iT邦幫忙

2021 iThome 鐵人賽

DAY 7
1
Security

作業抄起來!資通安全管理法什麼的系列 第 7

盤點資通資產 - 資訊及資通系統資產清冊

不能摻在一起做成撒尿牛丸嗎?

https://ithelp.ithome.com.tw/upload/images/20210922/20103688bj0KTP4bmR.png


適用人員: 資安人員。
適用法規: 資通安全管理法施行細則第六條

依據該條例,必須產出一個很大的文件「資通安全維護計畫」。其中一個內容「六、資通系統及資訊之盤點,並標示核心資通系統及相關資產。 」就是要產出這篇文章所要介紹的「資訊及資通系統資產清冊」。

這裡有一個比較麻煩的點是,會報雖然有提供資通安全維護計畫的範本,內容只簡明需包含下列內容:

  • 資訊及資通系統名稱
  • 資產名稱
  • 資產類別
  • 擁有者
  • 管理者
  • 使用者
  • 存放放置
  • 防護需求等級

但實際的欄位更多,或者說實務上通常會兩個文件一起做,一個是一般的資產盤點,我將它歸類為這次的主角「資訊及資通系統資產清冊」,其中會因應 ISMS 的要求,加上風險評估的內容。範本反而需要上網找舊草案中的範例。整理後如下:

  • 資產編號
  • 資產類別
  • 資產名稱
  • 數量
  • 資產說明
  • 擁有者(部門)
  • 管理者(部門)
  • 使用者(部門)
  • 存放位置
  • 評估資產價值
    • 機密性
    • 完整性
    • 可用性
    • 資產價值
  • 風險評鑑
    • 威脅
    • 弱點
    • 可能性(威脅發生的機率)
    • 衝擊程度(弱點發生時的影響)

這個文件重點在全面的資訊盤點及風險評鑑,但是卻缺少了「防護需求」。因此會再需要另一個文件長的很像的資通系統盤點「機關資通系統與服務資產清冊」,留在下一篇介紹。

參考資源

資通安全維護計畫的格式高雄市建國國小107學年度資訊及資通系統資產清冊
ISMS 的格式陽明國中資訊及資通系統資產清冊

話說這些資訊需要公開嗎....


上一篇
輕鬆小單元 - 範圍要多廣
下一篇
資產盤點 - 機關資通系統與服務資產清冊
系列文
作業抄起來!資通安全管理法什麼的30

1 則留言

我要留言

立即登入留言