資訊安全風險評鑑(Information security risk assessment)是實行資訊安全管理系統(ISMS)的重要工作,
水利署資訊安全管理系統,已於104年依新版ISO/IEC 27001:2013標準要求完成改版並通過驗證,105年並針對風險評鑑進行評鑑方法調整,以簡化該工作執行。
以往之風險評鑑以資產群組為主體,於決定資產群組價值後對其群組之機密性、可用性與完整性三大
屬性,逐一列示各
屬性所具有之弱點及對應威脅,並進行風險值評估,此法需評估量頗多,有不易了解且過於繁瑣之缺點。依據新版標準,相關風險評鑑新增可參用ISO/IEC 31000之規範,
水利署引以為參考,進行風險評鑑方法之調整。
新的風險評鑑方法仍以資產群組為主體,資產群組價值為由依價值評量準則評估後之機密性評估值、完整性評估值、可用性評估值及適法性評估值中取其最大者得之;資產群組價值決定後,列出可能導致資產群組發生風險之事件,再逐一評估每一事件可能發生之機率及發生後對組織衝擊程度大小,將資產群組價值 × 衝擊影響等級 × 可能性等級後計算得事件風險值,最後取事件風險值最大者為該資產群組風險值。
新式風險評鑑方法,以事件發生之可能性及可能造成衝擊影響之風險評估論述,將更容易使人理解風險評鑑精神,而且整個評估過程更簡捷明確,讓風險評鑑工作執行更具效益。