適用人員: 資安人員。
適用法規: 資通安全管理法施行細則第六條。
上一篇有提到這一份很相似的清冊,依據的條例也是相同。嚴格來看的話,如果上一篇的「資訊及資通系統資產清冊」依照 ISMS 的標準格式,那麼也可以說是依據「資通安全責任等級分級辦法」,因為其中管理面的「資訊安全管理系統之導入及通 過公正第三方之驗證」即要求導入 ISMS。
有點饒舌...以下就以我了解的區分如下
| ... | 資訊及資通系統資產清冊(軟、硬體資產) | 機關資通系統與服務資產清冊(系統服務) |
|---|---|---|
| 要求來源 | 行政院會報 | 法規 |
| 交付給 | 自行保管或交付上級機關 | 交付上級機關後,由上級機關上傳至行政院會報的管考系統 |
| 內容 | 依照 ISMS 要求將資產分類、盤點 | 列出單位內提供的系統服務 |
| 重點 | 盤點後根據 ISMS 要求進行風險評估 | 盤點後依照資安法的防護基準辦理 |
這篇的重點在於找出核心資通系統,而根據資通安全管理法施行細則:
核心資通系統,指支持核心業務持續運作必要之系統,或依資通安全責任等級分級辦法附表九資通系統防護需求分級原則之規定,判定其防護需求等級為高者。
建議步驟是定義出單位的核心業務,再找出對應的應用系統即為核心資通系統。再清查出其他的資通系統,最後標式出核心資訊系統、以及防護需求等級高的資通系統。因為這兩者會影響到應辦事項,如ISMS 第三方認證、業務持續運作演練、安全性檢測等。
這次的文件相對來說簡單,而且只要依據「減少應辦事項」的建議,排除核心、減少敏感資料就能降底防護等級,大大減少所需的防護基準。
管考系統提供之範本:
行政院國家資通安全會報_資通安全作業管考系統操作與填報_1100309
機關資通系統與服務資產清冊_匯入範本_1100307v3
iThome鐵人賽
看影片追技術