單位主管複核。
(3) 資訊資產管理者應將超過「可接受風險等級」之「資訊資產威脅及弱點評估表」結果提交至單位主管複核。
(4) 「詳細風險評鑑彙整表」為各單位內統整一份提交至單位主管複核,並檢附此表中每一項「資訊資產威脅及弱點評估表」送交至「資安暨個資執行小組」備查。
5.2.3.2.10. 評估風險處理計畫執行成效
「風險處理計畫」提交至「資安暨個資執行小組」,針對進行風險處理之資訊資產實施風險重新評鑑,並記錄於「殘餘風險評鑑工作表」,以確認風險處理計畫之執行達到風險減緩預期效益之目標。