資訊安全管理制度運行會產出一系列的文件化紀錄,著也是稽核程序中可能會發現的不合理之處。
其中,在風險評鑑時,起手式莫過於資訊資產盤點自評了!!
資訊資產盤點與固定資產盤點最大的差別,在於資訊資產會針對資訊資產以多個面向(例如:資通系統包含硬體、軟體、網路、中介軟體、作業系統、商譽...等角度)看待風險,所獲得的風險評鑑也較固定資產更為全面。
2種盤點表用途不同,不需要在彙整成同一張表單的議題上著墨過多。
資訊資產盤點的重要性在於確認資安邊界、安全等級分級、風險識別與排序,以及後續殘餘風險等管控措施訂定依據。
如果發生了下圖模擬情境,表示執行人員的認知不足且無法在專案期限內提交必要文件,建議方案如下:
iThome鐵人賽
看影片追技術