【正文】 isk） 18. 風險接受（ Risk Acceptance） 19. 風險管理（ Risk Management） 20. 適用性聲明（ Statement of Applicability） Module 19 資訊安全管理 165 1. 資產 ? 對組織有價值的任何事物。 ? [ISO/IEC 133351:2023] Module 19 資訊安全管理 166 2. 資訊處理設施 ? 任何資訊處理系統(tǒng)、服務或基礎建設、或是儲藏它們的實體地點。 Module 19 資訊安全管理 167 3. 資訊安全 ? 保護資訊的機密性、完整性及可用性；此外，亦能涉及如鑑別性、可歸責性、不可否認性及可靠度等性質。 ? [ISO/IEC 17799： 2023] Module 19 資訊安全管理 168 4. 資訊安全管理系統(tǒng) ? 整體管理系統(tǒng)的一部份，以營運風險導向（作法）為基礎，用以建立、實作、運作、監(jiān)視、審查、維持與改進資訊安全。 ? 資訊安全管理系統(tǒng)包括組織架構、政策、規(guī)劃活動、責任、實務、程序、過程及資源。 Module 19 資訊安全管理 169 5. 機密性 ? 使資訊不可用或不揭露給未經授權之個人、個體或過程的性質。 ? [ISO/IEC 133351:2023] Module 19 資訊安全管理 170 6. 完整性 ? 保護資訊資產的準確度 (Accuracy)和完全性(Completeness)的性質。 ? [ISO/IEC TR 18044:2023] Module 19 資訊安全管理 171 ? 經授權個體因應需求之可存取及可使用的性質。 ? [ISO/IEC 133351:2023] 7. 可用性 Module 19 資訊安全管理 172 8. 資訊安全事件 ? 系統(tǒng)、服務或網路發(fā)生一個已識別的狀態(tài)，其指示可能的資訊安全政策違例或保護措施失效，或是可能與安全相關而先前未知的狀況等。[ISO/IEC TR 18044:2023] Module 19 資訊安全管理 173 9. 資訊安全事故 ? 單一或一連串有顯著機率可能危害營運作業(yè)與威脅資訊安全之非所欲或非預期的資訊安全事件。 ? [ISO/IEC TR 18044:2023] Module 19 資訊安全管理 174 10. 風險 ? 事件發(fā)生與其影響的可能性之組合。 ? [ISO Guide 73:2023] Module 19 資訊安全管理 175 11. 威脅 ? 可能導致對系統(tǒng)或組織傷害，有害事件的潛在原因。 ? [ISO/IEC 133351:2023] Module 19 資訊安全管理 176 12. 脆弱性 ? 能被單一威脅利用的單一或一群資產的弱點。 ? [ISO/IEC 133351:2023] Module 19 資訊安全管理 177 13. 風險分析 ? 系統(tǒng)性的使用資訊，以識別緣由與估計風險。 ? [ISO Guide 73:2023] Module 19 資訊安全管理 178 14. 風險評估 ? 把預估的風險和已知的風險準則，進行比較的過程，以決定風險的顯著性。 ? [ISO Guide 73:2023] Module 19 資訊安全管理 179 15. 風險評鑑 ? 風險分析與風險評估的整個過程。 ? [ISO Guide 73:2023] Module 19 資訊安全管理 180 16. 風險處理 ? 選擇與實作措施的過程，藉以修正風險。 ? [ISO Guide 73:2023] Module 19 資訊安全管理 181 17. 剩餘風險 ? 風險處理後，所剩餘的風險。 ? [ISO Guide 73:2023] Module 19 資訊安全管理 182 18. 風險接受 ? 決定接受某風險。 ? [ISO/IEC Guide 73:2023] Module 19 資訊安全管理 183 19. 風險管理 ? 藉由協調各項活動，以指導與控管組織之有關風險。 ? [ISO Guide 73:2023] Module 19 資訊安全管理 184 20. 適用性聲明 ? 描述與組織之資訊安全管理系統(tǒng) (ISMS)相關且對其適用之各項控制目標與控制措施的已文件化聲明。 ? 控制目標與控制措施，係以風險評鑑與風險處理之各項過程的結果與結論、法律或法規(guī)要求、契約義務，以及組織對資訊安全的營運要求為基礎。 Module 19 資訊安全管理 185 Module 110：我國資安管理法源 /政策 Module 110 行政院及所屬機關資訊安全管理規(guī)範 (草案 ) ，資通安全會報技服中心， 2023。 資訊安全管理 186 我國資通安全共通規(guī)範架構 行政院及所屬機關資訊安全管理規(guī)範 (草案 ) ，資通安全會報技服中心， 2023。 資訊安全管理 187 參考文獻 資訊安全管理 188 參考文獻 ? 行政院及所屬機關資訊安全管理規(guī)範 (草案 ) ，行政院資通安全會報技服中心， 2023。 ? 國家標準 CNS 17799「資訊技術 安全技術 資訊安全管理之作業(yè)規(guī)範」。 ? 國家標準 CNS 27001「資訊技術 安全技術 資訊安全管理系統(tǒng) 要求事項」。 ? ISO/IEC 27001:2023 Information technology Security techniques Information security management systems – Requirements. ? ISO 27001:2023 Information technology – Security techniques – Code of practice for information security management. ? ISO/IEC Guide 2:1996, Standardization and related activities – General vocabulary. 資訊安全管理 189 Module 1：資訊安全管理概論 習題 資訊安全管理 190 是非題 (1)_題目 資訊安全管理系統(tǒng)是指用以管理儲存資料及資訊的電腦系統(tǒng)。 ?是 ?非 資訊安全管理 191 是非題 (2)_題目 資訊安全管理系統(tǒng)是運用一套系統(tǒng)方法，對組織內敏感資產進行管理。 ?是 ?非 資訊安全管理 192 是非題 (3)_題目 資訊越隱密就越少人知道，越少人知道就越安全。故將所有的資訊列為最高機密就達成安全。 ?是 ?非 資訊安全管理 193 是非題 (4)_題目 控制措施的選擇，需受限於所有相關的國家及國際法律與管理規(guī)定。 ?是 ?非 資訊安全管理 194 是非題 (5)_題目 資訊安全的實務中，已經產生很多的最佳實務，是所有組織導入 ISMS所必頇遵守的。 ?是 ?非 資訊安全管理 195 是非題 (6)_題目 資