风险评监首步曲:资讯资产盘点

标题没打错呦...建立资安制度前，请先确认自已的资安范围有多大。
实务面可订定「风险评监计划」，依计划内容执行资讯资产蒐集与分类、风险识别与评估、风险排序与处理...

1. 资讯资产分类表内容应包含:资讯类别(资料/人员/软件/硬体/...)、子类别(依类别大约展开5~10个子类别认真的同学里也有分成几十个子类别的，後续在推广资安制度时，要说到让其它同学懂又能现学现用...会是一个很大的挑战)
2. 资讯资产安全等级内容应包含:C机密性、I完整性、A可用性、法遵，各种等级叙述与评估标准
3. 资讯资产盘点内容应包含:资讯资产编号、设备名称、厂牌、型号、存放位置、保管人、保管人单位、使用者、使用者单位、安全等级(CIA)

风险评监二步曲:风险识别与评估

1. 风险因子列表内容应包含:所有资讯资产类别与子类别损坏或遗失可能产生的冲击，风险等级评估标准。
2. 风险评监表内容应包含:资讯资产编号、设备名称、保管人、使用者、安全等级(CIA)、风险等级(事件发生机率 x 事件冲击)

风险值 = 资讯资产价值 X (事件发生机率（等级）x 事件冲击（等级）
资讯资产价值 = 机密性、完整性、可用性之相加数值

风险评监三步曲:风险排序与处理

急事急办的前提是获得充足的授权，被允许在事件当下办好特定事项，并於容许时限内补足纪录。

1. 风险处理列表应包含:资讯资产编号、设备名称、保管人、使用者、风险值、风险因子、处理对策

补充

1. 嘴巴说说的资安内容没有文件化纪录，并不具备不可否认性(可问责)，无法做为已完成○○事项及佐证纪录。
2. 资讯安全人人有责，即使没留下任何文件化纪录，在企业或机构的组织架构上依然会有一定的权责与义务需要遵守，并不会因为当事人说自已不知道就可以不用负责任了。例如:火车行经平交道有人开车硬闯...驾驶人说没看到火车、号志、栅栏，是否就可以不用负责了呢? (欢迎大家脑补XDDD)

资料来源:
主动或被动教过废宅的帅男美女老师们
达成愿景之流程图
组织全景评监表
资安风险评监标准介绍