信息資產(chǎn)分級管理的具體方法（風險評估與風險管理的）朋友可以看看

信息資產(chǎn)分級管理
1. 信息資產(chǎn)分類鑒別
達到及維護組織資產(chǎn)的適當保護，宜明確識別所有資產(chǎn)，并制作與維持所有重要資產(chǎn)
的清冊 ，與信息處理設施相關的所有信息及資產(chǎn)宜由組織指定擁有者。與信息處理設施相關的信息與資產(chǎn)，其可被接受的使用之規(guī)則宜予以識別、文件化及實作。各單位負責信息資產(chǎn)應定期更新與維護信息資產(chǎn)清冊，各單位匯總整合，由信息安全小組統(tǒng)一控管確保信息資產(chǎn)列表完整性。信息資產(chǎn)依其性質不同，分為5類：人員、硬件、軟件、電子數(shù)據(jù)、書面文件依序如下：
人員：系指業(yè)務主管、承辦人員、委外廠商、契約人員等。
硬件：系指網(wǎng)絡設備、主機設備、通訊設備、環(huán)境設備等相關硬件設施。例如：服務器主機、個人計算機、不斷電設備等。
軟件：系指自行開發(fā)或委外開發(fā)之應用系統(tǒng)程序、外購之軟件包等。例如：應用系統(tǒng)、操作系統(tǒng)、軟件包、工具程序等。
電子數(shù)據(jù)：系指以電子形式存在之信息數(shù)據(jù)。例如：網(wǎng)絡設定數(shù)據(jù)、備份文件等。
書面文件：系指以紙本形式存在之文書數(shù)據(jù)、報表等相關信息。例如：合同、規(guī)范、系統(tǒng)文件、用戶手冊、訓練教材等。
所有資產(chǎn)經(jīng)由資產(chǎn)分類，制成「信息資產(chǎn)列表」。

2. 信息資產(chǎn)價值鑒別
信息宜依其對組織的價值、法律要求、敏感性及重要性加以分類 ，價值鑒別準則依
信息資產(chǎn)分類分別針對機密性、可用性、完整性，其評估標準如下：

表1 人員評估標準

表2 硬件評估標準

表3 軟件評估標準

表4 電子數(shù)據(jù)、書面文件評估標準

各資產(chǎn)價值為資產(chǎn)之機密性、完整性及可用性評估值取最大值；如以下式子：

資產(chǎn)價值 = 機密性評估值 + 完整性評估值 + 可用性評估值。

各資產(chǎn)依資產(chǎn)價值數(shù)值分級；詳如資產(chǎn)價值等級表

表5 資產(chǎn)價值等級表

3. 信息資產(chǎn)標示與處理
宜依照組織所采用的分類法，發(fā)展與實作一套適當?shù)男畔耸九c處置程序 。資產(chǎn)標
示必須明確。資產(chǎn)標示含資產(chǎn)風險等級并以顏色卷標區(qū)分。硬件類資產(chǎn)標示依其價值等級并以顏色卷標區(qū)分。
高資產(chǎn)價值：指該資產(chǎn)價值最高，貼紅色卷標。
中資產(chǎn)價值：指該資產(chǎn)價值中等，貼×××標簽。
低資產(chǎn)價值：指該資產(chǎn)價值最低，不貼卷標。
資產(chǎn)在保存過程中，應依適當程序作妥善保存。資產(chǎn)的生命周期包含產(chǎn)生、使用、維護與銷毀。在整個生命周期中，每項資產(chǎn)皆由信息科技部領導指派資產(chǎn)管理人。資產(chǎn)管理人必須妥善運用與保存該資產(chǎn)。其他同仁使用資產(chǎn)需經(jīng)由管理人授權，方可使用該資產(chǎn)。其使用過程需紀錄于該資產(chǎn)之使用記錄。資產(chǎn)之私密信息由管理人維護，采用僅知原則(Need-To-Know)，授權給其他同仁使用時，以最小量之信息提供給使用人得知。為掌握信息設備狀況，對于信息室有價值之信息設備之增置、轉移、報廢應予確實登錄。資產(chǎn)借用應予登記，以控管資產(chǎn)現(xiàn)況。資產(chǎn)于報廢時應循相關報廢程序進行報廢。

鑒別風險弱點與威脅
脆弱性，亦稱弱點。脆弱性是組織信息安全的弱點或漏洞?；旧?，脆弱性本身不會
造成傷害，而是威脅利用這些脆弱性對系統(tǒng)進行傷害。針對要鑒別的每項資產(chǎn)分類，依序尋找出所有相對應的弱點如下：
人員：包括缺乏對外部團體與信息安全相關之規(guī)范、缺乏一般辦公環(huán)境的安全控管、缺乏對人員之安全管理、缺乏對人員認知之倡導及教育訓練、缺乏工作之權責劃分與人員代理機制、缺乏信息安全事件通報及處理程序。
硬件：缺乏對外部團體與信息安全相關之規(guī)范、.缺乏一般辦公環(huán)境的安全控管、缺乏書面化操作程序之控管、缺乏網(wǎng)絡之安全管理、缺乏數(shù)據(jù)交換之安全管理、
缺乏對儲存媒體的安全控管、缺乏系統(tǒng)監(jiān)視、記錄與相關的系統(tǒng)稽核軌跡、缺
乏對實體資產(chǎn)之保護與管理、缺乏取得信息系統(tǒng)之規(guī)劃及驗收程序、缺乏對取
得服務的安全控管、缺乏對管制區(qū)域之安全管理、缺乏信息安全事件通報及處
理程序、缺乏對場外工作之安全控管。
軟件：缺乏對外部團體與信息安全相關之規(guī)范、缺乏一般辦公環(huán)境的安全控管、缺乏書面化操作程序之控管、缺乏網(wǎng)絡之安全管理、缺乏數(shù)據(jù)交換之安全管理、缺乏系統(tǒng)監(jiān)視、記錄與相關的系統(tǒng)稽核軌跡、缺乏數(shù)據(jù)的安全管理、缺乏取得資訊系統(tǒng)之規(guī)劃及驗收程序、缺乏對信息系統(tǒng)存取之安全管理、缺乏系統(tǒng)聯(lián)機之安全管理、缺乏信息系統(tǒng)開發(fā)之安全管理、缺乏對取得服務的安全控管、缺乏信息系統(tǒng)安全防護機制、缺乏信息安全事件通報及處理程序、缺乏對電子商務之安全控管、缺乏對場外工作之安全控管。
電子數(shù)據(jù)：缺乏對外部團體與信息安全相關之規(guī)范、缺乏一般辦公環(huán)境的安全控管、缺乏書面化操作程序之控管、缺乏網(wǎng)絡之安全管理、乏數(shù)據(jù)交換之安全管理、缺乏系統(tǒng)監(jiān)視、記錄與相關的系統(tǒng)稽核軌跡、缺乏數(shù)據(jù)的安全管理、.缺乏對實體資產(chǎn)之保護與管理、缺乏取得信息系統(tǒng)之規(guī)劃及驗收程序、缺乏對信息系統(tǒng)存取之安全管理、缺乏信息系統(tǒng)開發(fā)之安全管理、缺乏對取得服務的安全控管、缺乏信息安全事件通報及處理程序、缺乏對電子商務之安全控管。
書面文件：缺乏對外部團體與信息安全相關之規(guī)范、缺乏一般辦公環(huán)境的安全控管、缺乏書面化操作程序之控管、缺乏數(shù)據(jù)交換之安全管理、缺乏系統(tǒng)監(jiān)視、記錄與相關的系統(tǒng)稽核軌跡、缺乏數(shù)據(jù)的安全管理、.缺乏對實體資產(chǎn)之保護與管理、缺乏對取得服務的安全控管、缺乏對管制區(qū)域之安全管理、缺乏信息安全事件通報及處理程序。

威脅的鑒別威脅是指對組織意圖造成傷害或損失，不論是意外或是蓄意，人為或是天
災。資產(chǎn)容易受到許多威脅，這些威脅來自利用脆弱性。威脅可區(qū)分為天然災害、人為的威脅、非人為的威脅；威脅的鑒別，須針對每項資產(chǎn)，列出可能的威脅。針對要鑒別的每項資產(chǎn)分類，依序尋找出所有相對應的威脅如下：
人員：無知、貪念、脅迫、惰性、人力不足、惡意、疏失、傳染病。
硬件：毀損、竊取、災害、故障、破壞。
軟件：不法使用、錯誤、竄改、延遲、失效、損毀、偽造。
電子數(shù)據(jù)：盜賣、泄漏、錯誤、竄改、損毀、偽造。
書面文件：泄漏、竊取、竄改、偽造、遺失、損毀。

計算信息資產(chǎn)風險權值
綜合信息資產(chǎn)價值(如表5資產(chǎn)價值等級表)、弱點(如表6 電子數(shù)據(jù)類弱點值判定
表)、威脅等因素(如表7威脅值判定表)，透過信息資產(chǎn)之風險評鑒，可得知該項信息資產(chǎn)所面臨之風險程度并予以量化，作為選擇控制措施之依據(jù)。計算風險權值之公式為：
信息資產(chǎn)風險權值 = 信息資產(chǎn)價值 × 弱點權值 × 威脅權值
根據(jù)此一計算模型，風險權值最低為1，最高為27。

表6 電子數(shù)據(jù)類弱點值判定表

表7 威脅值判定表
考慮現(xiàn)有控管機制及資產(chǎn)特性，進行以下定義：

資產(chǎn)風險處理的評估
在匯整完風險評鑒結果之后應召開管理階層審查會議，由會議討論決定可接受風險之
風險值。低于此風險值之資產(chǎn)，視為低風險，也就是可接受之風險。風險值高于可接受風險之信息資產(chǎn)，應采取風險處理。風險處理的方法主要分成以下四種：
降低風險：設置有效的內部控制措施，針對不同的領域進行管控，以達到風險值降低之目的。
轉移風險：利用轉嫁的方式降低風險，例如購買保險以補償方式降低風險。
避免風險：利用取代方案或其他之資產(chǎn)以替代此資產(chǎn)所帶來之風險，不過若采取此方法，需再評估替代方案之可行性，以及帶來的風險值。前提是替代方案能帶來更低的風險。
接受風險：在以上三個方式都無法采用時，管理階層可以決定接受此風險，也就是接受此風險。

對應的相關表