收藏
下载资源

资讯安全风险评鉴量化标准书中州科技大学

上传人:鲁** 文档编号:490720324 上传时间:2022-07-19 格式:DOC 页数:20 大小:534.01KB
返回 下载 相关 举报
资讯安全风险评鉴量化标准书中州科技大学_第1页
第1页 / 共20页
资讯安全风险评鉴量化标准书中州科技大学_第2页
第2页 / 共20页
资讯安全风险评鉴量化标准书中州科技大学_第3页
第3页 / 共20页
资讯安全风险评鉴量化标准书中州科技大学_第4页
第4页 / 共20页
资讯安全风险评鉴量化标准书中州科技大学_第5页
第5页 / 共20页
点击查看更多>>
资源描述

《资讯安全风险评鉴量化标准书中州科技大学》由会员分享,可在线阅读,更多相关《资讯安全风险评鉴量化标准书中州科技大学(20页珍藏版)》请在金锄头文库上搜索。

1、中州科技大學Chung Chou University of Science and Technology文件編號ISMS-W-003文件名稱資訊安全風險評鑑量化標準書機密等級內部使用版次A頁次7 / 21管理系統文件文件類別第 三 階 文 件文件編號ISMS-W-003文件名稱資訊安全風險評鑑量化標準書發行單位文 件 管 制 小 組發行日期103年12月01日版次A訂修廢單位審 查核 准資通安全處理小組(原版簽名頁保存於文件管制小組)訂 修 廢 記 錄版次發行日期訂 修 廢 內 容 摘 要A103/12/01初版發行1. 目的為確保本校在進行資訊資產風險評鑑作業時,能有效計算各項資訊資產的價

2、值度與風險值,進行資訊資產弱點及威脅分析,藉以客觀的評估各資產的風險,了解未來可能遭受之危害,以達先期改善之效,特制訂本標準書。2. 適用範圍凡本校進行各項資訊資產風險評鑑作業時,均適用本標準書。3. 參考文件3.1. ISMS-P-003資訊資產管理程序書。4. 名詞定義無。5. 作業內容5.1. 風險評鑑作業需評估項目因子5.1.1. 資產價值(重要性)評估:評估資訊資產的重要性。資訊資產價值(P):資訊資產對本校營運之重要與依賴程度。5.1.2. 資產弱點評估:現行管制方法下,弱點被有效控制之程度。5.1.2.1. 脆弱性:資產弱點所在。5.1.2.2. 等級(V):弱點已被有效控管之程

3、度。5.1.3. 資產威脅評估:現行管制方法下,威脅事件發生機率。5.1.3.1. 威脅:資產威脅來源。5.1.3.2. 可能性(T):威脅事件發生機率。5.1.4. 資產衝擊影響評估:威脅發生後所造成的影響嚴重程度。嚴重程度(IM):威脅發生後對整體營運造成之衝擊程度。5.1.5. 風險估計值與風險等級各項目評估完成後,經由以下公式計算出風險估計值及風險等級。風險估計值 =P V T IM。5.2. 資訊資產價值評估標準資訊資產價值評估之準則與方法,應依據ISMS-P-003資訊資產管理程序書之相關規定評估之。5.3. 資產脆弱點評鑑標準5.3.1. 脆弱點項目5.3.1.1. 進行資產與脆

4、弱點評鑑時,應盡量考慮到資產所有可能擁有的潛在脆弱點。應考慮之脆弱點項目由資通安全處理小組制訂或參考5.7資訊資產之弱點與威脅對應表,並在定期或不定期進行風險評鑑作業前修訂,以提供資產管理者用於資產脆弱點評鑑。5.3.1.2. 項目範例提供者:資通安全處理小組。5.3.2. 資產脆弱點估計值5.3.2.1. 資產脆弱點估計值用來描述某資產對於某項脆弱點的管控能力。當管控能力越低時,該脆弱點越加明顯,則估計值越高。評鑑者依照各資產的潛在脆弱點,由低到高給予1到3的評估值。5.3.2.2. 評鑑者:各資產管理者。5.3.2.3. 量化標準等級量化值內 容 說 明高3 弱點未受到適當控制,尚無初步計

5、畫但有認知。 未實施保護或保護機制無效,威脅來源於短期內即可攻擊成功。中2 弱點未受到適當控制,但有初步計畫與認知。 已實施保護的機制,威脅來源必須花費一段時間(可能是數天)進行資料收集,即能接觸到關鍵資訊。低1 弱點已受到適當控制,矯正措施正執行且有認知。 威脅來源必須花費長時間(可能需一個月以上)的資料收集,突破各層防護,才能接觸到關鍵資訊。5.4. 資產威脅評鑑標準5.4.1. 威脅項目5.4.1.1. 進行資產與威脅評鑑時,應盡量考慮到所有可能發生在資產上的內外部資訊安全威脅。須加以考慮之威脅項目可由資通安全處理小組制訂或參考5.7資訊資產之弱點與威脅對應表,並在定期或不定期進行風險評

6、鑑作業前修訂,以提供資產管理者用於資產威脅評鑑。5.4.1.2. 項目範例提供者:資通安全處理小組。5.4.2. 資產威脅機率估計值5.4.2.1. 資產威脅機率估計值用來描述某資訊資產發生某種威脅之可能機率。評鑑者依照該資產類別可能有某項威脅的可能性,由低到高給予1到3的評估值。5.4.2.2. 評鑑者:各資產管理者。5.4.2.3. 量化標準等級量化值內 容 說 明高3 威脅來源有動機也有能力 防制脆弱性被利用的安全對策或管控無效 有可能發生(平均每年都可能發生一次以上)中2 威脅來源有動機但能力不足 防制脆弱性被利用的安全對策或管控僅部分有效 發生頻率低(平均每年發生的次數不到一次)低1

7、 威脅來源缺乏動機而且能力不足 防制脆弱性被利用的安全對策或管控有效 不太可能發生(沒有發生過,但是有發生的可能)5.5. 資產衝擊影響評估標準5.5.1. 資產嚴重程度評估值5.5.1.1. 嚴重程度係指各資產在發生資訊安全事故後,對本校業務運行所可能造成的損害狀況。訂定嚴重程度時,應依據該資產對本校形象、業務持續、人員安全影響程度,依照1至3的量化等級評估適當數值。5.5.1.2. 評鑑者:各資產管理者。5.5.1.3. 量化標準等級量化值內 容 說 明嚴重3 事件處理不當可能對本校形象造成嚴重損害 已嚴重影響單位整體業務之運作,超出組織可承受範圍內。 造成的損害可能影響單位整體業務或所有

8、系統(可能影響本校所有人員及合作夥伴) 復原的措施僅能由特定專業人員才能進行或修復人員 復原可能要超過8小時才能完成輕微2 對於本校整體業務執行影響不大; 造成的損失可能僅影響單一業務或系統(可能影響僅個人或少數幾人) 可以由個人進行復原 修復或進行復原的措施可以在4小時內完成微弱1 對於業務執行沒有影響 可以立即完成復原 若持續發生且次數頻繁,對業務執行可能帶來潛在風險。5.5.2. 其他應注意事項要識別資產與其他資產的依存關係,因為這可能會影響到資產的價值。5.6. 資訊資產之弱點與威脅對應表5.6.1. 人員類資訊資產大類小類弱點威脅人員類全類人員請假或離職人員短缺(無適當代理人力)不足

9、的安全訓練及認知操作人員的錯誤缺乏安全的認知使用人員的錯誤不當使用軟體及(或)硬體非法輸出/入軟、硬體操作人員的錯誤不當的招募程序罷工、怠工偷竊惡意損毀無簽署保密協議機密資料外洩缺乏專業領域技能作業延遲或中斷工作場所環境不良易受環境傷害或意外災難缺乏人員離職資產繳回的確認程序機密/敏感資訊洩漏未適當管理於組織外部工作的員工機密/敏感資訊洩漏未適當監控清潔人員或外包人力的工作機密/敏感資訊竊取未對清潔人員或外包人力提出安全保密規定機密/敏感資訊洩漏人員離職或職務變更時未移除存取權限人員不當存取、身分偽冒資訊安全意識及訓練不足社交工程詐騙帳號、通行碼或窺視作業5.6.2. 資訊類資訊資產大類小類弱

10、點威脅資訊類全類缺乏文件及紀錄之管控遺失、毀損、未授權存取缺乏實體保護遺失、遭竊未授權存取缺乏備援拷貝資料損毀缺乏加密機制資料外洩非授權的存取攜帶方便、易被拷貝資料外洩稽核軌跡紀錄未適當保護竄改或刪除稽核軌跡紀錄稽核軌跡紀錄未適當處理機密/敏感資訊遭未授權人員竊取、竄改或刪除文件未做適當的保管機密/敏感資訊竊取儲存媒體未妥善保護竊盜缺乏桌面浄空與畫面保護政策遺失或損害資訊儲存媒體未適當處理即報廢或再利用機密/敏感資訊洩漏失效文件未妥善處理機密/敏感資訊洩漏未管制複製行為機密/敏感資訊竊取資訊分級錯誤未授權者存取(造成資訊外洩)測試資料選擇錯誤個人敏感資料的洩漏加密金鑰未適當保護資訊的揭露缺乏對

11、輸入/輸出資料的檢查限制資訊錯誤或洩漏未管制軟體的下載與使用惡意的軟體機密/敏感性傳輸未保護網路竊聽或資訊收集未定期進行備份回復測試備份媒體損壞備份/回復程序不完整資料遺失或損毀缺乏行動電腦的保護機制對資訊的未授權存取未定期檢查使用者作業權限(存取權限設定錯誤)對資訊的未授權存取未定期檢視監控錄影系統錄影系統主機或鏡頭故障影像畫面資料遺失缺乏對資料處理的驗證資訊的損毀人員離開座位時未登出或鎖定保護對資訊的未授權存取或破壞5.6.3. 環境保護類資訊資產大類小類弱點威脅建築與保護類一般辦公區域不當的服務維護回應水供應故障空調故障硬體故障電力供應故障未監督外來人員或清潔人員之工作偷竊建築或房間不當

12、或疏於使用實體進出管制偷竊惡意損毀資源的不正確使用缺乏門禁管制偷竊特殊辦公區域位處易有水患之地水災土石流不當的服務維護回應水供應故障空調故障硬體故障電力供應故障未監督外來人員或清潔人員之工作偷竊建築或房間不當或疏於使用實體進出管制偷竊惡意損毀資源的不正確使用缺乏門禁管制偷竊資訊機房位處易有水患之地水災土石流不當的服務維護回應水供應故障空調故障硬 體故障電力供應故障未監督外來人員或清潔人員之工作偷竊建築或房間不當或疏於使用實體進出管制偷竊惡意損毀資源的不正確使用缺乏門禁管制偷竊缺乏備援拷貝水災土石流資料遺失或毀損惡意損毀對溫度變化敏感空調故障溫度與濕度超過限值倉庫(庫房)不當的服務維護回應水供應

13、故障空調故障硬體故障電力供應故障未監督外來人員或清潔人員之工作偷竊位處易有水患之地水災土石流建築或房間不當或疏於使用實體進出管制偷竊惡意損毀資源的不正確使用建築保護設施(環境控制系統如:火偵測、熱偵測、水偵測系統、自動消防滅火系統、溫濕度偵測等)位處易有水患之地水災土石流不足的維護或安裝的錯誤地震維護錯誤儲存媒體變質不當的服務維護回應水供應故障空調故障硬體故障電力供應故障未監督外來人員或清潔人員之工作偷竊不當控管及使用或疏於管制實體進出偷竊惡意損毀資源的損壞缺乏監控(monitoring)機制以非授權的方式使用軟體以非授權的方式使用網路設施非法使用軟體非法輸出/入軟體溫度與濕度超過限值對溫度變化敏感空調故障溫度與濕度超過限值對電壓變化敏感電壓不穩定5.6.4. 軟體類資訊資產大類小類弱點威脅軟體類軟體開發工具缺乏備援拷貝惡意軟體缺乏有效變更控制操作人員的錯誤使用者的錯誤繁複的使用者介面操作人員的錯誤使用者的錯誤缺乏稽核軌跡未經授權的使用缺乏識別及鑑別機制(如使用者鑑別)假冒使用者身分

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 工作计划

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号