(1)各資通系統管理者應填具「資通系統安全等級評估表」,進行高階風險評鑑作業。
(2)「是否共同性系統」欄位,以【Y】或【N】載明。所謂共同性系統,包含共用性系統與共通性系統,共用性系統指單一機關主責系統開發與資料管理,其餘機關僅涉及使用操作;共通性系統指單一機關主責系統開發與規格制訂,其餘機關除使用操作外,資料主要儲存於使用機關。
依據業務屬性,進行業務屬性分類,將業務流程分成下列類別:
(1)行政類:指機關內部輔助單位之業務,惟若輔助單位工作與機關職掌相同或兼具業務單位性質,機關得視情形調整其類別。
(2)業務類:指機關內部業務單位之業務。
被評估為「高」風險等級或為核心資通系統,需再進行「詳細風險評鑑作業」,以增加風險評鑑的深度與詳細程度。
(1)資通系統風險等級由系統管理者參照「資通系統衝擊分析原則」,依序由「機密性」、「完整性」、「可用性」及「法律遵循性」四大影響構面,分別考量資通系統發生資安事件時,在各個影響構面可能造成之衝擊與後果嚴重程度,據以評估該影響構面之安全等級,將評估後填入系統防護需求分級。
(2)並依機密性/完整性/可用性/法遵性影響程度之後取最大值,訂為該資通系統資產價值。
(3)在完成四大影響構面風險等級評估後,取其四大影響構面風險等級最高者填入評估表之風險等級。
(1)影響構面「機密性」
資通系統發生資安事件時,可能造成資料外洩或遭竄改等情事,導致資料機密性受到損害。
(2)影響構面「完整性」
資通系統若未有效執行資安防護作為,可能會造成完整性遭受破壞。
(3)影響構面「可用性」
資通系統目的在輔助機關提升業務效能與服務品質,已成為機關業務運作不可或缺的一環,因此,系統故障(包含無法使用、異常運作等情形)可能導致業務執行效能降低,甚至業務中斷。評估本影響構面安全等級時,應考量資通系統使用之可容許中斷時間、服務受影響程度等。
(4)影響構面「法律遵循性」
危害程度評估係基於機關負有遵守法律規章之責任與義務下,如發生違法情事時,機關將面臨衝擊,本影響構面衝擊後果之嚴重程度,取決於法令規定。
分別就機密性、完整性、可用性、法律遵循性等構面評估資通系統防護需求分級之風險等級(普、中、高)之資通系統,由資通系統管理者填具「資通系統安全等級評估表」構面1至7表格,針對相對應的適當的安全控制措施進行風險處理。
(1)系統管理者須將「資通系統安全等級評估表」評鑑結果提交給單位主管核章複核,以確認「高階風險評鑑作業」的結果。
(2)評鑑結果有未符合該資通系統等級所應實施防護基準項目,應納入「風險處理計畫」之改善清單,並呈報「資通系統安全等級評估表」至「資安暨個資執行小組」備查。
(3)被評估為「高」風險等級或支援「核心業務」之資通系統,需要再進行「詳細風險評鑑作業」。