22:45之前
將這個Google試算表「資通系統安全等級評估表」(最新版本:依防護基準110.08.23修正 ) 建立副本到你自己的雲端硬碟
建立的副本隨即被開啟,可以從右上角個人圖示確認是建立在你的帳號之下,而檔名最後多了"副本"字樣。
資安專責人員應先處理的是「文件制修訂記錄」工作表,記錄每個版次的修訂內容摘要。
資安專責人員應先將這個檢核表納入單位的第四階文件,加以命名並賦予文件編號、安全等級、版本編號,並且在每個工作表的第1列填入正確的頁首資料。
資安專責人員也要先確定J11格的資產類別是否符合自己機關的定義,目前這格的選項是軟體(SW)、通訊(CM)、硬體(HW)。若要變更這格的選項內容,就要進入資料驗證功能,對於項目清單的文字加以修訂。
完成之後,再公告給單位內的系統開發人員取得使用。
系統管理人員取得資安專責人員完成命名、賦予編號的檢核表網址,一樣是自己再另建副本進行填寫。
系統管理人員以自己另建的副本進行填寫, 首先應該在「風險評鑑(系統安全等級評估)」工作表的第3列勾選系統分級是普/中/高的其中一個核取方塊,這裡一旦勾選之後,其他構面1~7工作表之中應為更高等級才需要做的項目自動設定為"不適用" (因為該項目的C欄有設定條件公式)。另外,第4列若勾選非委外開發,安控構面5-6-1項目會自動設定為"不適用" 。而第4列若勾選108年資安法實施前開發,安控構面5全部項目都會自動設定為"不適用" (也就是108年前開發的系統尚無SSDLC要求)。
至於在「風險評鑑(系統安全等級評估)」工作表的第3列勾選系統分級是普/中/高的哪個核取方塊,必須依據第15~18列填寫的影響評估內容來決定,分別填寫機密性、完整性、可用性、法遵性的影響程度(每一列都是填普/中/高其中一格,而其他兩格內容就自行清空)。填答機密性/完整性/可用性/法遵性影響程度之後,L3格數值(4,8,12)則取決於其中為最大值的構面而定。
參閱「資通系統衝擊分析原則(參考用)」工作表的說明(引用技服中心發布的「資通系統風險評鑑參考指引v4.1」範例),更具體參考如何就機密性、完整性、可用性、法律遵循性等構面評估資通系統防護需求分級完成高階風險評鑑。
構面1~7的工作表都要填寫,系統管理人員就系統是否符合資通系統防護基準執行控制措施的狀況在E欄選擇是"符合"、"部分符合"、"不符合"、"不適用",擇定後的格子底色就會分別變成綠/紫/紅/灰來加以區隔。
至於執行方式的說明或佐證則記錄於F欄,而該項目的實作指引可以參考G欄的實施方式參考建議。
檢核表除了防護基準既有項目,還有在構面5工作表特別將漏洞控制措施加入OWASP TOP 10及CWE/SANS TOP 25項目,希望系統管理人員都能逐一確認是否已經避免這些常見漏洞了。
資安專責人員應持續關注OWASP及CWE/SANS是否對於常見漏洞項目有所更新,再自行調整這些項目。
完成「風險評鑑(系統安全等級評估)」及構面1~7的工作表所有內容填寫,稍後要列印出來由系統管理人員及其主管蓋章。特別注意承辦人蓋章的地方,若其他構面1~7工作表的檢核項目是由委外開發廠商填寫的,最好也該廠商專案經理一併蓋章以示負責。
系統管理人員「風險評鑑(系統安全等級評估)」及構面1~7的工作表所有內容填寫,就列印出來由系統管理人員及其主管蓋章,確認完成該系統的高階風險評鑑程序。
列印設定步驟,一開始先選擇要列印「工作簿」,但所選範圍取消勾選「文件制修訂記錄」、「資通系統衝擊分析原則(參考用)」工作表,然後按下「套用」。
列印選擇以「橫向」頁面輸出比較合宜,也建議在「頁首和頁尾」勾選「頁碼」,然後按「下一步」進行列印。
列印前最後預覽看看是否無誤,再按下「列印」。列印出來由系統管理人員及其主管蓋章,確認完成該系統的高階風險評鑑程序,妥善保留紙本記錄可供查核。