资产盘点 - 机关资通系统与服务资产清册

一帖内用，一帖外服
找出核心、或是防护等级为求为高的资通系统

上一篇有提到这一份很相似的清册，依据的条例也是相同。严格来看的话，如果上一篇的「资讯及资通系统资产清册」依照 ISMS 的标准格式，那麽也可以说是依据「资通安全责任等级分级办法」，因为其中管理面的「资讯安全管理系统之导入及通过公正第三方之验证」即要求导入 ISMS。

有点饶舌...以下就以我了解的区分如下

...	资讯及资通系统资产清册(软、硬体资产)	机关资通系统与服务资产清册(系统服务)
要求来源	行政院会报	法规
交付给	自行保管或交付上级机关	交付上级机关後，由上级机关上传至行政院会报的管考系统
内容	依照 ISMS 要求将资产分类、盘点	列出单位内提供的系统服务
重点	盘点後根据 ISMS 要求进行风险评估	盘点後依照资安法的防护基准办理

这篇的重点在於找出核心资通系统，而根据资通安全管理法施行细则:

核心资通系统，指支持核心业务持续运作必要之系统，或依资通安全责任等级分级办法附表九资通系统防护需求分级原则之规定，判定其防护需求等级为高者。

建议步骤是定义出单位的核心业务，再找出对应的应用系统即为核心资通系统。再清查出其他的资通系统，最後标式出核心资讯系统、以及防护需求等级高的资通系统。因为这两者会影响到应办事项，如ISMS 第三方认证、业务持续运作演练、安全性检测等。

这次的文件相对来说简单，而且只要依据「减少应办事项」的建议，排除核心、减少敏感资料就能降底防护等级，大大减少所需的防护基准。