信息资产清查暨风险评鉴办法

文件編號：RA(第1.0版)信息资产清查暨风险评鉴办法第1.0版97年6月20日经信息安全管理委员会会议审议通过壹、 南开科技大学（以下简称本校）为于执行与维护信息安全管理系统(ISMS)时，鉴别信息资产价值及评估风险等级，以进行风险评鉴，特订定南开科技大学信息资产清查暨风险评鉴办法(以下简称本办法)。貳、 依据一、 南开科技大学信息安全政策。二、 南开科技大学信息安全实施纲领。參、 权责一、 各承办单位主管对于信息安全管理系统所涵盖的业务流程有直接的责任。二、 本校信息安全管理委员会负责审查信息资产清册、风险评鉴报告及风险管理计划，以及资产评估与管理作业程序的适当性，并决定安全确保程度（即风险可接受程度）。三、 本校所有同仁均有责任向信息安全管理委员会提供所有与决策程序相关的信息，包括现有或不存在的控制与对策，以及不同保证程度的可行方法或选择。四、 业务流程负责人与资产负责人的责任(一) 鉴别资产的价值(二) 资产的机密性等级分类(三) 资产威胁与脆弱点的鉴别(四) 鉴别资产可忍受之最大失效期间(五) 鉴别失去资产对组织的冲击(六) 参与安全防护对策之讨论与决策(七) 系统安全防护与系统维护之成本分析(八) 鉴别资产之特性，作为营运持续管理之参考(九) 参与营运持续计划之讨论(十) 支持营运持续演练(十一) 定期与不定期重新进行风险评鉴，以评定安全防护计划之成效及鉴别风险之变化与新风险的产生。肆、 程序本校风险评鉴之方法参考英国国家标准BS 7799-3:2006及国际标准ISO/IEC TR 13335-3:1998进行风险评鉴。程序如下：一、 资产的分类以业务流程为主轴，由流程负责人负责审视与业务相关之资产，以鉴别出信息资产以及其它与信息安全管理有关的资产与相对应之负责人员。资产价值分析流程请参见图，透过价值分析将资产分为以下6大类，便于后续的脆弱点与威胁分析。图 资产价值分析流程(一) 信息资产数据经过处理后成为有特殊价值的信息，或以文件形式存在的资产，例如：注册商标、著作权、业务信息、单位信息、组织相关纪录、使用者信息、产品信息、数据库、测试数据、备份数据、合约内容、系统文件、操作手册、教育训练教材、计划、规范、程序书及其它相关信息。(二) 服务资产以服务形式存在的资产，例如：信息服务、通讯服务与作业环境设施服务。图 风险评鉴图 风险管理流程图(三) 作业软件与应用程序为执行业务流程而建置的作业软件与应用程序，例如：计算机操作系统软件、标准应用程序、特殊应用程序、程序发展与设计工具、计算机作业程序与工具、测试程序与通讯软件。(四) 硬件资产为执行业务所使用之硬设备，例如：网络设备、服务器、个人计算机、笔记型计算机、掌上型计算机、打印机、终端机、磁带读卡器、屏幕或显示器、储存设备及其它相关各项环境设施与硬设备。(五) 人员管理、执行或提供支持之人员，例如：管理者、系统管理员、数据管理员、机房管理员、稽核人员、计算机人员、网络管理人员、通讯人员、程序开发人员、系统维护员、系统操作员、保安人员、行政人员、清洁人员、临时人员、外包驻点人员、电话或通讯安排人员与作业委外安排人员。(六) 组织声誉本校整体形象的价值，例如：对本校的信心指数、对本校所提供服务的信心指数、本校的声誉与形象、品牌、注册商标。二、 资产价值的鉴别本办法运用ISO 27001:2005对信息安全的要求来衡量资产的价值。主要考虑有三个部份，分别为：资产本身的价值(可能为购入的价值)、资产于内部应用的价值(资产于组织的营运的重要程度)、资产于外部的价值(资产对组织形象或声誉的影响)。资产价值参见表至表。资产清查及价值评鉴的结果，应汇整成资产清册(窗体如附件1)。表 信息资产价值等级表价值机密性(C)完整性(I)可用性(A)1不具保密价值之信息，即使泄漏后也不会使组织安全遭受损害者。信息遭受未经授权的破坏或修改，不会产生重大影响且对业务冲击可忽略。组织可以接受3天以上无法使用之情形。2仅限组织内部应用之信息，但揭露后应不致产生严重损害者。信息遭受未经授权的破坏或修改，其产生之影响对业务冲击轻微，可迅速处理改正。组织可以接受3天无法使用之情形。3具有保密价值之信息，泄漏后可能使组织安全或形象遭受明显损害者。信息遭受未经授权的破坏或修改，将对业务产生明显冲击影响。组织可以接受1个工作天无法使用之情形。4具有保密价值之信息，泄漏后将引起组织安全遭受重大的损失者。信息遭受未经授权的破坏或修改，将对业务产生重大影响，且可能导致暂时性业务中断。组织可以接受4个小时无法使用之情形。5具有极高机密价值的信息，信息揭露予非授权者将危及国家安全者。信息遭受未经授权的破坏或修改，将对业务产生重大影响，且可能导致长时间严重的业务中断。组织可以接受1个小时无法使用之情形。表 服务资产价值等级表价值机密性(C)完整性(I)可用性(A)1资产无此特性。服务内容部分遭受损害或错误，不会产生重大影响且对业务冲击可忽略。组织可以接受3天以上无法使用之情形。2服务资产涵括限组织内部应用之信息，但揭露后应不致产生严重损害者。服务内容部分遭受损害或错误，其产生之影响对业务冲击轻微，可迅速处理改正。组织可以接受3天无法使用之情形。3服务内容属机密，泄漏后可能使组织安全或形象遭受明显损害者。服务内容部分遭受损害或错误，将对业务产生明显冲击影响。组织可以接受1个工作天无法使用之情形。4服务内容属机密，泄漏后将引起组织安全遭受重大的损失者。服务内容遭受损害或错误，将对业务产生重大影响，且可能导致暂时性业务中断。组织可以接受4个小时无法使用之情形。5服务内容属机密，信息揭露予非授权者将危及国家安全者。服务内容遭受损害或错误，将对业务产生重大影响，且可能导致长时间严重的业务中断。组织可以接受1个小时无法使用之情形。表 作业软件与应用程序资产价值等级表价值机密性(C)完整性(I)可用性(A)1程序代码或相关设定不具保密价值，即使泄漏后也不会使组织安全遭受损害者。软件或设定遭受未经授权的破坏或变更，不会产生重大影响且对业务冲击可忽略。组织可以接受3天以上 无法使用之情形。2程序代码或相关设定为仅限组织内部应用之信息，但揭露后应不致产生严重损害者。软件或设定遭受未经授权的破坏或变更，其产生之影响对业务冲击轻微，可迅速处理改正。组织可以接受3天无法使用之情形。3程序代码或相关设定为具有保密价值之信息，泄漏后可能使组织安全或形象遭受明显损害者。软件或设定遭受未经授权的破坏或变更，将对业务产生明显冲击影响。组织可以接受1个工作天无法使用之情形。4程序代码或相关设定为具有保密价值之信息，泄漏后将引起组织安全遭受重大的损失者。软件或设定遭受未经授权的破坏或变更，将对业务产生重大影响，且可能导致暂时性业务中断。组织可以接受4小时无法使用之情形。5程序代码或相关设定为具有极高机密价值的信息，信息揭露予非授权者将危及国家安全者。软件或设定遭受未经授权的破坏或变更，将对业务产生重大影响，且可能导致长时间严重的业务中断。组织可以接受1小时无法使用之情形。表 硬件资产价值等级表价值机密性(C)完整性(I)可用性(A)1设备品名及设定为仅限组织内部应用之信息，但揭露后其损害可忽略者。设备遭受未经授权的破坏或设定被窜改，不会产生重大影响且对业务冲击可忽略。组织可以接受3天以上无法使用之情形。2设备品名及设定为仅限组织内部应用之信息，但揭露后应不致产生严重损害者。设备遭受未经授权的破坏或设定被窜改，其产生之影响对业务冲击轻微，可迅速处理改正。组织可以接受3天无法使用之情形。3设备品名及设定为具有保密价值之信息，泄漏后可能使组织安全或形象遭受明显损害者。设备遭受未经授权的破坏或设定被窜改，将对业务产生明显冲击影响。组织可以接受1个工作天无法使用之情形。4设备品名及设定为具有保密价值之信息，泄漏后将引起组织安全遭受重大的损失者。设备遭受未经授权的破坏或设定被窜改，将对业务产生重大影响，且可能导致暂时性业务中断。组织可以接受4小时无法使用之情形。5设备品名及设定为具有极高机密价值的信息，信息揭露予非授权者将危及国家安全者。设备遭受未经授权的破坏或设定被窜改，将对业务产生重大影响，且可能导致长时间严重的业务中断。组织可以接受1小时无法使用之情形。表 人员资产价值等级表价值机密性(C)完整性(I)可用性(A)1人员姓名及工作内容为组织内部应用之信息，但揭露后其损害可忽略者。人员技能不成熟或职务代理/交接不清楚，不会产生重大影响且对业务冲击可忽略。组织可以接受3天以上无法使用之情形。2人员姓名及工作内容为组织内部应用之信息，但揭露后应不致产生严重损害者。人员技能不成熟或职务代理/交接不清楚，其产生之影响对业务冲击轻微，可迅速处理改正。组织可以接受3天无法使用之情形。3人员姓名及工作内容属机密，泄漏后可能使组织安全或形象遭受明显损害者。人员技能不成熟或职务代理/交接不清楚，将对业务产生明显冲击影响。组织可以接受1个工作天无法使用之情形。4人员姓名及工作内容属机密，泄漏后将引起组织安全遭受重大的损失者。人员技能不成熟或职务代理/交接不清楚，将对业务产生重大影响，且可能导致暂时性业务中断。组织可以接受4小时无法使用之情形。5人员姓名及工作内容属机密，信息揭露予非授权者将危及国家安全者。人员技能不成熟或职务代理/交接不清楚，将对业务产生重大影响，且可能导致长时间严重的业务中断。组织可以接受1小时无法使用之情形。表 组织声誉资产价值等级表价值机密性(C)完整性(I)可用性(A)1资产无此特性。组织形象、声誉遭破坏或员工缺乏向心力，不会产生重大影响且对组织营运冲击可忽略。资产无此特性。2组织形象、声誉遭破坏或员工缺乏向心力，其产生之影响对组织营运冲击轻微。3组织形象、声誉遭破坏或员工缺乏向心力，将对组织营运产生明显冲击影响。组织可以接受一段时间内，组织与声誉不佳之情形。4组织形象、声誉遭破坏或员工缺乏向心力，将对组织营运产生重大影响，且可能导致暂时性业务中断。5组织形象、声誉遭破坏或员工缺乏向心力，将对组织营运产生重大影响，且可能导致长时间严重的业务中断。组织与声誉不佳将对业务造成极大的冲击，组织无法忍受任何中断的情形。三、 资产总价值资产总价值依下列公式计算，并依据表评量资产价值等级。资产总价值机密性价值完整性价值可用性价值表 资产总价值等级评量准则资产价值等级资产总价值13425738104111351415如资产项目众多，且部分资产C,I,A价值及其性质（包含脆弱点与威胁）相近时，得将资产汇整成资产群组，以资产群组进行后续风险评鉴作业。四、 威胁与脆弱点鉴别针对各项资产，列出可能的威胁与脆弱点，包括：被威胁的资产、造成威胁之因素、威胁的相关性、威胁程度、发生脆弱点的原因、资产本身安全问题与资产缺乏之安全措施。参照英国国家标准BS 7799-3:2006及国际标准ISO/IEC TR 13335-3:1998威胁与脆弱点范例数据及各大信息系统可能面临的威胁与脆弱点，本校风险评鉴参考此威胁/脆弱点数据库(风险因子数据库)进行风险分析，风险因子数据库详参风险评鉴报告之附件一。五、 风险鉴别针对每项脆弱点与威胁，分析其对资产所可能造成的冲击如下：脆弱点可能被利用的程度、资产相对的防护措施之有效性、本身脆弱点对资产所造成的冲击程度、脆弱点被利用对组织所造成营运的损失、冲击与脆弱点被威胁利用对资产造成伤害发生的可能性。表 风险鉴别等级表等级风险冲击程度可能性等级1无伤害对本校无影响。仅在例外的情况下可能发生2轻微伤害可于4小时内迅速复原。本校形象不受影响。在某种情境下可能发生，年度发生的频率在3次(含)以下3低度伤害可于1个工作日内迅速复原，但不影响信息的正确性。本校形象有低度影响。年度发生的频率为46次4中度伤害须花13个工作日处理。须投入大量的人力复原。本校形象有中度影响。年度发生的频率为710次5重大灾难中断本校之业务营运3个工作日以上。须投入大量的人力、经费进行系统复原。本校形象有重大影响。年度发生的频率在11次(含)以上六、 风险值计算风险值的计算由资产价值等级、冲击程度等级值及可能性等级值三个因子构成，风险值的范围为1125，其计算方式：风险值资产价值等级风险冲击程度值可能性等级值风险评鉴结果应汇整成风险评鉴总表(附件二)。七、 风险排序依据风险计算的结果由高而低排列风险的次序，高风险的资产应受到优先的保护。八、 决定临界风险值根据组织本身之状况决定临界风险值，并针对风险值超过临界风险值之信息资产所面临的威胁与脆弱点提出对策与控制。九、 控制目标，控制措施和对策的鉴别对列出的每项风险，依据ISO 27001:2005相关的控制目标及控制措施进行鉴别，并汇整控制目标及控制措施制作信息安全事件管理办法，确认各项风险与ISO 27001:2005控制条款间之关系，并总结提出适用性声明(SOA)。十、 总结报告风险评鉴结果应向信息安全管理委员会提出总结报告，以便信息安全管理委员会对特定资产设定控制目标、控制措施与对策，并给予高度的注意力及相当的保证与支持。对于其它风险值相对较低之资产，其需要的保证需求比照相关风险的政策与程序管理。伍、 监控和审查资产的维护和对资产价值认知的责任由业务流程负责人或资产负责人负责，应至少每年审查一次，本校营运流程有任何改变或架构变更时，必需重新进行相关部分的风险评鉴。组织结构的改变，可能导致业务流程权责的变化。责任的移交应包括业务流程的风险评鉴。部份改变或变