盘点资通资产 - 资讯及资通系统资产清册

不能掺在一起做成撒尿牛丸吗?

适用人员: 资安人员。
适用法规: 资通安全管理法施行细则第六条。

依据该条例，必须产出一个很大的文件「资通安全维护计画」。其中一个内容「六、资通系统及资讯之盘点，并标示核心资通系统及相关资产。 」就是要产出这篇文章所要介绍的「资讯及资通系统资产清册」。

这里有一个比较麻烦的点是，会报虽然有提供资通安全维护计画的范本，内容只简明需包含下列内容:

• 资讯及资通系统名称
• 资产名称
• 资产类别
• 拥有者
• 管理者
• 使用者
• 存放放置
• 防护需求等级

但实际的栏位更多，或者说实务上通常会两个文件一起做，一个是一般的资产盘点，我将它归类为这次的主角「资讯及资通系统资产清册」，其中会因应 ISMS 的要求，加上风险评估的内容。范本反而需要上网找旧草案中的范例。整理後如下:

• 资产编号
• 资产类别
• 资产名称
• 数量
• 资产说明
• 拥有者(部门)
• 管理者(部门)
• 使用者(部门)
• 存放位置
• 评估资产价值
  • 机密性
  • 完整性
  • 可用性
  • 资产价值
• 风险评监
  • 威胁
  • 弱点
  • 可能性(威胁发生的机率)
  • 冲击程度(弱点发生时的影响)

这个文件重点在全面的资讯盘点及风险评监，但是却缺少了「防护需求」。因此会再需要另一个文件长的很像的资通系统盘点「机关资通系统与服务资产清册」，留在下一篇介绍。

参考资源

资通安全维护计画的格式高雄市建国国小107学年度资讯及资通系统资产清册
ISMS 的格式阳明国中资讯及资通系统资产清册

话说这些资讯需要公开吗....