适用人员: 资安人员。
适用法规: 资通安全管理法施行细则第六条。
上一篇有提到这一份很相似的清册,依据的条例也是相同。严格来看的话,如果上一篇的「资讯及资通系统资产清册」依照 ISMS 的标准格式,那麽也可以说是依据「资通安全责任等级分级办法」,因为其中管理面的「资讯安全管理系统之导入及通 过公正第三方之验证」即要求导入 ISMS。
有点饶舌...以下就以我了解的区分如下
... | 资讯及资通系统资产清册(软、硬体资产) | 机关资通系统与服务资产清册(系统服务) |
---|---|---|
要求来源 | 行政院会报 | 法规 |
交付给 | 自行保管或交付上级机关 | 交付上级机关後,由上级机关上传至行政院会报的管考系统 |
内容 | 依照 ISMS 要求将资产分类、盘点 | 列出单位内提供的系统服务 |
重点 | 盘点後根据 ISMS 要求进行风险评估 | 盘点後依照资安法的防护基准办理 |
这篇的重点在於找出核心资通系统
,而根据资通安全管理法施行细则:
核心资通系统,指支持核心业务持续运作必要之系统,或依资通安全责任等级分级办法附表九资通系统防护需求分级原则之规定,判定其防护需求等级为高者。
建议步骤是定义出单位的核心业务,再找出对应的应用系统即为核心资通系统。再清查出其他的资通系统,最後标式出核心资讯系统、以及防护需求等级高的资通系统。因为这两者会影响到应办事项,如ISMS 第三方认证、业务持续运作演练、安全性检测等。
这次的文件相对来说简单,而且只要依据「减少应办事项」的建议,排除核心、减少敏感资料就能降底防护等级,大大减少所需的防护基准。
管考系统提供之范本:
行政院国家资通安全会报_资通安全作业管考系统操作与填报_1100309
机关资通系统与服务资产清册_汇入范本_1100307v3
>>: Day 08 : 操作基础篇 5 - 如何调整 Obsidian App 设定档? 让 Obsidian App 拥有自己的外观主题与插件
IDEA使用 ...
附上作业 https://codepen.io/pwbzvqja/pen/XWMdvqz 如图 ...
不怎麽重要的前言 上一篇我们介绍的运算子跟运用的方式,不晓得大家有没有比较理解了呢,也可以自己多尝试...
这个得上一篇-https://ithelp.ithome.com.tw/articles/10283...
终於到了30天的尾声,该学的都学了! 接下来就是运用在实际的案例上。剩下的这几天我要跟着「重新认识V...