Embed Size (px)
DESCRIPTION
個人 資料管理 - 風險評鑑填表說明 ( 四階文件附件 ). 風險評鑑架構 個資 盤點表填寫 說明 ( 請參考表單本身註解說明 ) 個 資風險評鑑填寫 說明. 風險 評鑑架構. 個資管理衝擊分析與風險評鑑. 個資盤點表 Phase II. BIF. 個資盤點表 Phase I. 風險評鑑. 個資衝擊分析. 風險管理 評估. 風險識別. 針對相關衝擊,評估資產價值、弱點、衝擊與其風險. 評估目前法規對淡江大學可能 的 影響 與衝擊. 個人 資料風險評鑑檔案架構. 風險值再 評估. 風險評鑑程序. 風險處理程序. 風險評鑑相關文件. - PowerPoint PPT Presentation
Citation preview
個人資料管理 -
風險評鑑填表說明 ( 四階文件附件 )
風險評鑑架構
個資盤點表填寫說明 ( 請參考表單本身註解說明 )
個資風險評鑑填寫說明
2
風險評鑑架構
個資管理衝擊分析與風險評鑑
4
BIF個資盤點表 Phase
I
個資衝擊分析風險評鑑
評估目前法規對淡江大學可能的影響與衝擊
針對相關衝擊,評估資產價值、弱點、衝擊與其風險
風險識別風險管理評估
個資盤點表 Phase II
個人資料風險評鑑檔案架構
盤點個資文件
評估個資價值
威脅與弱點分
析
決定風險值、接受等級
擬定執行或現有控制措
施
風險值再評估
5
風險評鑑程序 風險處理程序
風險值再評估
風險評估說明文件
風險評估相關活頁
風險等級設定
風險評鑑相關文件
6
1. 建議控制措施列表
2. 威脅、弱點及現有控制評估
3. 風險評估彙總表
4. 表單風險等級圓餅圖
5. 個資文件機密等級
6. 資產價值計算權重說明
7. 個人資料之類別
8. 學校特種個資分類
需各單位協助完成部分
需各單位協助完成部分
個資風險評鑑填寫說明
PIMS-2-03-F01 個資盤點表Vx.xxxx.xls
PIMS-2-03-F03 風險評估表Vx.xxxx.xlsx
以上兩表相同欄位的筆數內容要相同
一定要使用 EXCEL 2010 ( 含 ) 以後的版本操作 , 否則會有公式計算錯誤問題
1.1 建議控制措施列表
8
• 依據個資衝擊分析訪談,歸納出應有的控制規措施。
建議控制措施
• 各單位可依實際狀況修改。
• 已建制:單位內已完整建置之控制措施與作業程序
• 待建制:尚未完全建置相關機制
• NA :本單位不適用
建制狀況
©2012 勤業眾信版權所有 保留一切權利
1.2 建議控制措施列表填表說明
已建置 : 代表某些個資檔案需要建置此控制措施,才能減少受到弱點與威脅的影響,必需這些個資檔案大部分皆已建置此控制措施者,才能勾選已建置。
未建置 : 代表某些個資檔案需要建置此控制措施,才能減少受到弱點與威脅的影響,而這些個資檔案大部分應建置但未建置此控制措施者,請勾選未建置。
N/A: 表示某些個資檔案目前不需要建置此控制措施,來減少受到弱點與威脅的影響 ;( 註 : 雖然目前不需要建置此控制措施,但是會因為環境及業務內容的改變,有可能在未來變成需要此控制措施,所以勾選 N/A 也視為未建置來計分。 )
9
2.1 威脅、弱點及現有控制評估表
10
• 已預先填寫,各單位可檢視是否需要增加額外威脅項目,若有請告知文件管制組修改。
威脅分析 ( 外在 )
• 已預先填寫,各級單位可檢視是否需要增加額外弱點項目,若有敬請告知文件管制組修改。
弱點分析 ( 內在 )
• 根據「建議控制措施列表」自動擷取「建制現況」
現有控制評估
此表目前不用填 , 除分有修訂威脅與弱點項目
• 竊聽• 資訊竄改• 駭客侵入• 惡意程式
( 木馬、病毒 )
• 竊盜• 偷竊
• 錯誤和疏忽• 檔案刪除• 不正確的路
由(Routing)
• 實體的意外• 錯誤收件人• 附件錯誤
• 地震• 閃電• 水災• 火災
2.2 威脅性
11
威脅乃利用資訊資產既有存在的脆弱性,以便成功地造成個資資產的傷害或者損失。
人為 環境(天然)
故意 意外
2.3 弱點
是指個資資產先天具備的特質,但卻可能會被威脅所利用而造成衝擊傷害。
本身並不會造成衝擊傷害,只是讓威脅衝擊個資的一個或一組條件。
弱點為先天不良,所以可能「持續」存在,除非該個資資產本質有所改變,才有可能導致弱點不再出現
例如:筆記型電腦的「輕薄短小」對於小偷威脅而言,便是一個本質很難改變的弱點。
©2011 勤業眾信版權所有 保留一切權利
3.1 風險評估彙總表
13
標題上方有註明自動化公式者 , 請不要自行修改或填寫 (C,AC~AL 欄 )
©2011 勤業眾信版權所有 保留一切權利
3.2 風險評估彙總表
14
標題上方有註明由「個資盤點表」直接貼上者 , 大部分請到「個資盤點表」找到相對應的欄位直接複製過來就可以 , 共 5 欄 (B,D,E,F 欄 )( 二級單位名稱、個人資料檔案名稱、個資編碼、個人資料範圍 ), 剩下的欄位就要人工填寫 .(A,G~AB欄 )
3.3 個人資料檔案資訊
個人資料檔案類別:內容含特種個資、高風險個資、一般直接識別個人、間接識別個人。該欄位為自動公式,請勿填寫修改。
個人資料檔案名稱: (直接從個資盤點表複製過來 ,兩表要相同 ) 個資編碼: (直接從個資盤點表複製過來 ,兩表要相同 ) 個人資料範圍: (直接從個資盤點表複製過來 ,兩表要相同 ) 個人資料檔案:每一列只能三種選一種 , 分為實體、電子、系統檔
案 , 請直接參照個資盤點表分別列表勾選 ,EX. 某個資檔案有電子檔與紙本 ,那在「個資盤點表」那就要分 2 列分別填寫紙本、電子 , 本表請分別
15
3.4 個人資料檔案項目
一般個資:特徵、婚姻、社會活動、教育、職業可參考表「 7. 個人資料之類別」「 8. 學校特種個資分類」
特種個資項目:可參考表 8. 學校特種個資分類高風險個資項目:聯絡方式、家庭、財務狀況可參考表
「 7. 個人資料之類別」 8. 學校特種個資分類
16
由各單位根據「個人資料範圍」欄位勾選填入「○」或是「 X 」
3.5 個資填寫範例
17
注意事項:1. 單一個人資料範圍,可能同時歸屬兩個以上個資項目。 Ex. 職稱
可以歸為「職業」,且在法務部公布之個資分類,也為「社會活動」因此可同時選取。
2. 多項個人資料範圍內可能僅歸為單一個資項目。 Ex. 「資格」「著作」均可歸為「社會活動」。
3.6 風險值評估
此部分 (AC~AL 欄 ) 全部都是自動化公式產生,請勿修改。
風險等級區分為:極高、高、中、低 , 若某個資檔案風險等級計算後為極高或高 ,則要另外提報「 PIMS-2-03-F04 風險改善處理計畫」 18
4. 表單風險等級圓餅圖 ( 自動產生 )- 參考用
19
5. 個資文件機密等級 -( 此表單請勿修改 )
20
文件機密等級 評分級距下限
極高 立即補救,並報知專案辦公室 200
高報知專案辦公室,修正作業程序或是增加補償性控制
150
中 未來修正作業程序 100
低 評估是否需要額外控制 0
參考 PIMS-2-03 風險評鑑管理規範
©2012 勤業眾信版權所有 保留一切權利
6. 資產價值計算權重說明 -( 此部分參考用 )
21
©2012 勤業眾信版權所有 保留一切權利
7. 個人資料之類別 -( 此部分參考用 )
22
8. 學校特種個資分類 --( 此部分參考用 )
個資類別 學校個資範圍
一般個資
姓名 出生年月日 護照號碼 特徵 照片、性別、年齡指紋 婚姻 社會活動 教職員考績、考核、職稱、評分教育 學生成績、評分職業 單位、雇用單位、工作、服務單位、職稱
特種個資
醫療 基因 性生活 健康檢查 病歷 犯罪前科
高風險個資
身分證編號 聯絡方式
家庭家庭情形、婚姻之歷史、家庭其他成員之細節、性平資料
財務情況 信用卡、帳號、法院財務判決
23
風險處理計畫
風險等級區分為:極高、高、中、低 , 若某個資檔案風險等級計算後為極高或高 ,則要另外提報「 PIMS-2-03-F04 風險改善處理計畫」
24
控制風險的策略
風險規避 (avoid)
• 藉由停止從事產生風險之活動來避免風險
風險降低 (reduce)
• 藉由降低風險發生之機會或其重大性
風險移轉 (transfer)
• 藉由風險轉嫁來降低風險發生時之損失
風險接受 (retain)
• 接受風險的現狀,但對於風險發生之損失需考量如何承受
風險控制策略
25
