1 / 25

個人 資料管理 - 風險評鑑填表說明 ( 四階文件附件 )

個人 資料管理 - 風險評鑑填表說明 ( 四階文件附件 ). 風險評鑑架構 個資 盤點表填寫 說明 ( 請參考表單本身註解說明 ) 個 資風險評鑑填寫 說明. 風險 評鑑架構. 個資管理衝擊分析與風險評鑑. 個資盤點表 Phase II. BIF. 個資盤點表 Phase I. 風險評鑑. 個資衝擊分析. 風險管理 評估. 風險識別. 針對相關衝擊,評估資產價值、弱點、衝擊與其風險. 評估目前法規對淡江大學可能 的 影響 與衝擊. 個人 資料風險評鑑檔案架構. 風險值再 評估. 風險評鑑程序. 風險處理程序. 風險評鑑相關文件.

scarlet-christensen
Download Presentation

個人 資料管理 - 風險評鑑填表說明 ( 四階文件附件 )

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 個人資料管理-風險評鑑填表說明 (四階文件附件)

  2. 風險評鑑架構 • 個資盤點表填寫說明(請參考表單本身註解說明) • 個資風險評鑑填寫說明

  3. 風險評鑑架構

  4. 個資管理衝擊分析與風險評鑑 個資盤點表 Phase II BIF 個資盤點表 Phase I 風險評鑑 個資衝擊分析 • 風險管理評估 風險識別 針對相關衝擊,評估資產價值、弱點、衝擊與其風險 評估目前法規對淡江大學可能的影響與衝擊

  5. 個人資料風險評鑑檔案架構 • 風險值再評估 風險評鑑程序 風險處理程序

  6. 風險評鑑相關文件 風險評估相關活頁 1. 建議控制措施列表 2. 威脅、弱點及現有控制評估 3. 風險評估彙總表 4. 表單風險等級圓餅圖 需各單位 協助完成部分 需各單位 協助完成部分 風險等級設定 風險評估說明文件 5. 個資文件機密等級 6. 資產價值計算權重說明 7. 個人資料之類別 8. 學校特種個資分類

  7. PIMS-2-03-F01 個資盤點表Vx.xxxx.xls • PIMS-2-03-F03 風險評估表Vx.xxxx.xlsx • 以上兩表相同欄位的筆數內容要相同 • 一定要使用 EXCEL2010(含)以後的版本操作,否則會有公式計算錯誤問題 個資風險評鑑填寫說明

  8. 1.1建議控制措施列表 建議控制措施 建制狀況 • 依據個資衝擊分析訪談,歸納出應有的控制規措施。 • 各單位可依實際狀況修改。 • 已建制:單位內已完整建置之控制措施與作業程序 • 待建制:尚未完全建置相關機制 • NA:本單位不適用

  9. 1.2建議控制措施列表填表說明 • 已建置: 代表某些個資檔案需要建置此控制措施,才能減少受到弱點與威脅的影響,必需這些個資檔案大部分皆已建置此控制措施者,才能勾選已建置。 • 未建置: 代表某些個資檔案需要建置此控制措施,才能減少受到弱點與威脅的影響,而這些個資檔案大部分應建置但未建置此控制措施者,請勾選未建置。 • N/A:表示某些個資檔案目前不需要建置此控制措施,來減少受到弱點與威脅的影響;(註:雖然目前不需要建置此控制措施,但是會因為環境及業務內容的改變,有可能在未來變成需要此控制措施,所以勾選N/A也視為未建置來計分。)

  10. 2.1威脅、弱點及現有控制評估表 此表目前不用填,除分有修訂威脅與弱點項目 威脅分析(外在) 弱點分析(內在) 現有控制評估 • 已預先填寫,各單位可檢視是否需要增加額外威脅項目,若有請告知文件管制組修改。 • 已預先填寫,各級單位可檢視是否需要增加額外弱點項目,若有敬請告知文件管制組修改。 • 根據「建議控制措施列表」自動擷取「建制現況」

  11. 2.2威脅性 • 威脅乃利用資訊資產既有存在的脆弱性,以便成功地造成個資資產的傷害或者損失。 人為 環境(天然) • 地震 • 閃電 • 水災 • 火災 故意 意外 • 錯誤和疏忽 • 檔案刪除 • 不正確的路由(Routing) • 實體的意外 • 錯誤收件人 • 附件錯誤 • 竊聽 • 資訊竄改 • 駭客侵入 • 惡意程式(木馬、病毒) • 竊盜 • 偷竊

  12. 2.3弱點 • 是指個資資產先天具備的特質,但卻可能會被威脅所利用而造成衝擊傷害。 • 本身並不會造成衝擊傷害,只是讓威脅衝擊個資的一個或一組條件。 • 弱點為先天不良,所以可能「持續」存在,除非該個資資產本質有所改變,才有可能導致弱點不再出現 例如:筆記型電腦的「輕薄短小」對於小偷威脅而言,便是一個本質很難改變的弱點。

  13. 3.1風險評估彙總表 標題上方有註明自動化公式者,請不要自行修改或填寫 (C,AC~AL欄)

  14. 3.2風險評估彙總表 標題上方有註明由「個資盤點表」直接貼上者,大部分請到「個資盤點表」找到相對應的欄位直接複製過來就可以,共5欄(B,D,E,F欄)(二級單位名稱、個人資料檔案名稱、個資編碼、個人資料範圍),剩下的欄位就要人工填寫.(A,G~AB欄)

  15. 3.3個人資料檔案資訊 • 個人資料檔案類別:內容含特種個資、高風險個資、一般直接識別個人、間接識別個人。該欄位為自動公式,請勿填寫修改。 • 個人資料檔案名稱:(直接從個資盤點表複製過來,兩表要相同) • 個資編碼:(直接從個資盤點表複製過來,兩表要相同) • 個人資料範圍:(直接從個資盤點表複製過來,兩表要相同) • 個人資料檔案:每一列只能三種選一種,分為實體、電子、系統檔案,請直接參照個資盤點表分別列表勾選,EX.某個資檔案有電子檔與紙本,那在「個資盤點表」那就要分2列分別填寫紙本、電子,本表請分別

  16. 3.4個人資料檔案項目 • 一般個資:特徵、婚姻、社會活動、教育、職業可參考表「7. 個人資料之類別」「8. 學校特種個資分類」 • 特種個資項目:可參考表8. 學校特種個資分類 • 高風險個資項目:聯絡方式、家庭、財務狀況可參考表「7. 個人資料之類別」8. 學校特種個資分類 由各單位根據「個人資料範圍」欄位勾選填入「○」或是「X」

  17. 3.5個資填寫範例 注意事項: 單一個人資料範圍,可能同時歸屬兩個以上個資項目。Ex. 職稱可以歸為「職業」,且在法務部公布之個資分類,也為「社會活動」因此可同時選取。 多項個人資料範圍內可能僅歸為單一個資項目。Ex. 「資格」「著作」均可歸為「社會活動」。

  18. 3.6風險值評估 • 此部分(AC~AL欄)全部都是自動化公式產生,請勿修改。 • 風險等級區分為:極高、高、中、低 ,若某個資檔案風險等級計算後為極高或高,則要另外提報「PIMS-2-03-F04 風險改善處理計畫」

  19. 4.表單風險等級圓餅圖(自動產生)-參考用

  20. 5.個資文件機密等級-(此表單請勿修改) 參考PIMS-2-03 風險評鑑管理規範

  21. 6. 資產價值計算權重說明-(此部分參考用)

  22. 7.個人資料之類別-(此部分參考用)

  23. 8.學校特種個資分類--(此部分參考用)

  24. 風險處理計畫 • 風險等級區分為:極高、高、中、低 ,若某個資檔案風險等級計算後為極高或高,則要另外提報「PIMS-2-03-F04 風險改善處理計畫」

  25. 控制風險的策略 風險控制策略

More Related