信息資產分級管理的具體方法（風險評估與風險管理的）朋友能夠看看

信息資產分級管理
1. 信息資產分類鑑別
達到及維護組織資產的適當保護，宜明確識別全部資產，並製做與維持全部重要資產
的清冊 ，與信息處理設施相關的全部信息及資產宜由組織指定擁有者。與信息處理設施相關的信息與資產，其可被接受的使用之規則宜予以識別、文件化及實做。各單位負責信息資產應按期更新與維護信息資產清冊，各單位彙總整合，由信息安全小組統一控管確保信息資產列表完整性。信息資產依其性質不一樣，分爲5類：人員、硬件、軟件、電子數據、書面文件依序以下：
人員：係指業務主管、承辦人員、委外廠商、契約人員等。
硬件：係指網絡設備、主機設備、通信設備、環境設備等相關硬件設施。例如：服務器主機、我的計算機、不斷電設備等。
軟件：係指自行開發或委外開發之應用系統程序、外購之軟件包等。例如：應用系統、操做系統、軟件包、工具程序等。
電子數據：係指以電子形式存在之信息數據。例如：網絡設定數據、備份文件等。
書面文件：係指以紙本形式存在之文書數據、報表等相關信息。例如：合同、規範、系統文件、用戶手冊、訓練教材等。
全部資產經由資產分類，製成「信息資產列表」。

2. 信息資產價值鑑別
信息宜依其對組織的價值、法律要求、敏感性及重要性加以分類 ，價值鑑別準則依
信息資產分類分別針對機密性、可用性、完整性，其評估標準以下：

表1 人員評估標準

表2 硬件評估標準

表3 軟件評估標準

表4 電子數據、書面文件評估標準

各資產價值爲資產之機密性、完整性及可用性評估值取最大值；如如下式子：

資產價值 = 機密性評估值 + 完整性評估值 + 可用性評估值。

各資產依資產價值數值分級；詳如資產價值等級表

表5 資產價值等級表

3. 信息資產標示與處理
宜依照組織所採用的分類法，發展與實做一套適當的信息標示與處置程序 。資產標
示必須明確。資產標示含資產風險等級並以顏色卷標區分。硬件類資產標示依其價值等級並以顏色卷標區分。
高資產價值：指該資產價值最高，貼紅色卷標。
中資產價值：指該資產價值中等，貼×××標籤。
低資產價值：指該資產價值最低，不貼卷標。
資產在保存過程當中，應依適當程序做妥善保存。資產的生命週期包含產生、使用、維護與銷燬。在整個生命週期中，每項資產皆由信息科技部領導指派資產管理人。資產管理人必須妥善運用與保存該資產。其餘同仁使用資產需經由管理人受權，方可以使用該資產。其使用過程需紀錄於該資產之使用記錄。資產之私密信息由管理人維護，採用僅知原則(Need-To-Know)，受權給其餘同仁使用時，以最小量之信息提供給使用人得知。爲掌握信息設備情況，對於信息室有價值之信息設備之增置、轉移、報廢應予確實登陸。資產借用應予登記，以控管資產現況。資產於報廢時應循相關報廢程序進行報廢。

鑑別風險弱點與威脅
脆弱性，亦稱弱點。脆弱性是組織信息安全的弱點或漏洞。基本上，脆弱性自己不會
形成傷害，而是威脅利用這些脆弱性對系統進行傷害。針對要鑑別的每項資產分類，依序尋找出全部相對應的弱點以下：
人員：包括缺少對外部團體與信息安全相關之規範、缺少通常辦公環境的安全控管、缺少對人員之安全管理、缺少對人員認知之倡導及教育訓練、缺少工做之權責劃分與人員代理機制、缺少信息安全事件通報及處理程序。
硬件：缺少對外部團體與信息安全相關之規範、.缺少通常辦公環境的安全控管、缺少書面化操做程序之控管、缺少網絡之安全管理、缺少數據交換之安全管理、
缺少對儲存媒體的安全控管、缺少系統監視、記錄與相關的系統稽覈軌跡、缺
乏對實體資產之保護與管理、缺少取得信息系統之規劃及驗收程序、缺少對取
得服務的安全控管、缺少對管制區域之安全管理、缺少信息安全事件通報及處
理程序、缺少對場外工做之安全控管。
軟件：缺少對外部團體與信息安全相關之規範、缺少通常辦公環境的安全控管、缺少書面化操做程序之控管、缺少網絡之安全管理、缺少數據交換之安全管理、缺少系統監視、記錄與相關的系統稽覈軌跡、缺少數據的安全管理、缺少取得資訊系統之規劃及驗收程序、缺少對信息系統存取之安全管理、缺少系統聯機之安全管理、缺少信息系統開發之安全管理、缺少對取得服務的安全控管、缺少信息系統安全防禦機制、缺少信息安全事件通報及處理程序、缺少對電子商務之安全控管、缺少對場外工做之安全控管。
電子數據：缺少對外部團體與信息安全相關之規範、缺少通常辦公環境的安全控管、缺少書面化操做程序之控管、缺少網絡之安全管理、乏數據交換之安全管理、缺少系統監視、記錄與相關的系統稽覈軌跡、缺少數據的安全管理、.缺少對實體資產之保護與管理、缺少取得信息系統之規劃及驗收程序、缺少對信息系統存取之安全管理、缺少信息系統開發之安全管理、缺少對取得服務的安全控管、缺少信息安全事件通報及處理程序、缺少對電子商務之安全控管。
書面文件：缺少對外部團體與信息安全相關之規範、缺少通常辦公環境的安全控管、缺少書面化操做程序之控管、缺少數據交換之安全管理、缺少系統監視、記錄與相關的系統稽覈軌跡、缺少數據的安全管理、.缺少對實體資產之保護與管理、缺少對取得服務的安全控管、缺少對管制區域之安全管理、缺少信息安全事件通報及處理程序。

威脅的鑑別威脅是指對組織意圖形成傷害或損失，不管是意外或是蓄意，人爲或是天
災。資產容易受到許多威脅，這些威脅來自利用脆弱性。威脅可區分爲自然災害、人爲的威脅、非人爲的威脅；威脅的鑑別，須針對每項資產，列出可能的威脅。針對要鑑別的每項資產分類，依序尋找出全部相對應的威脅以下：
人員：無知、貪念、脅迫、惰性、人力不足、惡意、疏失、傳染病。
硬件：毀損、竊取、災害、故障、破壞。
軟件：不法使用、錯誤、竄改、延遲、失效、損毀、僞造。
電子數據：盜賣、泄漏、錯誤、竄改、損毀、僞造。
書面文件：泄漏、竊取、竄改、僞造、遺失、損毀。

計算信息資產風險權值
綜合信息資產價值(如表5資產價值等級表)、弱點(如表6 電子數據類弱點值斷定
表)、威脅等因素(如表7威脅值斷定表)，透過信息資產之風險評鑑，可得知該項信息資產所面臨之風險程度並予以量化，做爲選擇控制措施之依據。計算風險權值之公式爲：
信息資產風險權值 = 信息資產價值 × 弱點權值 × 威脅權值
根據此一計算模型，風險權值最低爲1，最高爲27。

表6 電子數據類弱點值斷定表

表7 威脅值斷定表
考慮現有控管機制及資產特性，進行如下定義：

資產風險處理的評估
在彙整完風險評鑑結果以後應召開管理階層審查會議，由會議討論決定可接受風險之
風險值。低於此風險值之資產，視爲低風險，也就是可接受之風險。風險值高於可接受風險之信息資產，應採起風險處理。風險處理的方法主要分紅如下四種：
下降風險：設置有效的內部控制措施，針對不一樣的領域進行管控，以達到風險值下降之目的。
轉移風險：利用轉嫁的方式下降風險，例如購買保險以補償方式下降風險。
避免風險：利用取代方案或其餘之資產以替代此資產所帶來之風險，不過若採起此方法，需再評估替代方案之可行性，以及帶來的風險值。前提是替代方案能帶來更低的風險。
接受風險：在以上三個方式都沒法採用時，管理階層能夠決定接受此風險，也就是接受此風險。

對應的相關表