Embedded Files
ISO 27005:2011 建議「高階風險評鑑法」可採「企業衝擊分析(BIA)」,而「資通安全責任等級分級辦法」附表九「資通系統防護需求分級原則」對於安全等級設定的概念就類似於ISO 31010之企業衝擊分析,是實務上相當可行的方法。而在技服中心發布的「資通系統風險評鑑參考指引v4.1」也建議機關依據資通安全責任等級分級辦法之規定,做為高階風險評鑑方法,分別就機密性、完整性、可用性、法律遵循性等構面評估資通系統防護需求分級,直接以該規定之分級結果,做為該資通系統的風險評鑑等級,然後進行風險處理可參考技服中心發布的「安全控制措施參考指引v4.0」所建議之安全控制措施,選擇資通系統普/中/高安全等級應實作之安全控制基準。
ISO 27005:2011 建議「高階風險評鑑法」可採「企業衝擊分析(BIA)」,而「資通安全責任等級分級辦法」附表九「資通系統防護需求分級原則」對於安全等級設定的概念就類似於ISO 31010之企業衝擊分析,是實務上相當可行的方法。而在技服中心發布的「資通系統風險評鑑參考指引v4.1」也建議機關依據資通安全責任等級分級辦法之規定,做為高階風險評鑑方法,分別就機密性、完整性、可用性、法律遵循性等構面評估資通系統防護需求分級,直接以該規定之分級結果,做為該資通系統的風險評鑑等級,然後進行風險處理可參考技服中心發布的「安全控制措施參考指引v4.0」所建議之安全控制措施,選擇資通系統普/中/高安全等級應實作之安全控制基準。
實際上,在教育部稽核計畫的查檢表項次8.1即要求查檢機關是否針對自行或委外開發之資通系統,依資通系統防護需求分級原則完成資通系統分級,且依資通系統防護基準執行控制措施。也就是說,依據「資通安全責任等級分級辦法」附表九「資通系統防護需求分級原則」對資通系統進行高階風險評鑑,還要再依據附表十「資通系統防護基準」對於普/中/高安全等級之控制措施逐項確認施行,才算完成風險處理。「教育機構資安驗證中心」基於協助教育體系加速將資安管理制度落實至全機關範圍,著手設計下列「資通系統安全等級評估表」及「高階風險評鑑相關程序參考條文」,提供各界可依循的高階風險評鑑執行方案。
實際上,在教育部稽核計畫的查檢表項次8.1即要求查檢機關是否針對自行或委外開發之資通系統,依資通系統防護需求分級原則完成資通系統分級,且依資通系統防護基準執行控制措施。也就是說,依據「資通安全責任等級分級辦法」附表九「資通系統防護需求分級原則」對資通系統進行高階風險評鑑,還要再依據附表十「資通系統防護基準」對於普/中/高安全等級之控制措施逐項確認施行,才算完成風險處理。「教育機構資安驗證中心」基於協助教育體系加速將資安管理制度落實至全機關範圍,著手設計下列「資通系統安全等級評估表」及「高階風險評鑑相關程序參考條文」,提供各界可依循的高階風險評鑑執行方案。
22:45之前
資安專責人員先行建立副本
資安專責人員先行建立副本
將這個Google試算表「資通系統安全等級評估表」(最新版本:依防護基準110.08.23修正 ) 建立副本到你自己的雲端硬碟
個人帳號下的副本
個人帳號下的副本
建立的副本隨即被開啟,可以從右上角個人圖示確認是建立在你的帳號之下,而檔名最後多了"副本"字樣。
資安專責人員應先處理的是「文件制修訂記錄」工作表,記錄每個版次的修訂內容摘要。
資安專責人員應先將這個檢核表納入單位的第四階文件,加以命名並賦予文件編號、安全等級、版本編號,並且在每個工作表的第1列填入正確的頁首資料。
資安專責人員也要先確定J11格的資產類別是否符合自己機關的定義,目前這格的選項是軟體(SW)、通訊(CM)、硬體(HW)。若要變更這格的選項內容,就要進入資料驗證功能,對於項目清單的文字加以修訂。
完成之後,再公告給單位內的系統開發人員取得使用。
系統管理人員填寫
系統管理人員填寫
系統管理人員取得資安專責人員完成命名、賦予編號的檢核表網址,一樣是自己再另建副本進行填寫。
決定系統分級
決定系統分級
系統管理人員以自己另建的副本進行填寫, 首先應該在「風險評鑑(系統安全等級評估)」工作表的第3列勾選系統分級是普/中/高的其中一個核取方塊,這裡一旦勾選之後,其他構面1~7工作表之中應為更高等級才需要做的項目自動設定為"不適用" (因為該項目的C欄有設定條件公式)。另外,第4列若勾選非委外開發,安控構面5-6-1項目會自動設定為"不適用" 。而第4列若勾選108年資安法實施前開發,安控構面5全部項目都會自動設定為"不適用" (也就是108年前開發的系統尚無SSDLC要求)。
至於在「風險評鑑(系統安全等級評估)」工作表的第3列勾選系統分級是普/中/高的哪個核取方塊,必須依據第15~18列填寫的影響評估內容來決定,分別填寫機密性、完整性、可用性、法遵性的影響程度(每一列都是填普/中/高其中一格,而其他兩格內容就自行清空)。填答機密性/完整性/可用性/法遵性影響程度之後,L3格數值(4,8,12)則取決於其中為最大值的構面而定。
參閱「資通系統衝擊分析原則(參考用)」工作表的說明(引用技服中心發布的「資通系統風險評鑑參考指引v4.1」範例),更具體參考如何就機密性、完整性、可用性、法律遵循性等構面評估資通系統防護需求分級完成高階風險評鑑。
填寫檢核項目
填寫檢核項目
構面1~7的工作表都要填寫,系統管理人員就系統是否符合資通系統防護基準執行控制措施的狀況在E欄選擇是"符合"、"部分符合"、"不符合"、"不適用",擇定後的格子底色就會分別變成綠/紫/紅/灰來加以區隔。
至於執行方式的說明或佐證則記錄於F欄,而該項目的實作指引可以參考G欄的實施方式參考建議。
檢核表除了防護基準既有項目,還有在構面5工作表特別將漏洞控制措施加入OWASP TOP 10及CWE/SANS TOP 25項目,希望系統管理人員都能逐一確認是否已經避免這些常見漏洞了。
資安專責人員應持續關注OWASP及CWE/SANS是否對於常見漏洞項目有所更新,再自行調整這些項目。
完成評估之後
完成評估之後
完成「風險評鑑(系統安全等級評估)」及構面1~7的工作表所有內容填寫,稍後要列印出來由系統管理人員及其主管蓋章。特別注意承辦人蓋章的地方,若其他構面1~7工作表的檢核項目是由委外開發廠商填寫的,最好也該廠商專案經理一併蓋章以示負責。
列印
列印
系統管理人員「風險評鑑(系統安全等級評估)」及構面1~7的工作表所有內容填寫,就列印出來由系統管理人員及其主管蓋章,確認完成該系統的高階風險評鑑程序。
列印設定步驟,一開始先選擇要列印「工作簿」,但所選範圍取消勾選「文件制修訂記錄」、「資通系統衝擊分析原則(參考用)」工作表,然後按下「套用」。
列印選擇以「橫向」頁面輸出比較合宜,也建議在「頁首和頁尾」勾選「頁碼」,然後按「下一步」進行列印。
列印前最後預覽看看是否無誤,再按下「列印」。列印出來由系統管理人員及其主管蓋章,確認完成該系統的高階風險評鑑程序,妥善保留紙本記錄可供查核。
Page updated
Report abuse