好的！【足以維護資訊系統的人才】已經到位啦！
所以就就可以針對資訊資產來做管理！

A.8 資產管理

A.8.1 資產責任

識別組織之資產並定義適切之保護責任。

A.8.1.1 資產清冊

應識別與資訊及資訊處理設施相關聯之資產，並製作及維持此等資產之清冊。

• 資訊資產清冊版本及日期

• 挑選此次驗證範圍的重大資訊系統為此次抽樣目標
  如果不知道哪個是重大資訊系統，可以直接與受稽方討論。

• 確認資產清冊列入的項目是否缺漏

A.8.1.2 資產擁有權

清冊中所維持之資產應具擁有者。

• 資產擁有者才能決定資產的用法
• 人員異動是否一併更新資產清冊

A.8.1.3 資產之可被接受使用

對與資訊及資訊處理設施相關聯之資訊及資產，應識別、文件化及實作可被接受使用之規則。

• 預期在組織內會看到資產使用的相關程序要求，如使用政策、管理規範

A.8.1.4 資產之歸還

所有員工及外部使用者於其聘用、契約或協議終止時，應歸還其據有之全部組織資產。

• 資產異動是否有相關記錄，如：汰換、維修、借用、歸還

A.8.2 資訊分級

確保資訊依其對組織之重要性，受到適切等級的保護。

A.8.2.1 資訊之分級

資訊應依法律要求、價值、重要性及對未經授權揭露或修改之敏感性分級。

• 請教資訊資產分級的方法

A.8.2.2 資訊之標示

應依組織所採用之資訊分級方案，發展及實作一套適切的資訊標示程序。

• 有了分級的方法要有標示的方式，如：用紅色卷宗代表機密。

A.8.2.3 資產之處置

應依組織所採用之資訊分級方案，發展及實作處置資產之程序。

• 依據分級之重要性，進行資產必要之處置，如：保護方式、存放、任何的措施

A.8.3 媒體處置

防止儲存於媒體之資訊被未經授權之揭露、修改、移除或破壞。

A.8.3.1 可移除式媒體之管理

應依組織所採用之資訊分級方案，實作管理可移除式媒體之程序。

• 如字面上述所，可移除式媒體的管理方式，如：USB、光碟、磁帶…

A.8.3.2 媒體之汰除

當不再需要媒體時，應使用正式程序加以安全汰除。

• 媒體汰除之做法，依組織定義之做法，但要是安全且有效的，如：碎紙機、水銷、消磁、實體破壞

A.8.3.3 實體媒體傳送

應保護含有資訊之媒體於傳送時，不受未經授權的存取、誤用或毀損。

• 如果儲存重要資料的媒體要透過實體運送，也要有保護的方式，例如: 防竄改包裝、專人親送、上鎖保護箱

參考文獻

國家標準(CNS)網路服務系統：https://www.cnsonline.com.tw/

恐怖遊戲推薦：

廢棄孤兒院(Palmyra Orphanage)

Steam：https://store.steampowered.com/app/1085160/Palmyra_Orphanage/

超自然第一人稱恐怖，發生在一個廢棄的孤兒院。 走過你童年的走廊，但請記住，不是只有你一個。
還是泰國風味口味最重了 >/////<