iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 8
0
Security

什麼都會一點的住海邊資安證照 cissp系列 第 8

風險評鑑的安全等級該怎麼區分呢

安全等級評估

  • 機密性 資料外洩的影響 普中高
  • 完整性 遭竄改的影響 普中高
  • 可用性 中斷的影響 普中高 (用中斷的時間評估)
  • 法遵性 如發生違法情事

    中 行政罰 懲戒或懲處 (機關內處罰)
    高 刑事責任 (法律制裁)

基本上 機密或完整性,有一項列為高的話,法遵性很難是普(至少都會有中)

安全等級高的防護基準

行政院要求 資通系統 如果 安全等級高的 要套用一組防護基準

防護基準寫在這邊

資通安全責任等級分級辦法 (參考美國國家標準的精簡版)

https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030304

個資洩漏可能要賠多少錢

https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=I0050021

個資法
第 四 章 損害賠償及團體訴訟
第 28 條

依前二項情形,如被害人不易或不能證明其實際損害額時,得請求法院依
侵害情節,以 每人每一事件新臺幣五百元以上二萬元以下計算。
對於同一原因事實造成多數當事人權利受侵害之事件,經當事人請求損害
賠償者,其合計最高總額以新臺幣二億元為限。但因該原因事實所涉利益
超過新臺幣二億元者,以該所涉利益為限。
同一原因事實造成之損害總額逾前項金額時,被害人所受賠償金額,不受
第三項所定每人每一事件最低賠償金額新臺幣五百元之限制。

特種個資

個資法 第 6 條

有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得
蒐集、處理或利用。但有下列情形之一者,不在此限:

對可用性的要求 (某些公務機關使用的標準)

可接受的中斷時間對照表
高 24↓
中 24~72
普 72↑小時

資訊資產盤點

資產分類

  • 資訊記錄
    • 電子資料 ex 網路設定 備份檔案 資料庫
    • 書面文件 ex 合約 規範文件 系統文件 使用者手冊 訓練教材
  • 實體設備
    • 網路設備
    • 主機設備 ex 伺服器主機 個人電腦
    • 通訊設備
    • 環境設備 ex 不斷電系統
  • 電腦系統
    • 虛擬主機
  • 人員
    • keyman
  • 服務
    • 供應商服務 (委外供應商)

風險情境分析

可能狀況 衝擊 可能原因

可以把可能狀況和衝擊放在一起寫,例如

電源中斷造成服務中斷
淹水造成機房停擺
傳染病造成人員無法進入

風險處理計畫範本

風險評鑑結果概要

把列出來的情境再描述一下

現有控制措施無效的情況下,要寫建議採行的控制措施

  • 措施說明
  • 所需資源
  • 預定完成時間
  • 評估方法

上一篇
資安風險評鑑流程範例
下一篇
個資保護相關法令
系列文
什麼都會一點的住海邊資安證照 cissp11

尚未有邦友留言

立即登入留言