知識內容

• 資產管理 (ID.AM)

  • ID.AM-04
    維護供應商提供的服務清單

    • 目的

      • 掌握所有外部服務降低潛在風險

      • 使用新的外部服務前更新清單

      • 確保納入資安風險管理監控

    • 核心

      • 建立並維護完整供應商服務清單

      • 清單含詳細資訊並與管理措施整合

    • 措施

      • 建立供應商服務清單

        • EXCEL

        • 資料庫

        • 資產管理平台

      • 紀錄詳細資訊

        • 服務名稱

        • 供應商名稱

        • 服務等級協議
          (SLA)

      • 持續更新

        • 保持溝通

        • 即時更新變更

      • 整合資安風險管理

        • 評估供應商
          資安風險

        • 實施相應措施

    • 舉例

      • 追蹤雲端服務供應商提供的服務

      • 定期審查供應商服務的 SLA

  • ID.AM-05
    分類後進行優先排序

    • 目的

      • 根據資產分類、重要性、資源

      • 和對任務的影響對其進行優先排序

      • 有效分配資源優先保護影響大資產

    • 核心

      • 建立標準化流程評估後進行排序

    • 措施

      • 制定明確的資產優先排序標準

        • 組織業務目標

        • 風險管理策略

      • 評估和分類資產

        • 資產分類

        • 重要性

        • 資源需求

        • 任務影響

      • 根據評估結果，按重要性排序

      • 定期審查和更新

        • 業務環境

        • 威脅環境

        • 技術發展

    • 舉例

      • 客戶資料庫歸類高優先級資產
        因為其機密性和對業務營運的影響

  • ID.AM-07
    維護指定資料的資料清單

    • 目的

      • 了解資料類型資訊確保資料安全

      • 存放位置、流動方向、使用方式

    • 核心

      • 建立與維護資料清單對應原始資料

    • 措施

      • 定義需要管理的資料類型

        • 個人資料

        • 商業機密

        • 財務資料

        • 智慧財產權

      • 建立資料清單

        • 識別與紀錄

        • 定期更新

      • 紀錄資料詳細原始資料

        • 資料擁有者

        • 資料重要性

        • 資料處理流程

        • 資料保存期限

      • 監控與分析資料

        • 識別資料

        • 監控資料狀態

        • 更新資料

    • 舉例

      • 建立客戶個資資料清單

        • 資料來源

        • 資料用途

        • 資料保存期限

      • 使用 DLP 資料洩漏防護工具

        • 識別標記資料

        • 新增資料清單

        • 監控敏感資料

  • ID.AM-08
    在整個生命週期中管理

    • 目的

      • 在整個生命週期中進行管理

      • 系統、硬體、軟體、服務、資料

      • 確保機密性、完整性、可用性

    • 核心

      • 將資安納入資產生命週期每個階段

    • 措施

      • 制定資安策略和標準

        • 列出生命週期

        • 策略標準流程

      • 採購新資產前將資安納入考量

      • 部署新資產前進行設定與測試

      • 持續監控與維護資產安全狀態

        • 應用安全更新

        • 定期安全評估

      • 資產生命週期結束後的處理

        • 資料清除流程

        • 設備處理流程

    • 舉例

      • 軟體開發過程使用安全開發的流程

      • 硬碟報廢之前使用資料清除的工具

小試身手

• 1.根據 ID.AM-04，當組織考慮使用新的外部服務時，下列哪一項做法最為重要？

  • A)評估新服務的功能是否優於現有服務。

  • B)確認新服務的價格是否符合組織預算。

  • C)將新服務的相關資訊更新至供應商服務清單，並進行資安風險評估。

  • D)立即開始使用新服務，並在使用過程中逐步完善安全措施。

  • 答案

    • C

      • ID.AM-04 強調在使用新的外部服務前更新供應商服務清單，並確保將其納入資安風險管理監控。這是為了在服務使用前就評估潛在風險，而非事後補救。選項 (A) 和 (B) 雖然是選擇服務時需要考慮的因素，但並非資安風險管理的首要重點。選項 (D)的做法有安全風險，不符合資安管理的最佳實務。

• 2.以下哪一項是 ID.AM-05 資產優先排序的關鍵步驟？

  • A)立即關閉所有被認為不重要的資產。

  • B)為每個資產分配相同的安全資源。

  • C)根據組織業務目標、風險管理策略和資產特性制定明確的優先排序標準。

  • D)僅關注高價值資產的保護，忽略低價值資產的風險。

  • 答案

    • C

      • ID.AM-05 的核心概念是建立標準化流程評估後進行排序。制定明確的資產優先排序標準是這個流程中的關鍵步驟，它能確保組織根據自身業務目標、風險管理策略以及不同資產的特性 (例如分類、重要性、資源需求和任務影響)進行有效且一致的資源分配。選項 (A) 過於極端，選項 (B)沒有考慮到不同資產的風險等級，選項 (D)則忽略了低價值資產也可能帶來風險。

• 3.ID.AM-07 要求組織建立與維護資料清單，並對應原始資料。請問以下哪一項不屬於「資料詳細原始資料」的範疇？

  • A)資料擁有者

  • B)資料庫軟體版本號

  • C)資料處理流程

  • D)資料保存期限

  • 答案

    • B

      • 資料庫軟體版本號屬於技術細節，通常不會被歸類為「資料詳細原始資料」。ID.AM-07 關注的是資料本身的安全性和合規性管理，因此需要記錄資料擁有者、重要性、處理流程和保存期限等資訊。

• 4.ID.AM-08 為什麼強調在資產的整個生命週期中持續進行管理？

  • A)因為資安威脅和漏洞會不斷演變，需要持續調整安全措施以確保資產安全。

  • B)因為資安產品和技術更新換代很快，需要不斷更新設備以維持最佳防禦狀態。

  • C)因為資安法規和標準不斷更新，需要定期審查和調整安全策略以確保合規性。

  • D)以上皆是。

  • 答案

    • D

      • ID.AM-08 的核心概念是將資安納入資產生命週期每個階段，這意味著資安管理是一個持續不斷的過程，需要考慮到各種動態因素的影響，包括不斷變化的威脅、技術演進、法規更新以及組織自身業務需求的變化。

• 5.根據 ID.AM-08，下列哪一項措施有助於在資產生命週期結束後確保資料安全？

  • A)將所有設備捐贈給慈善機構。

  • B)將過時的軟體光碟丟棄至一般垃圾桶。

  • C)根據組織的資料清除流程安全地清除硬碟中的資料。

  • D)將包含敏感資訊的舊文件存放在員工辦公桌上。

  • 答案

    • C

      • ID.AM-08 強調在資產生命週期結束後需要進行妥善處理，例如資料清除或設備銷毀，以確保資料安全。選項 (A)、(B) 和 (D) 都存在資料洩露的風險，不符合資安管理的最佳實務。選項 (C) 符合 NIST CSF 2.0 中 ID.AM-08 子類別的說明，建議在資產生命週期結束時安全地銷毀已儲存的資料，並保存銷毀紀錄。