資訊資產詳細風險評鑑

「教育機構資安驗證中心」基於協助教育體系加速將資安管理制度落實至全機關範圍，重新探究現有風險評鑑的普遍問題，著手設計下列「資訊資產清冊」、「資訊資產威脅及弱點評估表」、「詳細風險評鑑彙整表」及「詳細風險評鑑相關程序參考條文」，提供各界可依循的詳細風險評鑑執行方案。

圖表 - 詳細風險評鑑、風險彙整

22:45之後

資安專責人員先行建立副本

將這個Google試算表「資訊資產清冊」建立副本到你自己的雲端硬碟

個人帳號下的副本

建立的副本隨即被開啟，可以從右上角個人圖示確認是建立在你的帳號之下，而檔名最後多了"副本"字樣。

資安專責人員應先處理的是「文件制修訂記錄」工作表，記錄每個版次的修訂內容摘要。

資安專責人員應先將這個清冊納入單位的第四階文件，加以命名並賦予文件編號、安全等級、版本編號。

資安專責人員也要先確定A欄的資產類別是否符合自己機關的定義，目前這格的選項是「人員(PE),文件(DC),軟體(SW),通訊(CM),硬體(HW),資料(DA),環境(EV)」。若要變更這格的選項內容，就要進入資料驗證功能，對於項目清單的文字加以修訂。(不過，若自己機關不是如此定義資訊資產類別，後續要再引用「資訊資產威脅及弱點評估表」就會有蠻多需要自行調整的地方，是否使用我們設計的這個工具就要再斟酌囉。)

資安專責人員還要從「資產價值、威脅弱點影響判定」工作表，找到另一個進行威脅及弱點評估時會用到的Google試算表「威脅及弱點評估表」，此表超連結 在右圖第一個畫面第8列的左藍框標示處。

點選該超連結，將「威脅及弱點評估表」建立副本到你自己的雲端硬碟，而且要從雲端硬碟設定其共用權限讓知道連結的任何人都可以檢視，然後將右圖第一個畫面第8列的左藍框標示處的超連結 編輯換成連結到自己的版本。

下個步驟再介紹如何將調整該副本成自己機關的版本。

你建立的「威脅及弱點評估表」副本隨即被開啟，如右圖第二個畫面網址列上的黃框處就是該試算表檔案ID(兩個斜線之間)，將ID複製起來，回到上個步驟所說的資訊資產清冊裡面的「資產價值、威脅弱點影響判定」工作表，將上個步驟第一個畫面第8列的右藍框標示處的K8格 置換成你的試算表檔案ID，好讓後續程式執行時可以引用自己調整好的版本。

同樣應先將「威脅及弱點評估表」納入單位的第四階文件，如右圖第三個畫面所示，加以命名並賦予文件編號、安全等級、版本編號，並且在7個資訊資產工作表的第1列填入正確的頁首資料。

還有最後一個工作表是「詳細風險評鑑彙整表」，同樣應先將這個彙整表納入單位的第四階文件，如右圖第四個畫面所示，加以命名並賦予文件編號、安全等級、版本編號，最後還要再其複製成一個新試算表(以備最後在執行各單位內統整一份彙整表程序時使用，也是要記得設定其共用權限讓知道連結的任何人都可以檢視。)

回到「資訊資產清冊」這個Google試算表，資安專責人員還要確認「資產價值、威脅弱點影響判定」工作表的A56格之高風險等級門檻值，預設為81是資安驗證中心在設計此詳細風險評鑑方法所建議的門檻值(詳見風險等級對照)。

這個對照表不只是讓使用者查看，也與後續產出「詳細風險評鑑彙整表」執行步驟有關，因為最後只有大於等於高風險等級門檻值的資訊資產需要彙整起來，屆時在執行該步驟時會跳出訊息提醒該門檻值。所以，如果自己機關要另訂門檻值，就應該異動A56格的內容。

完成之後，就可以公告自己的版本給機關內的所有資訊資產管理人員取得使用，進行記錄「資訊資產清冊」及逐一評估至最後產出「詳細風險評鑑彙整表」。

資訊資產管理者填寫資訊資產清冊

資訊資產管理者取得資安專責人員完成命名、賦予編號的清冊網址，一樣是自己再另建副本進行填寫。

填寫資訊資產基本資料

資訊資產管理者以自己另建的副本進行填寫，首先應該在「資訊資產清冊」工作表如左圖紅框處輸入各項資訊資產基本資料。

每一項資訊資產都要評估機密性(C)、完整性(I)、可用性(A)、個資機敏(P)四構面可能造成的影響，參照「資產價值、威脅弱點影響判定」工作表中的說明進行評定等級值（0~3級）。(詳見後果鑑別程序)

資訊資產管理者首次進行威脅及弱點評估

開始執行客製程式

在選單最右邊的「資安表單自訂功能」選項，是由程式產生的自訂選單(剛開啟Google試算表要等數秒鐘後才會出現)，從這裡選擇要執行的客製功能。

首先，請務必點選執行「初執行需要授權 - 創用CC授權(姓名標示)」這項功能，目的是在首次執行客製功能前會自動跳出要求你完成授權同意程序。

再次執行[創用CC授權]

完成前述的授權同意程序後，並沒有緊接著執行「初執行需要授權 - 創用CC授權(姓名標示)」這項功能，而是要再點選執行一次，確認可正常執行，如此代表其他功能也都能正常執行了。

記得關心資安風險

點選執行「確認 [此試算表共用設定限制及使用者] 」這項功能，呈現Google試算表目前存取權限，也會強制將其共用設定限制，以避免資料外洩。如此進行資訊安全風險評估，採行相符安全控制措施，可確保降低資安風險。

建立威脅及弱點評估表

點選執行「表格套疊[資訊資產威脅及弱點評估表]」這項功能，這項功能會找出清冊中尚未建立出威脅及弱點評估表的資訊資產，程式逐一掃瞄每項資訊資產記錄，建立成一個一個工作表。若已存在的則不會建立(想要重新建立的工作表就必須先刪除已存在的那張工作表)，已存在的評估表會更新資訊資產基本資料及K3格的評估日期(請在此輸入要更新為哪個日期? 若空白就由程式將K3格改為今天日期)

執行此步驟時，程式是讀取「資產價值、威脅弱點影響判定」工作表之K8格的那個試算表ID，應該是引用資安專責人員調整好的版本(而且設定其共用權限讓知道連結的任何人都可以檢視 )，讓這個步驟的程式能從該版本讀取各類型空白的「資訊資產威脅及弱點評估表」複製到這裡來。

評估表之基本資料自動帶入

每一個「資訊資產威脅及弱點評估表」的最上方基本資料，都是由程式自動將「資訊資產清冊」填好的資料帶入，並且將評估日期訂為今日。

請注意，這些自動帶入的資料，不要在此手動編輯 (會跳出警告訊息 )，因為這樣會造成與「資訊資產清冊」的資料不一致。若真的需要異動這些資料，請回到「資訊資產清冊」工作表進行編輯，然後再執行後續介紹的資訊資產管理者持續進行威脅及弱點評估之操作程序。

評估表之現有控制措施識別

各項資訊資產，應依據ISO 27001資安管理之相關的控制目標及控制措施進行鑑別，亦可就其他如個人資料管理規範之相關控制措施進行鑑別。(詳見現有控制措施識別程序)

我們的設計已經將各類資訊資產的相關控制措施整理在工作表裡面，若資訊資產管理者確定有執行某項控制措施就在L欄勾選起來，這樣該項控制措施原本是刪除線灰字就會變成正常的文字，如此設計方便導引識別已採取哪些控制措施。

不過，不限於已列入的控制措施，仍可就實際現況評估自行增列其他已採取的ISO 27001或教育體系資通安全暨個人資料管理規範控制項目。舉例若打算增加2項控制措施，就先選取既有最後2列按滑鼠右鍵執行向下插入2列，就可以看到插入了空白2列。然後選取既有1列按滑鼠右鍵執行複製，再選取空白的2列並直接按Ctrl-V貼上，就能讓新增2列有同樣的勾選框及連動文字樣式呈現，再自行更改新增項目的文字內容即可。

最後，在識別現有控制措施表格的最後一列，以更具體的文字描述現有控制措施。

評估表之評鑑事件可能性

每一項資訊資產都必須逐一檢核可能發生的「威脅」與「弱點」，進行評估各項威脅發生可能性、脆弱性利用難易度。(詳見評鑑事件可能性程序)

參照「資產價值、威脅弱點影響判定」工作表中的說明進行評定等級值勾選，試算表已設定好公式自動計算所有項目的 (威脅發生可能性 × 脆弱性利用難易度) 數值，最後也會自動判斷最大值。

評估表之風險(積分)值確定

當年度發生的資訊安全事件納入評分進行滾動式檢討調升風險值，此為「風險值積分」。(詳見決定風險等級程序)

參照「資產價值、威脅弱點影響判定」工作表中的說明進行評定積分值，若該項資訊資產在當年度並未發生資安事件就不用填寫。完成「風險值積分」評定後，試算表已設定好公式自動計算總風險值。

需要整批刪除評估表時

或許你在資訊資產清冊建立一些測試資料後就緊接著測試建立威脅及弱點評估表，產生出一堆都只是測試資料的工作表，要再一一刪除有點煩。這時，點選執行「刪除全部 [資訊資產威脅及弱點評估表]」這項功能，就能一次刪除全部的威脅及弱點評估表，但是刪除就無法再救回囉，執行前請確認清楚。

資訊資產管理者持續進行威脅及弱點評估

評估內容(包含日期)異動

風險評鑑執行時機應依規劃期間進行 (每年至少一次 )，每個人的資訊資產每年異動的程度應該就是有一小部分增減，當一個新的周期開始又要進行資訊資產盤點了，再次執行「表格套疊 [資訊資產威脅及弱點評估表]」這項功能的前置作業應該是：

先把目前的Google試算表檔案另存副本一份，檔名註記為前一年度的歷史紀錄留存備查。
已經汰除的資訊資產，就從「資訊資產清冊」工作表裡面刪除該列紀錄，也找出該項資訊資產對應的「資訊資產威脅及弱點評估表」，將該工作表手動刪除。
新增的資訊資產，增列紀錄於「資訊資產清冊」工作表。
「資訊資產清冊」的每一項資訊資產若有需要異動的部分，包含評估C、I、A、P影響或基本資料(如右圖第一個畫面PC從50台增為66台)，都要在「資訊資產清冊」工作表先完成更新(稍後執行程式自動帶入評估表更新之)。

完成前述程序後，點選執行「表格套疊 [資訊資產威脅及弱點評估表]」這項功能，已存在的評估表會更新資訊資產基本資料 及K3格的評估日期 (可輸入要更新為哪個日期? 若空白就由程式自動訂為當天日期)，而新增的資訊資產也會建立對應的威脅及弱點評估表。此功能執行後，可以看到各個評估表的基本資料欄位已做了更新(如右圖第四個畫面PC更改為66台及評估日期訂為2022/1/1)，你要做的就是再逐一檢核需要更新評估的現有控制措施識別及各項威脅弱點等級。

詳細風險評鑑彙整表

各單位內統整一份彙整表

資訊資產風險值高於「可接受風險等級」項目列入「詳細風險評鑑彙整表」，應各單位內統整一份，提交至單位主管複核，並檢附此表中每一項「資訊資產威脅及弱點評估表」送交至「資安暨個資執行小組」備查。(詳見風險評鑑彙整及處理程序)

點選執行「建立[詳細風險評鑑彙整表]」這項功能，執行此功能會跳出訊息要求使用者輸入高風險等級門檻值(參照「資產價值、威脅弱點影響判定」工作表的A56格 )，只有大於等於該門檻值的資訊資產才會被程式挑出來列入「詳細風險評鑑彙整表」。

那些有資訊資產風險值達到高風險等級之人員，這裡產出的「詳細風險評鑑彙整表」就不是空白的，應提供其彙整表資料集中由一位負責統整成單位內的一份總彙整表。這部分就沒有再設計程式進行自動化彙整程序了，只要用詳細風險評鑑彙整表(應為資安專責人員公告的自家版本)將大家的資料複製貼上即可完成手動彙整。

列印

資訊資產管理者完成「資訊資產清冊」就列印出來，由資訊資產管理者及其主管蓋章。

至於每一個「資訊資產威脅及弱點評估表」是否需要列印出來，依自己機關的規定辦理。(這部分數量不少，建議若無必要就別列印出來了。雖然每個「資訊資產威脅及弱點評估表」都有預留核章位置，但或許要求只有高風險等級的才必須列印出來核章，也就足夠讓主管有所掌握了。)

「詳細風險評鑑彙整表」應各單位內統整一份，那些有資訊資產風險值達到高風險等級之人員，應提供其彙整表資料集中由一位負責統整成單位內的一份總彙整表，然後將其列印出來核章。

列印設定步驟，一開始先選擇要列印「工作簿」，但所選範圍取消勾選「文件制修訂記錄」及「資產價值、威脅弱點影響判定」工作表。

然後再勾選要列印的工作表，如為「資訊資產清冊」或「詳細風險評鑑彙整表」，列印選擇以「橫向」頁面輸出比較合宜，也建議在「頁首和頁尾」勾選「頁碼」，然後按「下一步」進行列印。

需要列印出來的「資訊資產威脅及弱點評估表」(雖然每個「資訊資產威脅及弱點評估表」都有預留核章位置，但或許要求只有高風險等級的才必須列印出來核章，也就足夠讓主管有所掌握了。)，列印選擇以「縱向」頁面輸出比較合宜，也建議在「頁首和頁尾」勾選「頁碼」，然後按「下一步」進行列印。

列印前最後預覽看看是否無誤，再按下「列印」。列印出來完成核章，妥善保留紙本記錄可供查核。