资讯安全风险评鉴量化标准书中州科技大学.doc
《资讯安全风险评鉴量化标准书中州科技大学.doc》由会员分享,可在线阅读,更多相关《资讯安全风险评鉴量化标准书中州科技大学.doc(25页珍藏版)》请在咨信网上搜索。
1、管理系統文件文件類別第 三 階 文 件文件編號ISMS-W-003文件名稱資訊安全風險評鑑量化標準書發行單位文 件 管 制 小 組發行日期103年12月01日版次A訂修廢單位審 查核 准資通安全處理小組(原版簽名頁保存於文件管制小組)訂 修 廢 記 錄版次發行日期訂 修 廢 內 容 摘 要A103/12/01初版發行1. 目的為確保本校在進行資訊資產風險評鑑作業時,能有效計算各項資訊資產的價值度與風險值,進行資訊資產弱點及威脅分析,藉以客觀的評估各資產的風險,了解未來可能遭受之危害,以達先期改善之效,特制訂本標準書。2. 適用範圍凡本校進行各項資訊資產風險評鑑作業時,均適用本標準書。3. 參考
2、文件3.1. ISMS-P-003資訊資產管理程序書。4. 名詞定義無。5. 作業內容5.1. 風險評鑑作業需評估項目因子5.1.1. 資產價值(重要性)評估:評估資訊資產的重要性。資訊資產價值(P):資訊資產對本校營運之重要與依賴程度。5.1.2. 資產弱點評估:現行管制方法下,弱點被有效控制之程度。5.1.2.1. 脆弱性:資產弱點所在。5.1.2.2. 等級(V):弱點已被有效控管之程度。5.1.3. 資產威脅評估:現行管制方法下,威脅事件發生機率。5.1.3.1. 威脅:資產威脅來源。5.1.3.2. 可能性(T):威脅事件發生機率。5.1.4. 資產衝擊影響評估:威脅發生後所造成的影
3、響嚴重程度。嚴重程度(IM):威脅發生後對整體營運造成之衝擊程度。5.1.5. 風險估計值與風險等級各項目評估完成後,經由以下公式計算出風險估計值及風險等級。風險估計值 =P V T IM。5.2. 資訊資產價值評估標準資訊資產價值評估之準則與方法,應依據ISMS-P-003資訊資產管理程序書之相關規定評估之。5.3. 資產脆弱點評鑑標準5.3.1. 脆弱點項目5.3.1.1. 進行資產與脆弱點評鑑時,應盡量考慮到資產所有可能擁有的潛在脆弱點。應考慮之脆弱點項目由資通安全處理小組制訂或參考5.6資訊資產之弱點與威脅對應表,並在定期或不定期進行風險評鑑作業前修訂,以提供資產管理者用於資產脆弱點評
4、鑑。5.3.1.2. 項目範例提供者:資通安全處理小組。5.3.2. 資產脆弱點估計值5.3.2.1. 資產脆弱點估計值用來描述某資產對於某項脆弱點的管控能力。當管控能力越低時,該脆弱點越加明顯,則估計值越高。評鑑者依照各資產的潛在脆弱點,由低到高給予1到3的評估值。5.3.2.2. 評鑑者:各資產管理者。5.3.2.3. 量化標準等級量化值內 容 說 明高3 弱點未受到適當控制,尚無初步計畫但有認知。 未實施保護或保護機制無效,威脅來源於短期內即可攻擊成功。中2 弱點未受到適當控制,但有初步計畫與認知。 已實施保護的機制,威脅來源必須花費一段時間(可能是數天)進行資料收集,即能接觸到關鍵資訊
5、。低1 弱點已受到適當控制,矯正措施正執行且有認知。 威脅來源必須花費長時間(可能需一個月以上)的資料收集,突破各層防護,才能接觸到關鍵資訊。5.4. 資產威脅評鑑標準5.4.1. 威脅項目5.4.1.1. 進行資產與威脅評鑑時,應盡量考慮到所有可能發生在資產上的內外部資訊安全威脅。須加以考慮之威脅項目可由資通安全處理小組制訂或參考5.6資訊資產之弱點與威脅對應表,並在定期或不定期進行風險評鑑作業前修訂,以提供資產管理者用於資產威脅評鑑。5.4.1.2. 項目範例提供者:資通安全處理小組。5.4.2. 資產威脅機率估計值5.4.2.1. 資產威脅機率估計值用來描述某資訊資產發生某種威脅之可能機
6、率。評鑑者依照該資產類別可能有某項威脅的可能性,由低到高給予1到3的評估值。5.4.2.2. 評鑑者:各資產管理者。5.4.2.3. 量化標準等級量化值內 容 說 明高3 威脅來源有動機也有能力 防制脆弱性被利用的安全對策或管控無效 有可能發生(平均每年都可能發生一次以上)中2 威脅來源有動機但能力不足 防制脆弱性被利用的安全對策或管控僅部分有效 發生頻率低(平均每年發生的次數不到一次)低1 威脅來源缺乏動機而且能力不足 防制脆弱性被利用的安全對策或管控有效 不太可能發生(沒有發生過,但是有發生的可能)5.5. 資產衝擊影響評估標準5.5.1. 資產嚴重程度評估值5.5.1.1. 嚴重程度係指
7、各資產在發生資訊安全事故後,對本校業務運行所可能造成的損害狀況。訂定嚴重程度時,應依據該資產對本校形象、業務持續、人員安全影響程度,依照1至3的量化等級評估適當數值。5.5.1.2. 評鑑者:各資產管理者。5.5.1.3. 量化標準等級量化值內 容 說 明嚴重3 事件處理不當可能對本校形象造成嚴重損害 已嚴重影響單位整體業務之運作,超出組織可承受範圍內。 造成的損害可能影響單位整體業務或所有系統(可能影響本校所有人員及合作夥伴) 復原的措施僅能由特定專業人員才能進行或修復人員 復原可能要超過8小時才能完成輕微2 對於本校整體業務執行影響不大; 造成的損失可能僅影響單一業務或系統(可能影響僅個人
8、或少數幾人) 可以由個人進行復原 修復或進行復原的措施可以在4小時內完成微弱1 對於業務執行沒有影響 可以立即完成復原 若持續發生且次數頻繁,對業務執行可能帶來潛在風險。5.5.2. 其他應注意事項要識別資產與其他資產的依存關係,因為這可能會影響到資產的價值。5.6. 資訊資產之弱點與威脅對應表5.6.1. 人員類資訊資產大類小類弱點威脅人員類全類人員請假或離職人員短缺(無適當代理人力)不足的安全訓練及認知操作人員的錯誤缺乏安全的認知使用人員的錯誤不當使用軟體及(或)硬體非法輸出/入軟、硬體操作人員的錯誤不當的招募程序罷工、怠工偷竊惡意損毀無簽署保密協議機密資料外洩缺乏專業領域技能作業延遲或中
9、斷工作場所環境不良易受環境傷害或意外災難缺乏人員離職資產繳回的確認程序機密/敏感資訊洩漏未適當管理於組織外部工作的員工機密/敏感資訊洩漏未適當監控清潔人員或外包人力的工作機密/敏感資訊竊取未對清潔人員或外包人力提出安全保密規定機密/敏感資訊洩漏人員離職或職務變更時未移除存取權限人員不當存取、身分偽冒資訊安全意識及訓練不足社交工程詐騙帳號、通行碼或窺視作業5.6.2. 資訊類資訊資產大類小類弱點威脅資訊類全類缺乏文件及紀錄之管控遺失、毀損、未授權存取缺乏實體保護遺失、遭竊未授權存取缺乏備援拷貝資料損毀缺乏加密機制資料外洩非授權的存取攜帶方便、易被拷貝資料外洩稽核軌跡紀錄未適當保護竄改或刪除稽核軌
10、跡紀錄稽核軌跡紀錄未適當處理機密/敏感資訊遭未授權人員竊取、竄改或刪除文件未做適當的保管機密/敏感資訊竊取儲存媒體未妥善保護竊盜缺乏桌面浄空與畫面保護政策遺失或損害資訊儲存媒體未適當處理即報廢或再利用機密/敏感資訊洩漏失效文件未妥善處理機密/敏感資訊洩漏未管制複製行為機密/敏感資訊竊取資訊分級錯誤未授權者存取(造成資訊外洩)測試資料選擇錯誤個人敏感資料的洩漏加密金鑰未適當保護資訊的揭露缺乏對輸入/輸出資料的檢查限制資訊錯誤或洩漏未管制軟體的下載與使用惡意的軟體機密/敏感性傳輸未保護網路竊聽或資訊收集未定期進行備份回復測試備份媒體損壞備份/回復程序不完整資料遺失或損毀缺乏行動電腦的保護機制對資訊
11、的未授權存取未定期檢查使用者作業權限(存取權限設定錯誤)對資訊的未授權存取未定期檢視監控錄影系統錄影系統主機或鏡頭故障影像畫面資料遺失缺乏對資料處理的驗證資訊的損毀人員離開座位時未登出或鎖定保護對資訊的未授權存取或破壞5.6.3. 環境保護類資訊資產大類小類弱點威脅建築與保護類一般辦公區域不當的服務維護回應水供應故障空調故障硬體故障電力供應故障未監督外來人員或清潔人員之工作偷竊建築或房間不當或疏於使用實體進出管制偷竊惡意損毀資源的不正確使用缺乏門禁管制偷竊特殊辦公區域位處易有水患之地水災土石流不當的服務維護回應水供應故障空調故障硬體故障電力供應故障未監督外來人員或清潔人員之工作偷竊建築或房間不
12、當或疏於使用實體進出管制偷竊惡意損毀資源的不正確使用缺乏門禁管制偷竊資訊機房位處易有水患之地水災土石流不當的服務維護回應水供應故障空調故障硬 體故障電力供應故障未監督外來人員或清潔人員之工作偷竊建築或房間不當或疏於使用實體進出管制偷竊惡意損毀資源的不正確使用缺乏門禁管制偷竊缺乏備援拷貝水災土石流資料遺失或毀損惡意損毀對溫度變化敏感空調故障溫度與濕度超過限值倉庫(庫房)不當的服務維護回應水供應故障空調故障硬體故障電力供應故障未監督外來人員或清潔人員之工作偷竊位處易有水患之地水災土石流建築或房間不當或疏於使用實體進出管制偷竊惡意損毀資源的不正確使用建築保護設施(環境控制系統如:火偵測、熱偵測、水偵
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 资讯 安全 风险 评鉴 量化 标准 中州 科技大学
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【天****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【天****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。