TWCERT/CC評估
- 發布單位:TWCERT/CC
- 更新日期:2019-08-12
- 點閱次數:1095
為了能對資安事件影響等級有適當的量化指標,依據「國家資通安全通報應變作業綱要」中所律定的,資安事件三個面向進行衡量,分別評估該起資安事件對「機密性」、「完整性」、與「可用性」等三個面向所造成的衝擊,將資安事件影響等級由重至輕區分為4級、3級、2級與1 級,提供企業機關(構)了解資安事件影響等級分類,進而於資安事件通報TWCERT/CC時有能力能進行影響等級的初步判斷。
機密性指的是應確保資訊的存取須經過授權;完整性是確保資訊的內容正確且完整;可用性則是確保經授權後的使用者,能確實存取及使用,相關等級分類說明如下表。
| 等級 | 機密性 | 完整性 | 可用性 |
|---|---|---|---|
| 4 | 機密級以上資料遭洩漏 | 關鍵資訊業務系統或資料遭嚴重竄改 | 關鍵資訊業務系統中斷,無法於可容忍終斷時間內修復,嚴重影響營運 |
| 3 | 密級或敏感資料遭洩漏 | 核心業務系統或資料遭嚴重竄改;抑或關鍵資訊業務系統遭輕微竄改 | 核心業務系統嚴重停頓,無法於可容忍終斷時間內修復;抑或關鍵資訊業務系統,於可容忍中斷時間內恢復正常 |
| 2 | 非屬密級或敏感之核心業務資料資洩漏 | 非核心業務系統或資料遭嚴重竄改;抑或核心業務系統或資料遭輕微竄改 | 非核心資訊服務系統或其他服務短暫中斷,無法於可容忍終斷時間內修復;抑或核心業務系統於可容忍中斷時間內恢復正常 |
| 1 | 非核心業務資料遭洩漏 | 非核心業務系統或資料遭輕微竄改 | 非核心業務系統或其他服務延遲,可於容忍中斷時間內恢復正常 |