資訊資產盤點說明
大綱
2
為什麼要做資訊資產盤點?
全面了解組織的資訊資產及其所面臨的風險,從而更好地保護這些資產,當發生資安事件時,讓人員能以最快的速度應變,並啟動備用措施,讓衝擊降到最低。
3
什麼!這台伺服器竟然有這麼多筆個人資料!
這台電腦平常都無人使用,沒想到會變成駭客的跳板。
如果沒有人知道哪些設備和資料是關鍵的,出了問題我們根本無法及時應對。
這台印表機居然還使用預設帳密!
這些老舊的網路攝影機完全沒有加密,駭客可以輕易地入侵並觀看我們的監控影像!
資訊資產類別 (6大類)
4
人員
資料
硬體
通訊
軟體
環境
機密性(C)、完整性(I)、可用性(A)
5
CIA是資訊安全的鐵三角,任何違反他們的事件行為都都會減低資安的防護強度,有可能對公司重要資產或機密資料造成威脅。
保護免受不當修改或破壞
完整性(I)
機密性(C)
可用性(A)
確保資訊和系統在需要時可以正常運作
資訊資產價值
確保只有被授權的人可以存取
6
資訊資產價值表
人員 | |||||
等級 | 機密性(C) | 等級 | 完整性(I) | 等級 | 可用性(A) |
1 | 該人員僅可存取公開資訊。 | 1 | 人員業務執行異常不會造成影響。 | 1 | 可容忍人員缺席24工作小時以上,不會造成任何影響或其影響是可忽略的。 |
2 | 該人員可存取僅限單位內部公開資訊。 | 2 | 人員業務執行異常造成業務運作效率降低。 | 2 | 可容忍人員缺席8工作小時以上24工作小時以下,其對單位業務之營運僅造成輕微影響。 |
3 | 該人員可存取特殊授權或主管性內部機敏資訊。 | 3 | 人員業務執行異常造成業務運作停頓,但不影響單位主要業務。 | 3 | 可容忍人員缺席4工作小時以上8工作小時以下,其對單位業務之營運將造成中度影響,但不至於造成業務停頓。 |
| | 4 | 人員業務執行異常造成核心業務運作停頓。 | 4 | 可容忍人員缺席4工作小時以下,其對單位業務之營運將造成高度影響且致使業務停頓。 |
7
資訊資產價值表
硬體類、通訊類、軟體類、資料類、環境類 | |||||
等級 | 機密性(C) | 等級 | 完整性(I) | 等級 | 可用性(A) |
1 | 該資訊資產對外公開,任何人均可存取,無機密性需求。 | 1 | 該資訊資產發生損壞或故障時,不會造成任何影響或其影響是可忽略的。 | 1 | 該資訊資產可容許失效72小時(3天)。 |
2 | 該資訊資產僅限單位內部使用,限單位內部人員存取。 | 2 | 該資訊資產發生損壞或故障時,將對單位業務之營運造成輕微影響(僅影響單一業務)。 | 2 | 該資訊資產可容許失效24小時以上,72小時以下。 |
3 | 該資訊資產為內部業務資料,需特殊授權或僅主管可存取。 | 3 | 該資訊資產發生損壞或故障時,將對單位業務之營運造成中度影響(影響多個業務),但不至於造成業務停頓。 | 3 | 該資訊資產可容許失效12小時以上,24小時以下。 |
| | 4 | 該資訊資產發生損壞或故障時,將對單位業務之營運造成高度影響且致使業務停頓。 | 4 | 該資訊資產僅容許失效12小時以下。 |
*我們已將所有資訊資產類別裡較常發生的潛在風險事件挑出,這邊注意請至少選擇兩項!
8
潛在風險事件
在組織內可能會發生,但尚未實際發生的事件,這些事件一旦發生,可能會對組織的資訊資產、系統、業務流程等造成負面影響。潛在風險事件通常需要事先識別和管理,以防止其發生或減少其可能造成的損害。
9
可能性、衝擊性評估
可能性評估標準 | 機 率 | 等級 |
無此可能或不適用 | 無 | 1 |
幾乎或很少發生(每年最多一次) | 低 | 2 |
偶爾發生(每季最多一次) | 中 | 3 |
時常發生(每月最少一次) | 高 | 4 |
衝擊性評估標準 | 機 率 | 等級 |
此資產在遇到此事件時,僅影響個人。 | 微 | 1 |
此資產在遇到此事件時,影響單位部份作業。 | 低 | 2 |
此資產在遇到此事件時,影響全單位業務中斷。 | 中 | 3 |
此資產在遇到此事件時,影響全校業務中斷。 | 高 | 4 |
可接受風險值:每年會根據全校回填的資訊資產進行分析,並於資安管理審查會議向資安長及委員報告,由委員共同決定年度的可接受風險值。
10
總風險值
資訊資產價值
可能性
衝擊性
總風險值
資訊資產風險值高於「可接受風險值」,應各單位內統整一份,並納入「風險處理計畫」之改善清單 。
幫助各單位管理和減少潛在風險帶來的負面影響,以及提前思考當事件發生時的應對策。
11
小分類 | 資產名稱範例 | 備住 |
內部人員 | 主管、校內人員、資訊人員 | |
委外廠商 | 資訊服務委外廠商負責人、到點/遠端維護人員 | |
資訊資產各類別介紹-人員
Q:工讀生要盤嗎?
A:不需要,但是計畫專任助理要盤!但請記得工讀生需簽署保密切結文件!
12
小分類 | 資產名稱範例 | 備住 |
電子檔 | 應用程式源碼、系統紀錄(Log)、備份資料、資通系統相關文件、契約、會議記錄 | 可考量個資量或內容是機敏性進行群組式盤點,惟群組式盤點會有共生問題,因以個資角度,其保有年限會一致性之問題 |
紙本 | ||
資料庫 | 系統資料庫、資料庫備份檔 | 線上資料庫和備份資料庫請分開盤點 |
資訊資產各類別介紹-資料
Q:本單位的資通系統相關文件數量繁多,需要逐一填寫嗎?
A:不需要,如果文件的價值(機密性、完整性、可用性)皆相同,可以將其群組化,填寫一次即可。
例如:XXX系統資安相關文件/數量10
Q:資料裡的相關資產存放於Google雲端硬碟,需要納入資訊資產嗎?
A:要,建立資訊資產清冊的目的在於降低資安事件發生的風險,無論儲存在雲端硬碟或隨身碟,都需要納入盤點,與儲存媒介無關。
13
小分類 | 資產名稱範例 | 備住 |
一般硬體 | 公務電腦、筆電、平板 | |
伺服器 | 伺服器主機、DNS 伺服器、DHCP 伺服器、存放計中向上集中系統虛擬機 | |
IOT設備 | 網路印表機、網路攝影機、無線網路基地台、電子看板、無人機、門禁設備/卡機、環控系統、智慧家電、無線路由器 | 從外部租賃的事務機也必須要盤點! |
機房基礎設施 | 不斷電系統、第二電力供應迴路、穩壓器、機櫃、避雷裝置、警報系統、備用發電系統、環境控制系統 | |
資訊資產各類別介紹-硬體
Q:大家共用的印表機,由誰負責盤點?
A:可由資安窗口統一盤點,或單位內自行協調,僅需填寫一次即可。
Q:我的桌上放兩台電腦主機,但只有其中一台在使用,兩台都需要盤點嗎?
A:需要,除非該電腦已報廢,並將硬碟進行低階格式化,確實銷毀資料,才可以不用盤點。
14
小分類 | 資產名稱範例 | 備住 |
網路設備 | 網路交換器、路由器、網絡集線器、負載平衡器、防火牆、網路存儲設備、網路閘道器、等網路相關設備。 | |
資訊資產各類別介紹-通訊
15
小分類 | 資產名稱範例 | 備住 |
伺服器主機作業系統 | Microsoft Windows Server、MS-SQL Server、UNIX、Linux...等 | 僅需盤伺服器的作業系統 |
套裝軟體 | 防火牆軟體、防毒軟體、租賃雲端服務、驗證軟體、資料庫管理系統...等單位自行購買、租賃套裝軟體(無客製化) | |
資通系統 | 委外或自行開發的系統(含經客製調整之套裝軟體)、資料庫放置於本校之共通系統 | 官網、所有對外開放系統都要盤 |
資訊資產各類別介紹-軟體
Q:個人電腦的作業系統需要盤點嗎?
A:個人電腦的作業系統由計中統一購買授權,為計中資產,因此不需盤點。
Q:伺服器主機作業系統要怎麼盤?
A:在系統上的資訊資產名稱可以填XXX系統伺服器主機作業系統-windows
16
小分類 | 資產名稱範例 | 備住 |
一般辦公區域(限校內人員使用) | 辦公室 | |
非辦公區域 | 電腦機房、監控室、會議室、電腦教室、視聽教室 | |
倉庫/庫房 | 倉庫、檔案室 | |
資訊資產各類別介紹-環境
Q:會議室與倉庫、庫房和資訊資產較無相關,需要納入盤點嗎?
A:如果倉庫內有存放資訊相關檔案、重要公文或資訊設備,則可能會有自然災害、失竊或破壞等風險,需要納入資訊資產;反之,如果該區域與資訊毫無相關,就不必列入資訊資產清冊。
什麼情況下可以「群組化」?
17
相同性質
相同環境
相同價值
相同風險
例如:辦公室有 10 台桌上型電腦讓同仁辦公,即可將這 10 台電腦群組化,只需填寫一次表單,可大幅減少盤點所需時間。(若為不同廠牌型號,建議分開盤點)
⚠注意! 資產價值與資產價格不同,如果其中一台電腦存放內部極為機密資料,機密性會比其他相同型號的電腦高,此時這台電腦就必須分開填寫。
18
請於113年10月31日前填報完成,以利提供管審會審查,謝謝您的協助。