信息资产分级管理.docxVIP

信息资产分级管理 1. 信息资产分类鉴别 达到及维护组织资产的适当保护，宜明确識别所有资产，并制作与维持所有重要资产 的清册 ，与信息处理设施相关的所有信息及资产宜由组织指定拥有者。与信息处理设施相关的信息与资产，其可被接受的使用之规则宜予以識别、文件化及实作。各单位负责信息资产应定期更新与维护信息资产清册，各单位汇总整合，由信息安全小组统一控管确保信息资产列表完整性。信息资产依其性质不同，分为5類：人员、硬件、软件、电子数据、书面文件依序如下： 人员：系指业务主管、承办人员、委外厂商、契约人员等。 硬件：系指网络设备、主机设备、通讯设备、环境设备等相关硬件设施。例如：服务器主机、个人计算机、不断电设备等。 软件：系指自行开发或委外开发之应用系统程序、外购之软件包等。例如：应用系统、操作系统、软件包、工具程序等。 电子数据：系指以电子形式存在之信息数据。例如：网络设定数据、备份文件等。 书面文件：系指以纸本形式存在之文书数据、报表等相关信息。例如：合同、规范、系统文件、用户手册、训练教材等。 所有资产经由资产分類，制成「信息资产列表」。 2. 信息资产价值鉴别 信息宜依其对组织的价值、法律要求、敏感性及重要性加以分類 ，价值鉴别准则依 信息资产分類分别针对机密性、可用性、完整性，其评估标准如下： 表1 人员類评估标准 项目 价值 价值描述 机密性 3 可取存各類数据(含机密、内部限阅、内部使用及公开数据) 2 可取存内部使用及公开数据 1 可取存公开類资料 可用性 3 为维系正常运作，在该人员无法持续提供服务时，可容忍替换时间为最短 2 为维系正常运作，在该人员无法持续提供服务时，可容忍替换时间为适中 1 为维系正常运作，在该人员无法持续提供服务时，可容忍替换时间为最长 表2 硬件類评估标准 项目 价值 价值描述 可用性 3 可容许连续中断的时间4个小时以下 2 可容许连续中断的时间在4个小时以上，8个小时以下 1 可容许连续中断的时间在8个小时以上 表3 软件類评估标准 项目 价值 价值描述 机密性 3 其知识产权属或所有权为机关所有，且该软件处理之数据内容或设计规格涉及机关营业秘密 2 其知识产权属或所有权为机关所有，且该软件处理之数据内容或设计规 格，未经书面同意，不得由第三方使用 1 其软件处理之数据内容或设计规格不具机密性 完整性 3 软件设计规格之不完整，可能造成业务营运之全面性中断或违反法令之遵循 2 软件设计规格之不完整，可能造成作业上之不便，须改以人工操作 1 软件设计规格之不完整，并不影响日常作业 可用性 3 可容许连续中断的时间4个小时以下 2 可容许连续中断的时间在4个小时以上，8个小时以下 1 可容许连续中断的时间在8个小时以上 表4 电子数据、书面文件類评估标准 项目 价值 价值描述 机密性 3 除工作职责之所须外，须经拥有者同意后始可使用或阅读 2 仅签有必威体育官网网址协议之人员或主管机关可以使用 1 为公开信息，不具机密性 完整性 3 其完整性可能影响法令之遵循，且会对该信息资产有重大影响且可能导致严重的业务中断 2 其完整性可能影响业务导致效能降低，但不致对业务造成停顿 1 其完整性对该信息资产的影响极低，且不会对业务运作的效能造成任何影响或影响极低 可用性 3 该数据若未及时取得，可能直接影响营运业务或法令之遵循 2 该数据若未及时取得，可能导致作业上之不便 1 该资料并无时效性之问题 各资产价值为资产之机密性、完整性及可用性评估值取最大值；如以下式子： 资产价值 = 机密性评估值 + 完整性评估值 + 可用性评估值。 各资产依资产价值数值分级；详如资产价值等级表 表5 资产价值等级表 類别 数值 等级描述 人员類 6 高资产价值(3) 4~5 中资产价值(2) 2~3 低资产价值(1) 硬件類 3 高资产价值(3) 2 中资产价值(2) 1 低资产价值(1) 软件類 电子数据類 书面文件類 9 高资产价值(3) 6~8 中资产价值(2) 3~5 低资产价值(1) 3. 信息资产标示与处理 宜依照组织所采用的分類法，发展与实作一套适当的信息标示与处置程序 。资产标 示必须明确。资产标示含资产风险等级并以颜色卷标区分。硬件類资产标示依其价值等级并以颜色卷标区分。 高资产价值：指该资产价值最高，贴红色卷标。 中资产价值：指该资产价值中等，贴黄色标签。 低资产价值：指该资产价值最低，不贴卷标。 资产在保存过程中，应依适当程序作妥善保存。资产的生命周期包含产生、使用、维护与销毁。在整个生命周期中，每项资产皆由信息科技部领导指派资产管理人。资产管理人必须妥善运用与保存该资产。其他同仁使用资产需经由管理人授权，方可使用该资产。其使用过程需纪录于该资产之使用记录。资产之私密信息由管理人维护，采用仅知原则