資訊保安管理規範

太極計算機股份****

iso20000體系檔案

（版次：0/a）

2023年3月1日發布2023年3月1日實施

手冊修訂履歷

目錄1 目的 4

2 適用範圍 4

3 術語定義 4

4 角色及職責 4

5 工作說明 4

5.1 資產識別 4

5.2 風險的識別 5

5.3 風險評估 5

5.4 風險等級評價: 6

5.5 超過可接受風險的處置: 6

5.6 定期評估 6

5.7 資訊保安事件 6

5.8 資訊保安事件分析 6

5.9 改進計畫 7

6 相關檔案及記錄 7

6.1 相關檔案 7

6.2 表單與記錄 7

本檔案編寫的目的是規定了在運維服務部花都分部服務與作業活動中，對客戶關鍵應用所關聯的資產進行風險等級評估並採取相應的控制措施的方法。

2 適用範圍

本文件適用於運維服務部pv分部的所有領域；

本文件適用於it服務商進行資產的識別與風險評估的管理。

3 術語定義

無4 角色及職責

5 工作說明

資產的分類

● it服務與作業活動中資產類別區分，以it服務的領域、系統來進行分類，並將該系統所屬的服務/資產項進行歸類；

● 填寫《資產盤點及風險評估表》的資產清單字段。內容包括但不限於領域﹑資產類別﹑服務/資產編號﹑服務/資產項﹑放置位置﹑責任人及數量等。

1）識別風險

根據各資產類別所識別的服務/資產項進行風險的描述，風險的判別和風險存在點可以參照《網路安全管理規範》、《系統安全管理規範》、《應用系統安全管理規範》和《機房環境安全管理規範》來進行，並區別風險發生的關鍵因素為資產類外部的因素或內部的因素，若為資產類外部因素則歸類為威脅，若為資產類內部因素則歸類為弱點。

2）確認已經存在的防護及控制措施

針對已識別的資產類進行確認已經存在的控制及管理方法，管理方法參照《網路安全管理規範》、《系統安全管理規範》、《應用系統安全管理規範》和《機房環境安全管理規範》來進行。

1) 風險評估中，綜合考慮的二個方面：

● 風險概率: 預計風險發生的機率值1-5分；

● 資產重要度: 資產重要度主要在體現資產類別在it服務的專案中所佔的重要程度，依據原值和關聯的服務地重要度將系統分類為5級，其中有一項高時，表達即為高；

2) 風險值計算：風險值介於1~25之間。

● 計算公式：風險值=資產重要度 * 風險概率

確定可接受風險水平：由it服務管理委員會依照風險評估值列表﹑成本及緊急程度的考慮確定可接受風險水平值，作為改善風險水平的基準，對於超出風險值水平的風險需要按照以下5.5的方式考慮如何處置風險。

超過可接受風險水平值時可按以下方法進行處理：

1) 採用適當的控制措施(此措施可參照《網路安全管理規範》、《系統安全管理規範》、《應用系統安全管理規範》和《機房環境安全管理規範》中提及的各項安全措施來進行)；

2) 若提供風險明顯地符合組織的政策與風險承受準則，可在掌握狀況下客觀地接受此等風險；

3) 迴避風險：即將相關的營運風險轉移至其它機構，如保險公司、第三方服務商；

4) 對於不可接受風險的資產，經過採取控制措施並實施後，重新評估以確認其風險等級，確保所採取的控制措施是充分的，直到其風險降至可接受(即低於可接受風險水平值)為止。

每年至少一次全面審查風險評估內容與狀態的適應性，以確定是否存在新的風險及是否需要增加新的控制措施，對發生以下情況需及時進行風險評估：

● 當發生重大資訊保安事故時；

● 當資訊網路系統發生重大變更時；

● 當新增加服務/資產項時；

● it服務管理委員會確定有必要時。

所有引起資訊的機密性（預防資料欺騙及組織敏感資訊洩漏），完整性（防止資料被篡改）和可用性缺失（核心業務的連續性）的事件都是資訊保安事件。（例如病毒引起的故障，由於密碼失竊引發的事件等等），發生有關資訊保安事件的時候按《事件管理程式》的流程來執行。

資訊保安管理經理應定期分析和彙總資訊保安事件，生成《資訊保安事件統計表》。

本流程的改進措施，需要輸入到服務改進計畫中。

6 相關檔案及記錄

資訊保安管理規範

規範資訊檔案上傳管理

資訊工程部管理規範

ISO質量資訊管理規範

資訊保安管理規範

規範資訊檔案上傳管理

資訊工程部管理規範

ISO質量資訊管理規範

相關推薦