H1Day18:瞭解風險管理流程─風險管理(續)
- 盤點:資訊資產的購入價格、存放地點、檔案大小、類別,都不是決定資訊資產價值的主要因素,但是這些在盤點表裡面上都可以列示。
- 風險鑑別:機密性、完整性、可用性、法令遵循性的質性分析(或量化分析)才是風險鑑別時要注意的事項,決定最高價值、最高風險的資訊資產,可以優先配置組織有限的資安預算。
- 決定優先順序:例如年度有100萬元的資安預算,是要用來購置防火牆還是為使用者更換新的主機,這樣的優先次序通常會整理成一個表格,供管理階層勾選,決定資源的配置。
- 決定容忍度:通常是由最高管理階層例如執行長或資安長來決定一個企業對風險的容忍度。例如得分在64分以上的資產,必須列入年度稽核計劃、必須每季在董事會報告。而得分在10分以下的資產,最高管理階層可能決定接受其風險,不做任何動作,當風險發生時接受其後果。
1. 暖通空調(heating, ventilation and air conditioning,HVAC)是屬於那種資產?
答案:屬於服務資產;電腦屬硬體;ERP屬軟體;ISO文件屬文件、電力水空調等屬服務;同仁(包含外包廠商、工讀生、約聘人員)都屬於人員資產
2.資訊資產盤點的目的為何?
答案:為了更適切的保護資產```