前言依舊被吃了~跟月餅一樣(雖然明天才是中秋節XD)
▉前導觀念~先理解這兩個數值是怎麼評分的~
(也可以放生它啦,直接評,後面會說為什麼)
►風險值=資料價值弱點程度威脅機率
►資產價值=機密性+完整性+可用性
►►弱點>通常指的是自身沒有做好的地方(內部議題)
►►威脅>會發生的事件(外部議題)
▉資產盤點(基本大概是長這個樣子,也可能很複雜)
在我自已的做法,為什麼,我會說可以先放生它,用自已的想法去評?
因為在『弱點』&『威脅』這兩個項目,剛開始,還蠻常認知錯誤,所以分數也就跟著評錯XD"
先求有,再求好,所以自已評完一遍以後,可以跟現有的(前人寫的)資料評鑑表,去看看差異。
實務上,每年的資產盤點,跟這個類似,只是少了後面的風險等級評估,所以也可以拿現在的資產盤點,來製作風險評核表。
其實嘛。。。沒人幫看的話,等內稽的時候你會被盯,但也就有人幫你改了不是嗎?學經驗囉XDDD"
▉今天的相關參考(Google|iso27001 風險評鑑表):
(1)國家資通安全會報-技術服務中心『資訊系統風險評』
https://download.nccst.nat.gov.tw/attachfilehandout/2010091002.pdf
(2)資訊資產評估暨風險管理與風險評鑑教育訓練(0623).pptx
https://download.nccst.nat.gov.tw/attachfilehandout/2010091002.pdf
(3)邦友寫的|資安風險評鑑流程範例
https://ithelp.ithome.com.tw/articles/10219866
12點的玻璃鞋~耶~今天寫的比較快~撒花啦~*