不能摻在一起做成撒尿牛丸嗎?

適用人員: 資安人員。
適用法規: 資通安全管理法施行細則第六條。

依據該條例，必須產出一個很大的文件「資通安全維護計畫」。其中一個內容「六、資通系統及資訊之盤點，並標示核心資通系統及相關資產。 」就是要產出這篇文章所要介紹的「資訊及資通系統資產清冊」。

這裡有一個比較麻煩的點是，會報雖然有提供資通安全維護計畫的範本，內容只簡明需包含下列內容:

• 資訊及資通系統名稱
• 資產名稱
• 資產類別
• 擁有者
• 管理者
• 使用者
• 存放放置
• 防護需求等級

但實際的欄位更多，或者說實務上通常會兩個文件一起做，一個是一般的資產盤點，我將它歸類為這次的主角「資訊及資通系統資產清冊」，其中會因應 ISMS 的要求，加上風險評估的內容。範本反而需要上網找舊草案中的範例。整理後如下:

• 資產編號
• 資產類別
• 資產名稱
• 數量
• 資產說明
• 擁有者(部門)
• 管理者(部門)
• 使用者(部門)
• 存放位置
• 評估資產價值
  • 機密性
  • 完整性
  • 可用性
  • 資產價值
• 風險評鑑
  • 威脅
  • 弱點
  • 可能性(威脅發生的機率)
  • 衝擊程度(弱點發生時的影響)

這個文件重點在全面的資訊盤點及風險評鑑，但是卻缺少了「防護需求」。因此會再需要另一個文件長的很像的資通系統盤點「機關資通系統與服務資產清冊」，留在下一篇介紹。

參考資源

資通安全維護計畫的格式高雄市建國國小107學年度資訊及資通系統資產清冊
ISMS 的格式陽明國中資訊及資通系統資產清冊

話說這些資訊需要公開嗎....