《资讯资产管理程序书中州科技大学》由会员分享,可在线阅读,更多相关《资讯资产管理程序书中州科技大学(15页珍藏版)》请在金锄头文库上搜索。
1、中州科技大學Chung Chou University of Science and Technology文件編號ISMS-P-003文件名稱資訊資產管理程序書機密等級內部使用版次A頁次13 / 15管理系統文件文件類別第 二 階 文 件文件編號ISMS-P-003文件名稱資訊資產管理程序書發行單位文 件 管 制 小 組發行日期103年12月01日版次A訂修廢單位審 查核 准資通安全處理小組(原版簽名頁保存於文件管制小組)訂 修 廢 記 錄版次發行日期訂 修 廢 內 容 摘 要A103/12/01初版發行1. 目的為促使本校各項資訊資產之分類、分級、評價、標示及處理之管理有一明確規範,確保執行
2、各項資訊資產管理之作業均能滿足本校之需求,避免因人為疏失、蓄意或自然災害等風險所造成之傷害,特制定本程式書。2. 適用範圍凡本校各項資訊資產之管理,均適用本程序書。3. 參考文件3.1. 中華民國國家標準CNS 27001資訊安全管理系統控制要項。3.2. ISMS-P-001文件與紀錄管理程序書。3.3. ISMS-P-010人力資源安全管理程序書。3.4. ISMS-P-011實體與環境安全管理程序書。4. 名詞定義4.1. 資訊資產管理單位對該項資訊資產具有判斷資產價值、決定存取權限或新增、刪除、修改權限,以及執行資訊資產日常保護、異動與維護之作業,同時也是資訊資產的擁有單位。4.2.
3、資訊資產使用單位以實際或邏輯方式使用該項資訊資產之人員,對於被授權使用資產之單位或人員,應依各項安全程序正確使用操作資產。4.3. 資產價值(資產鑑價C、I、A)4.3.1. 機密性(Confidentiality,簡稱C):確保只有經過授權的人才能存取資訊(使資訊不可用或不揭露給未經授權之個人、個體或過程的性質)。4.3.2. 完整性(Integrity,簡稱I):保護資訊及其處理方法的準確性(accuracy)和完整性(completeness)的性質。4.3.3. 可用性(Availability,簡稱A):確保經授權的使用者,在需要時可以隨時存取資訊並使用相關資訊資産。5. 作業內容5
4、.1. 資訊資產管理流程圖作業流程權責單位相關表單權責單位資訊資產管理單位資通安全處理小組資通安全管理委員會資訊資產清冊資訊資產管理單位資訊資產清冊資訊資產管理單位資訊資產清冊資訊資產管理單位資通安全管理委員會資訊資產清冊資訊資產管理單位資訊資產清冊各需求單位資訊資產管理單位資訊資產清冊資訊資產管理單位資訊資產清冊相關業務承辦人員資訊資產清冊5.2. 資訊資產驗收各項資訊資產之驗收,由權責單位依據本校相關之驗收程序辦理驗收作業。5.3. 資訊資產鑑別5.3.1. 各項資訊資產之管理單位應鑑別所管轄之資訊資產,並建立ISMS-P-003-01資訊資產清冊。5.3.2. 各項資訊資產管理單位應定期
5、更新與維護所管轄之ISMS-P-003-01資訊資產清冊。5.3.3. 資訊資產清單由各資訊資產管理單位提供,資通安全處理小組負責彙整,並陳報至資通安全管理委員會統一控管,以確保資訊資產編號及清單之完整性。5.4. 資訊資產分類與分級5.4.1. 資訊資產分類依資訊資產之價值、對組織運作的關鍵程度或依其可用性和完整性進行分類。資訊資產分為五大類,分別為:人員類、資訊類、硬體類、軟體類、環境保護類,各分類說明如下:大分類小分類範例人員類(People / PE)編制內人員正式編制人員、臨時人員、工讀生、專案人員、委外承包廠商等。臨時鐘點人員廠商駐點人員委外廠商資訊類(Information /
6、IF)作業文件資料庫與資料檔案、備份資料、原始程式碼、網路架構圖、系統文件、操作或支援程序、使用手冊、教育訓練教材、管理制度文件、緊急應變&復原計畫、營運持續計劃(BCP)、稽核日誌、合約與協議、報表、表單記錄等。系統文件合約資訊紀錄(電子/紙本)系統紀錄(Log)硬體類(Hardware / HW)個人電腦一般硬體:包含電腦設備(伺服器、筆記型電腦、個人電腦、工作站)、CD/DVD 燒錄器、CD/DVD光碟機、磁帶機、軟碟機、投影機、PDA、印表機等。通訊設備:集線器、橋接器、網路交換器、路由器、數據機、電話自動交換機(PBX)、網路纜線、防火牆、入侵偵測系統、視訊會議設備、傳真機、手機。儲
7、存媒體:CD/DVD(空白)、硬碟(無資料)、磁片(空白)、磁帶(空白)、移動式硬碟(空白)、錄音/影帶(無資料)等。可攜式電腦伺服器資安設備網路設備可攜式儲存媒體電腦保護設施其他硬體軟體類(Software / SW)作業系統應用系統軟體、作業系統軟體、開發工具、套裝軟體、公用程式、防火牆軟體、防毒軟體、驗證軟體、資料庫管理系統(DBMS)、加密軟體、文件管理系統、內部開發程式、內部發展系統等。應用系統套裝軟體軟體開發工具資訊安全系統環境保護類(Environment / EV)一般辦公區域建築類:電腦機房、會議室、辦公室、監控室、接待區、交貨區/裝載區等。環境保護設施:不斷電系統、第二電力
8、供應迴路、穩壓器、機櫃、避雷裝置、警報系統、備用發電系統、環境控制系統(火偵測、熱偵測、水偵測、溫濕度偵測、自動消防滅火系統)等。特殊辦公區域資訊機房倉庫/庫房建築保護設施5.4.2. 資訊資產分級依資訊之特性與實際需要進行資訊資產安全分級。各類資訊資產之機密等級區分為3級,分別為:一般、內部使用、機敏。各分級之評估標準如下:分級評估標準說明機敏 含敏感資訊,僅提供少數相關業務承辦人員及其主管,或被授權之單位及人員使用。 資訊資產若洩漏,會影響本校聲譽及員工與客戶之權益。組織需採取補救措施。 資訊資產存取權限須經由高階主管核准同意。內部使用 含部分敏感資訊,僅供組織內部人員或被授權之外部單位使
9、用。 資訊資產若洩漏,會對本校造成有形或無形的損害,此損害為組織可承受之範圍。 資訊資產存取權限須經由單位權責主管核准同意。一般 為一般性資料可對外公開,但須遵守相關發布流程。 若流傳至組織外部,不會對組織造成任何有形或無形的傷害。 資訊資產存取權限只須經由資訊資產使用者同意。5.4.2.1. 資訊資產之機密等級應定期審核,視實際需要予以調整及修正,以符合本校需求。5.4.2.2. 不同等級之資訊資產合併使用或處理時,應以其中最高之等級為其機密等級。5.5. 資訊資產價值鑑別5.5.1. 資訊資產管理單位應鑑別其所管轄內所有資訊資產之價值。5.5.2. 資訊資產價值除考量資訊資產機密等級之外,
10、尚需考量資訊資產之可用性及完整性。5.5.3. 資訊資產價值評估標準依資訊資產之特性,分成人員與非人員(含硬體、軟體、資訊及環境保護類)兩大類,其各所對應之機密性、完整性及可用性之定義與價值評估標準說明如下:5.5.3.1. 人員類資產5.5.3.1.1. 機密性評估著重於保護資產,確保只有獲得授權的人才能存取該資產。等級量化值內 容 說 明高3其工作執掌可存取限定資料(含機敏、內部使用及一般等三類)。中2其工作執掌可存取內部使用類資料及一般類資料。低1其工作執掌僅可存取一般類資料。5.5.3.1.2. 完整性評估著重於確保資料的正確性及資產(作業)處理的完整性,以避免因運用錯誤的資料或因資產
11、處理的不完全,而造成對組織的衝擊。等級量化值內 容 說 明高3 未正確執行業務而造成資料不完整,會對業務造成很大的衝擊,甚至造成業務中斷失敗。 可能影響全組織對外所提供的服務作業。中2 未正確執行業務而造成資料不完整,可能對業務運作不造成中斷,但降低運作效率及影響。 可能影響單一部門運作。低1 未正確執行業務而造成資料不完整,可能對業務運作不會造成中斷或雖降低效率但不會造成影響。 僅僅影響少數承辦人的作業。5.5.3.1.3. 可用性評估確保資產提供使用者所需的服務,以達成預期之功能,主要為避免因災害而致使組織無法持續運作或提供服務之衝擊。等級量化值內 容 說 明高3 欲維持業務正常運作,在該
12、等人員無法持續提供服務時,可容忍替換時間為4小時。 業務高度仰賴該員,且一旦該員無法作業時,將影響本校對外所提供的服務作業。中2 欲維持業務正常運作,在該等人員無法持續提供服務時,可容忍替換時間為12小時以內。 業務仰賴該員,且一旦該員無法作業時,將影響本校多數部門作業。低1 欲維持業務正常運作,在該等人員無法持續提供服務時,可容忍替換時間為24小時以上。 業務仰賴該員,且一旦該員無法作業時只影響少數承辦人員作業,其工作可暫時委由他人替代。5.5.3.2. 非人員類資產5.5.3.2.1. 資產機密性評估A. 評估資產機密性時,應依據該資產現有之機密等級為考量基礎,依1至3量化等級評估適當數值
13、。B. 評鑑者:各資產管理單位。C. 量化標準等級量化值內 容 說 明高3 敏感性資訊處理設施與系統資源,僅開放給必要知道的人使用。 資料內容若洩漏會影響本校聲譽及員工權益。中2 非公開使用之非敏感性資訊處理設施與系統資源僅開放給內部人員使用。 資料內容若洩漏會對本校造成有形或無形的損害,此損害為組織可承受之範圍(註1)。低1 不限制使用資訊處理設施與系統資源等。 資料內容若流傳至組織以外,不會對本校造成任何有形或無形的傷害(註1)。註1:有形的傷害如:財務上的賠償、主管機關的懲處;無形的傷害如:形象上的受損、組織內部員工士氣的低落。5.5.3.2.2. 資產完整性評估A. 評估資產完整性時,
14、應依據該資產可允許產生之誤差程度為考量基礎,依1至3量化等級評估適當數值。B. 評鑑者:各資產管理單位。C. 量化標準等級量化值內 容 說 明高3 不當的損失、破壞資訊處理設施與系統資源,會對業務應用造成顯著的衝擊。 資訊系統服務若不完整,將導致本校作業受影響。中2 不當的損失、破壞資訊處理設施與系統資源,會對業務應用造成輕微的衝擊。 資訊系統服務若不完整,將造成單一部門作業受影響。低1 不當的破壞或竄改資訊、資訊處理設施與系統資源,所造成的業務衝擊可以忽略者。 資訊系統服務若不完整,將造成少數或個別承辦人作業受影響。5.5.3.2.3. 資產可用性評估A. 評估資產可用性時,應依據該資產可允許停用時間為考量基礎,依1至3量化等級評估適當數值。B. 評鑑者:各資產管
