信息資產分級管理
1. 信息資產分類鑑別
達到及維護組織資產的適當保護,宜明確識別所有資產,並製作與維持所有重要資產
的清冊 ,與信息處理設施相關的所有信息及資產宜由組織指定擁有者。與信息處理設施相關的信息與資產,其可被接受的使用之規則宜予以識別、文件化及實作。各單位負責信息資產應定期更新與維護信息資產清冊,各單位彙總整合,由信息安全小組統一控管確保信息資產列表完整性。信息資產依其性質不同,分爲5類:人員、硬件、軟件、電子數據、書面文件依序如下:
人員:係指業務主管、承辦人員、委外廠商、契約人員等。
硬件:係指網絡設備、主機設備、通訊設備、環境設備等相關硬件設施。例如:服務器主機、個人計算機、不斷電設備等。
軟件:係指自行開發或委外開發之應用系統程序、外購之軟件包等。例如:應用系統、操作系統、軟件包、工具程序等。
電子數據:係指以電子形式存在之信息數據。例如:網絡設定數據、備份文件等。
書面文件:係指以紙本形式存在之文書數據、報表等相關信息。例如:合同、規範、系統文件、用戶手冊、訓練教材等。
所有資產經由資產分類,製成「信息資產列表」。
2. 信息資產價值鑑別
信息宜依其對組織的價值、法律要求、敏感性及重要性加以分類 ,價值鑑別準則依
信息資產分類分別針對機密性、可用性、完整性,其評估標準如下:
表1 人員評估標準
表2 硬件評估標準
表3 軟件評估標準
表4 電子數據、書面文件評估標準
各資產價值爲資產之機密性、完整性及可用性評估值取最大值;如以下式子:
資產價值 = 機密性評估值 + 完整性評估值 + 可用性評估值。
各資產依資產價值數值分級;詳如資產價值等級表
表5 資產價值等級表
3. 信息資產標示與處理
宜依照組織所採用的分類法,發展與實作一套適當的信息標示與處置程序 。資產標
示必須明確。資產標示含資產風險等級並以顏色卷標區分。硬件類資產標示依其價值等級並以顏色卷標區分。
高資產價值:指該資產價值最高,貼紅色卷標。
中資產價值:指該資產價值中等,貼×××標籤。
低資產價值:指該資產價值最低,不貼卷標。
資產在保存過程中,應依適當程序作妥善保存。資產的生命週期包含產生、使用、維護與銷燬。在整個生命週期中,每項資產皆由信息科技部領導指派資產管理人。資產管理人必須妥善運用與保存該資產。其他同仁使用資產需經由管理人授權,方可使用該資產。其使用過程需紀錄於該資產之使用記錄。資產之私密信息由管理人維護,採用僅知原則(Need-To-Know),授權給其他同仁使用時,以最小量之信息提供給使用人得知。爲掌握信息設備狀況,對於信息室有價值之信息設備之增置、轉移、報廢應予確實登錄。資產借用應予登記,以控管資產現況。資產於報廢時應循相關報廢程序進行報廢。
鑑別風險弱點與威脅
脆弱性,亦稱弱點。脆弱性是組織信息安全的弱點或漏洞。基本上,脆弱性本身不會
造成傷害,而是威脅利用這些脆弱性對系統進行傷害。針對要鑑別的每項資產分類,依序尋找出所有相對應的弱點如下:
人員:包括缺乏對外部團體與信息安全相關之規範、缺乏一般辦公環境的安全控管、缺乏對人員之安全管理、缺乏對人員認知之倡導及教育訓練、缺乏工作之權責劃分與人員代理機制、缺乏信息安全事件通報及處理程序。
硬件:缺乏對外部團體與信息安全相關之規範、.缺乏一般辦公環境的安全控管、缺乏書面化操作程序之控管、缺乏網絡之安全管理、缺乏數據交換之安全管理、
缺乏對儲存媒體的安全控管、缺乏系統監視、記錄與相關的系統稽覈軌跡、缺
乏對實體資產之保護與管理、缺乏取得信息系統之規劃及驗收程序、缺乏對取
得服務的安全控管、缺乏對管制區域之安全管理、缺乏信息安全事件通報及處
理程序、缺乏對場外工作之安全控管。
軟件:缺乏對外部團體與信息安全相關之規範、缺乏一般辦公環境的安全控管、缺乏書面化操作程序之控管、缺乏網絡之安全管理、缺乏數據交換之安全管理、缺乏系統監視、記錄與相關的系統稽覈軌跡、缺乏數據的安全管理、缺乏取得資訊系統之規劃及驗收程序、缺乏對信息系統存取之安全管理、缺乏系統聯機之安全管理、缺乏信息系統開發之安全管理、缺乏對取得服務的安全控管、缺乏信息系統安全防護機制、缺乏信息安全事件通報及處理程序、缺乏對電子商務之安全控管、缺乏對場外工作之安全控管。
電子數據:缺乏對外部團體與信息安全相關之規範、缺乏一般辦公環境的安全控管、缺乏書面化操作程序之控管、缺乏網絡之安全管理、乏數據交換之安全管理、缺乏系統監視、記錄與相關的系統稽覈軌跡、缺乏數據的安全管理、.缺乏對實體資產之保護與管理、缺乏取得信息系統之規劃及驗收程序、缺乏對信息系統存取之安全管理、缺乏信息系統開發之安全管理、缺乏對取得服務的安全控管、缺乏信息安全事件通報及處理程序、缺乏對電子商務之安全控管。
書面文件:缺乏對外部團體與信息安全相關之規範、缺乏一般辦公環境的安全控管、缺乏書面化操作程序之控管、缺乏數據交換之安全管理、缺乏系統監視、記錄與相關的系統稽覈軌跡、缺乏數據的安全管理、.缺乏對實體資產之保護與管理、缺乏對取得服務的安全控管、缺乏對管制區域之安全管理、缺乏信息安全事件通報及處理程序。
威脅的鑑別威脅是指對組織意圖造成傷害或損失,不論是意外或是蓄意,人爲或是天
災。資產容易受到許多威脅,這些威脅來自利用脆弱性。威脅可區分爲天然災害、人爲的威脅、非人爲的威脅;威脅的鑑別,須針對每項資產,列出可能的威脅。針對要鑑別的每項資產分類,依序尋找出所有相對應的威脅如下:
人員:無知、貪念、脅迫、惰性、人力不足、惡意、疏失、傳染病。
硬件:毀損、竊取、災害、故障、破壞。
軟件:不法使用、錯誤、竄改、延遲、失效、損毀、僞造。
電子數據:盜賣、泄漏、錯誤、竄改、損毀、僞造。
書面文件:泄漏、竊取、竄改、僞造、遺失、損毀。
計算信息資產風險權值
綜合信息資產價值(如表5資產價值等級表)、弱點(如表6 電子數據類弱點值判定
表)、威脅等因素(如表7威脅值判定表),透過信息資產之風險評鑑,可得知該項信息資產所面臨之風險程度並予以量化,作爲選擇控制措施之依據。計算風險權值之公式爲:
信息資產風險權值 = 信息資產價值 × 弱點權值 × 威脅權值
根據此一計算模型,風險權值最低爲1,最高爲27。
表6 電子數據類弱點值判定表
表7 威脅值判定表
考慮現有控管機制及資產特性,進行以下定義:
資產風險處理的評估
在彙整完風險評鑑結果之後應召開管理階層審查會議,由會議討論決定可接受風險之
風險值。低於此風險值之資產,視爲低風險,也就是可接受之風險。風險值高於可接受風險之信息資產,應採取風險處理。風險處理的方法主要分成以下四種:
降低風險:設置有效的內部控制措施,針對不同的領域進行管控,以達到風險值降低之目的。
轉移風險:利用轉嫁的方式降低風險,例如購買保險以補償方式降低風險。
避免風險:利用取代方案或其他之資產以替代此資產所帶來之風險,不過若採取此方法,需再評估替代方案之可行性,以及帶來的風險值。前提是替代方案能帶來更低的風險。
接受風險:在以上三個方式都無法採用時,管理階層可以決定接受此風險,也就是接受此風險。
對應的相關表