信息资产清查暨风险评鉴办法
第1.0版97年6月20日经信息安全管理委员会会议审议通过
南开科技大学（以下简称本校）为于执行与维护信息安全管理系统(ISMS)时，鉴别信息资产价值及评估风险等级，以进行风险评鉴，特订定「南开科技大学信息资产清查暨风险评鉴办法」(以下简称本办法)。
依据
南开科技大学信息安全政策。
南开科技大学信息安全实施纲领。
权责
各承办单位主管对于信息安全管理系统所涵盖的业务流程有直接的责任。
本校「信息安全管理委员会」负责审查「信息资产清册」、「风险评鉴报告」及「风险管理计划」，以及「资产评估与管理作业程序」的适当性，并决定安全确保程度（即风险可接受程度）。
本校所有同仁均有责任向「信息安全管理委员会」提供所有与决策程序相关的信息，包括现有或不存在的控制与对策，以及不同保证程度的可行方法或选择。
业务流程负责人与资产负责人的责任
鉴别资产的价值
资产的机密性等级分类
资产威胁与脆弱点的鉴别
鉴别资产可忍受之最大失效期间
鉴别失去资产对组织的冲击
参与安全防护对策之讨论与决策
系统安全防护与系统维护之成本分析
鉴别资产之特性，作为营运持续管理之参考
参与营运持续计划之讨论
支持营运持续演练
定期与不定期重新进行风险评鉴，以评定安全防护计划之成效及鉴别风险之变化与新风险的产生。
程序
本校风险评鉴之方法参考英国国家标准BS 7799-3:2006及国际标准ISO/IEC TR 13335-3:1998进行风险评鉴。程序如下：
资产的分类
以业务流程为主轴，由流程负责人负责审视与业务相关之资产，以鉴别出信息资产以及其它与信息安全管理有关的资产与相对应之负责人员。资产价值分析流程请参见图一，透过价值分析将资产分为以下6大类，便于后续的脆弱点与威胁分析。

图一 资产价值分析流程
信息资产
数据经过处理后成为有特殊价值的信息，或以文件形式存在的资产，例如：注册商标、著作权、业务信息、单位信息、组织相关纪录、使用者信息、产品信息、数据库、测试数据、备份数据、合约内容、系统文件、操作手册、教育训练教材、计划、规范、程序书及其它相关信息。
服务资产
以服务形式存在的资产，例如：信息服务、通讯服务与作业环境设施服务。


图二 风险评鉴


图三 风险管理流程图
作业软件与应用程序
为执行业务流程而建置的作业软件与应用程序，例如：计算机操作系统软件、标准应用程序、特殊应用程序、程序发展与设计工具、计算机作业程序与工具、测试程序与通讯软件。
硬件资产
为执行业务所使用之硬设备，例如：网络设备、服务器、个人计算机、笔记型计算机、掌上型计算机、打印机、终端机、磁带读卡器、屏幕或显示器、储存设备及其它相关各项环境设施与硬设备。
人员
管理、执行或提供支持之人员，例如：管理者、系统管理员、数据管理员、机房管理员、稽核人员、计算机人员、网络管理人员、通讯人员、程序开发人员、系统维护员、系统操作员、保安人员、行政人员、清洁人员、临时人员、外包驻点人员、电话或通讯安排人员与作业委外安排人员。
组织声誉
本校整体形象的价值，例如：对本校的信心指数、对本校所提供服务的信心指数、本校的声誉与形象、品牌、注册商标。
资产价值的鉴别
本办法运用ISO 27001:2005对信息安全的要求来衡量资产的价值。主要考虑有三个部份，分别为：资产本身的价值(可能为购入的价值)、资产于内部应用的价值(资产于组织的营运的重要程度)、资产于外部的价值(资产对组织形象或声誉的影响)。资产价值参见表一至