風險評鑑首步曲:資訊資產盤點

標題沒打錯呦...建立資安制度前，請先確認自已的資安範圍有多大。
實務面可訂定「風險評鑑計劃」，依計劃內容執行資訊資產蒐集與分類、風險識別與評估、風險排序與處理...

1. 資訊資產分類表內容應包含:資訊類別(資料/人員/軟體/硬體/...)、子類別(依類別大約展開5~10個子類別認真的同學裡也有分成幾十個子類別的，後續在推廣資安制度時，要說到讓其它同學懂又能現學現用...會是一個很大的挑戰)
2. 資訊資產安全等級內容應包含:C機密性、I完整性、A可用性、法遵，各種等級敘述與評估標準
3. 資訊資產盤點內容應包含:資訊資產編號、設備名稱、廠牌、型號、存放位置、保管人、保管人單位、使用者、使用者單位、安全等級(CIA)

風險評鑑二步曲:風險識別與評估

1. 風險因子列表內容應包含:所有資訊資產類別與子類別損壞或遺失可能產生的衝擊，風險等級評估標準。
2. 風險評鑑表內容應包含:資訊資產編號、設備名稱、保管人、使用者、安全等級(CIA)、風險等級(事件發生機率 x 事件衝擊)

風險值 = 資訊資產價值 X (事件發生機率（等級）x 事件衝擊（等級）
資訊資產價值 = 機密性、完整性、可用性之相加數值

風險評鑑三步曲:風險排序與處理

急事急辦的前提是獲得充足的授權，被允許在事件當下辦好特定事項，並於容許時限內補足紀錄。

1. 風險處理列表應包含:資訊資產編號、設備名稱、保管人、使用者、風險值、風險因子、處理對策

補充

1. 嘴巴說說的資安內容沒有文件化紀錄，並不具備不可否認性(可問責)，無法做為已完成○○事項及佐證紀錄。
2. 資訊安全人人有責，即使沒留下任何文件化紀錄，在企業或機構的組織架構上依然會有一定的權責與義務需要遵守，並不會因為當事人說自已不知道就可以不用負責任了。例如:火車行經平交道有人開車硬闖...駕駛人說沒看到火車、號誌、柵欄，是否就可以不用負責了呢? (歡迎大家腦補XDDD)

資料來源:
主動或被動教過廢宅的帥男美女老師們
達成願景之流程圖
組織全景評鑑表
資安風險評鑑標準介紹