信息资产清查暨风险评鉴办法

XXX

信息资产清查暨风险评鉴办法

第1.0版97年6月20日经信息安全管理委员会会议审议通过

壹、南开科技大学（以下简称本校）为于执行与维护信息安全管理系统(ISMS)时，鉴别信息

资产价值及评估风险等级，以进行风险评鉴，特订定「南开科技大学信息资产清查暨风险评鉴办法」(以下简称本办法)。 貳、依据

一、 南开科技大学信息安全政策。 二、 南开科技大学信息安全实施纲领。 參、权责

一、 各承办单位主管对于信息安全管理系统所涵盖的业务流程有直接的责任。 二、 本校「信息安全管理委员会」负责审查「信息资产清册」、「风险评鉴报告」及「风

险管理计划」，以及「资产评估与管理作业程序」的适当性，并决定安全确保程度（即风险可接受程度）。

三、 本校所有同仁均有责任向「信息安全管理委员会」提供所有与决策程序相关的信息，

包括现有或不存在的控制与对策，以及不同保证程度的可行方法或选择。 四、 业务流程负责人与资产负责人的责任

(一) 鉴别资产的价值 (二) 资产的机密性等级分类 (三) 资产威胁与脆弱点的鉴别 (四) 鉴别资产可忍受之最大失效期间 (五) 鉴别失去资产对组织的冲击 (六) 参与安全防护对策之讨论与决策 (七) 系统安全防护与系统维护之成本分析 (八) 鉴别资产之特性，作为营运持续管理之参考 (九) 参与营运持续计划之讨论 (十) 支持营运持续演练

(十一) 定期与不定期重新进行风险评鉴，以评定安全防护计划之成效及鉴别风险

之变化与新风险的产生。

XXX

XXX

肆、程序

本校风险评鉴之方法参考英国国家标准BS 7799-3:2006及国际标准ISO/IEC TR 13335-3:1998进行风险评鉴。程序如下： 一、 资产的分类

以业务流程为主轴，由流程负责人负责审视与业务相关之资产，以鉴别出信息

资产以及其它与信息安全管理有关的资产与相对应之负责人员。资产价值分析流程请参见图一，透过价值分析将资产分为以下6大类，便于后续的脆弱点与威胁分析。

图一 资产价值分析流程

(一) 信息资产

数据经过处理后成为有特殊价值的信息，或以文件形式存在的资产，例如：

注册商标、著作权、业务信息、单位信息、组织相关纪录、使用者信息、产品信息、数据库、测试数据、备份数据、合约内容、系统文件、操作手册、教育训练教材、计划、规范、程序书及其它相关信息。 (二) 服务资产

以服务形式存在的资产，例如：信息服务、通讯服务与作业环境设施服务。

XXX

XXX

图二 风险评鉴

图三 风险管理流程图

(三) 作业软件与应用程序

为执行业务流程而建置的作业软件与应用程序，例如：计算机操作系统软件、标准应用程序、特殊应用程序、程序发展与设计工具、计算机作业程序与

XXX

XXX

工具、测试程序与通讯软件。 (四) 硬件资产

为执行业务所使用之硬设备，例如：网络设备、服务器、个人计算机、笔记型计算机、掌上型计算机、打印机、终端机、磁带读卡器、屏幕或显示器、储存设备及其它相关各项环境设施与硬设备。 (五) 人员

管理、执行或提供支持之人员，例如：管理者、系统管理员、数据管理员、机房管理员、稽核人员、计算机人员、网络管理人员、通讯人员、程序开发人员、系统维护员、系统操作员、保安人员、行政人员、清洁人员、临时人员、外包驻点人员、电话或通讯安排人员与作业委外安排人员。 (六) 组织声誉

本校整体形象的价值，例如：对本校的信心指数、对本校所提供服务的信心指数、本校的声誉与形象、品牌、注册商标。

二、 资产价值的鉴别

本办法运用ISO 27001:2005对信息安全的要求来衡量资产的价值。主要考虑有

三个部份，分别为：资产本身的价值(可能为购入的价值)、资产于内部应用的价值(资产于组织的营运的重要程度)、资产于外部的价值(资产对组织形象或声誉的影响)。资产价值参见表一至

表六。资产清查及价值评鉴的结果，应汇整成资产清册(窗体如附件1)。

表一 信息资产价值等级表

价值 机密性(C) 完整性(I) 可用性(A) 1 不具保密价值之信息，信息遭受未经授权的组织可以接受3天以上即使泄漏后也不会使破坏或修改，不会产生无法使用之情形。。 组织安全遭受损害者。 重大影响且对业务冲击可忽略。 2 仅限组织内部应用之信息遭受未经授权的组织可以接受3天无法信息，但揭露后应不致破坏或修改，其产生之使用之情形。 产生严重损害者。 影响对业务冲击轻微，可迅速处理改正。 3 具有保密价值之信息，信息遭受未经授权的组织可以接受1个工作泄漏后可能使组织安破坏或修改，将对业务天无法使用之情形。 全或形象遭受明显损产生明显冲击影响。 害者。 XXX

XXX

价值 机密性(C) 完整性(I) 可用性(A) 4 具有保密价值之信息，信息遭受未经授权的组织可以接受4个小时泄漏后将引起组织安破坏或修改，将对业务无法使用之情形。 全遭受重大的损失者。 产生重大影响，且可能导致暂时性业务中断。 5 具有极高机密价值的信息遭受未经授权的组织可以接受1个小时信息，信息揭露予非授破坏或修改，将对业务无法使用之情形。 权者将危及国家安全产生重大影响，且可能 者。 导致长时间严重的业务中断。

表二 服务资产价值等级表

价值 机密性(C) 1 资产无此特性。 完整性(I) 可用性(A) 服务内容部分遭受损组织可以接受3天以上害或错误，不会产生重无法使用之情形。 大影响且对业务冲击 可忽略。 服务资产涵括限组织服务内容部分遭受损组织可以接受3天无法内部应用之信息，但揭害或错误，其产生之影使用之情形。 露后应不致产生严重响对业务冲击轻微，可 损害者。 迅速处理改正。 服务内容属机密，泄漏服务内容部分遭受损组织可以接受1个工作后可能使组织安全或害或错误，将对业务产天无法使用之情形。 形象遭受明显损害者。 生明显冲击影响。 服务内容属机密，泄漏服务内容遭受损害或组织可以接受4个小时后将引起组织安全遭错误，将对业务产生重无法使用之情形。 受重大的损失者。 大影响，且可能导致暂 时性业务中断。 服务内容属机密，信息服务内容遭受损害或组织可以接受1个小时揭露予非授权者将危错误，将对业务产生重无法使用之情形。 及国家安全者。 大影响，且可能导致长 时间严重的业务中断。 2 3 4 5

XXX