安全等級評估

• 機密性 資料外洩的影響 普中高
• 完整性 遭竄改的影響 普中高
• 可用性 中斷的影響 普中高 (用中斷的時間評估)
• 法遵性 如發生違法情事
  普
  中 行政罰 懲戒或懲處 (機關內處罰)
  高 刑事責任 (法律制裁)

基本上 機密或完整性，有一項列為高的話，法遵性很難是普(至少都會有中)

安全等級高的防護基準

行政院要求 資通系統 如果 安全等級高的 要套用一組防護基準

防護基準寫在這邊

資通安全責任等級分級辦法 (參考美國國家標準的精簡版)

https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030304

個資洩漏可能要賠多少錢

https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=I0050021

個資法
第 四 章 損害賠償及團體訴訟
第 28 條

依前二項情形，如被害人不易或不能證明其實際損害額時，得請求法院依
侵害情節，以 每人每一事件新臺幣五百元以上二萬元以下計算。
對於同一原因事實造成多數當事人權利受侵害之事件，經當事人請求損害
賠償者，其合計最高總額以新臺幣二億元為限。但因該原因事實所涉利益
超過新臺幣二億元者，以該所涉利益為限。
同一原因事實造成之損害總額逾前項金額時，被害人所受賠償金額，不受
第三項所定每人每一事件最低賠償金額新臺幣五百元之限制。

特種個資

個資法 第 6 條

有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料，不得
蒐集、處理或利用。但有下列情形之一者，不在此限：

對可用性的要求 (某些公務機關使用的標準)

可接受的中斷時間對照表
高 24↓
中 24~72
普 72↑小時

資訊資產盤點

資產分類

• 資訊記錄
  • 電子資料 ex 網路設定 備份檔案 資料庫
  • 書面文件 ex 合約 規範文件 系統文件 使用者手冊 訓練教材
• 實體設備
  • 網路設備
  • 主機設備 ex 伺服器主機 個人電腦
  • 通訊設備
  • 環境設備 ex 不斷電系統
• 電腦系統
  • 虛擬主機
• 人員
  • keyman
• 服務
  • 供應商服務 (委外供應商)

風險情境分析

可能狀況 衝擊 可能原因

可以把可能狀況和衝擊放在一起寫，例如

電源中斷造成服務中斷
淹水造成機房停擺
傳染病造成人員無法進入

風險處理計畫範本

風險評鑑結果概要

把列出來的情境再描述一下

現有控制措施無效的情況下，要寫建議採行的控制措施

• 措施說明
• 所需資源
• 預定完成時間
• 評估方法