在資安管理中,當我們了解整體環境(全景建立)後,下一步就是「風險評鑑」!
簡單來說,就是要分析:有哪些風險存在?這些風險有多大?我們要不要處理?
根據不同情況,風險評鑑可以用兩種方式進行:
① 高階風險評鑑(快速初步檢查)
這種方式適合在時間緊迫、資源有限的情況下使用,幫助我們快速找出最重要、最需要保護的系統,先做資安防護。
依「資通安全責任等級分級辦法」執行,依4大構面判斷資通系統安全等級:
- 機密性(Confidentiality)
- 完整性(Integrity)
- 可用性(Availability)
- 法律遵循性(Legal Compliance)
各個構面分為普中高3個等級,整體以最高等級判定資通系統安全等級,優先處理。
② 詳細風險評鑑(深入完整分析)
如果要更系統化地檢查風險,就要進行「詳細風險評鑑」。這種方式會逐一分析資訊資產、找出風險來源、評估影響程度,並規劃對應的防護措施。
目標:找出最需要保護的資料與系統 → 評估風險 → 安排防護對策 → 確保系統正常運作、不出意外。
小提示!
高階與詳細風險評鑑可以搭配使用:
先用高階評鑑快速篩選重點,再針對高風險項目做詳細評估。
這樣不但省時有效,也能確保資安防護做到位!
